Tôi đang cố gắng tìm một máy tính có địa chỉ IP nhất định trên mạng nội bộ của chúng tôi. Tôi đã xác định tên máy tính từ DNS, nhưng trong trường hợp này nó không giúp tôi.
Chỉ cần tự hỏi nếu tôi bằng cách nào đó có thể buộc IP vào một cổng chuyển đổi, và theo dõi nó từ đó? Nếu vậy thì thế nào?
Câu trả lời:
Cho một địa chỉ IP, bạn sẽ có thể tìm thấy địa chỉ MAC của máy chủ tương ứng.
arp -a
Trên cả Windows và Linux sẽ hiển thị cho bạn bộ đệm arp của máy chủ đó, ánh xạ IP tới địa chỉ MAC. (Lưu ý rằng điều này sẽ cần phải được chạy trên một máy có cùng mạng con IP với máy bạn đang cố gắng tìm).
Khi bạn có địa chỉ MAC, hãy đăng nhập vào công tắc mà bạn nghi ngờ máy chủ lừa đảo được kết nối và tìm kiếm bảng địa chỉ MAC cho địa chỉ đó. (Bảng địa chỉ MAC cũng được gọi là bảng bắc cầu hoặc bảng CAM).
Ví dụ: trên các thiết bị chuyển mạch dựa trên Cisco IOS, lệnh sau:
show mac-address-table address <MAC address>
Sẽ cho bạn thấy cổng mà một địa chỉ MAC đã cho được nhìn thấy lần cuối. Nếu cổng kết quả là một liên kết đến một công tắc khác, hãy đăng nhập vào công tắc đó và chạy lại lệnh. Lặp lại cho đến khi bạn kết thúc với một cổng máy chủ và bạn sẽ có thủ phạm.
Lưu ý rằng phương pháp này sẽ chỉ hoạt động nếu bạn có một công tắc được quản lý cho phép bảng địa chỉ MAC của nó được truy vấn. Không, đó sẽ là một trường hợp loại bỏ thủ công; tìm từng cổng mà bạn biết không phải là máy lừa đảo, cho đến khi bạn còn lại một cổng mà bạn không thể tính đến. Chúc may mắn.
Như những người khác đã đề cập, không có cách trực tiếp để xác định IP nào được kết nối với một cổng chuyển đổi nhất định. Lý do là một bộ chuyển mạch Ethernet hoạt động ở L2 của Mô hình OSI và thường không kiểm tra các lớp cấp cao hơn (Lớp 3 -> Địa chỉ IP). (Có một số ngoại lệ trong phần cứng mới hơn)
Một lưu ý quan trọng, để sử dụng thủ thuật ping / ARP, bạn sẽ cần sử dụng một thiết bị trên cùng Vlan hoặc mạng con như thiết bị bạn đang tìm kiếm. Nếu không, bạn sẽ chỉ thấy địa chỉ MAC của cổng mặc định trong bảng ARP.
Đây là thủ tục tôi đề nghị, nếu có thể.
Nguồn và đích trên cùng một Vlan
Nguồn và đích trên các Vlan khác nhau
Kiểm tra bộ đệm ARP trên (các) công tắc của bạn để tìm MAC và Cổng chuyển đổi được liên kết với IP đó của thiết bị. Bài viết này sẽ giúp bạn:
Bạn đã không chỉ định hệ điều hành nào bạn có sẵn cho bạn trên mạng, nhưng hầu hết chúng đều có lệnh arp. Bạn có thể sử dụng lệnh arp để tìm ra địa chỉ MAC của máy chủ lưu trữ với tên máy chủ cho (giả sử bạn ở trên cùng một mạng với máy chủ).
Sau đó, bạn phải kiểm tra bộ đệm ARP của thiết bị chuyển mạch để tìm cổng nào có địa chỉ MAC.
Không có ánh xạ 1: 1 giữa các giao diện vật lý và địa chỉ IP. Một cổng trên một công tắc có thể xử lý lưu lượng cho nhiều máy (nếu một công tắc khác bị xiềng xích) và một cổng chuyển đổi có thể chuyển tiếp lưu lượng cho nhiều hơn một IP (nếu máy có nhiều homed).
Nếu bạn có một công tắc đủ nâng cao, bạn có thể nhìn vào màn hình quản lý của công tắc để xem nó có liệt kê các địa chỉ MAC mà nó đã nghe trên một cổng cụ thể không.
Ngoài ra, giả sử máy tính bạn muốn tìm không quá xa (về mặt logic), bạn có thể thử gửi một lượng lớn lưu lượng truy cập đến nó ping -f, điều đó sẽ cho phép bạn theo dõi cổng máy đang bật bằng cách nhìn vào đèn hoạt động .
Nếu công tắc hỗ trợ snmp, bạn có thể lấy thông tin bảng mac từ xa, cần có ánh xạ của cổng vật lý và địa chỉ mac được kết nối với cổng.