Xác định một IP không xác định trong mạng của chúng tôi

Tôi có một mạng chứa 20 khách hàng. Tôi giao dãy IP 10.0.0.1để 10.0.0.20cho họ. Khi tôi thực hiện quét IP, tôi thấy ai đó đang sử dụng 10.0.0.131VMware. Làm thế nào tôi có thể tìm ra IP mà IP này được kết nối với? tức là làm thế nào tôi có thể tìm ra hệ thống nào có 2 IP? (tức là IP khác của hệ thống này)

Cập nhật:

IP hệ thống của tôi trong mạng là 10.0.0.81:

Đầu ra của trình quét IP cho thấy ai đó đang sử dụng 10.0.0.131trong VMware:

Và kết quả của tracertlệnh không cho thấy gì giữa chúng tôi:

C:\Users>tracert -j 10.0.0.131 10.0.0.81

Tracing route to ghasemi3.it.com [10.0.0.81]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  ghasemi3.it.com [10.0.0.81]

Trace complete.
C:\Users>

Tôi không thể cung cấp một giải pháp toàn cầu cho vấn đề của bạn, chỉ là một phần. Bạn có thể thêm điều này vào kỹ thuật chuyển đổi để mở rộng phạm vi cơ hội của bạn.

Nếu người dùng chạy VM được kết nối với mạng LAN của bạn thông qua wifi, thì bạn có thể xác định anh ấy / cô ấy bằng cách theo dõi. Lý do là bạn đã cho chúng tôi thấy VM có IP trên mạng LAN của bạn, do đó nó có cấu hình cầu nối . Vì lý do kỹ thuật, các kết nối wifi không thể được bắc cầu, do đó tất cả các trình ảo hóa đều sử dụng một thủ thuật gọn gàng thay vì cấu hình cầu thực sự: họ sử dụng proxy_arp , xem ví dụ như bài viết trên blog của Bodhi Zazen để biết giải thích về cách thức hoạt động của nó, cho KVM và trang này cho VMWare .

Vì có một máy tính trả lời các truy vấn ARP thay cho VM, nên traceroute sẽ xác định nút trước VM. Chẳng hạn, đây là đầu ra của traceroute của tôi từ một máy tính khác trong mạng LAN của tôi:

My traceroute  [v0.85]
asusdb (0.0.0.0)                                                                                               Mon Jun  1 11:45:03 2015
                        Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                                                           Packets               Pings
 Host                                                                                       Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. rasal.z.lan                                                                           0.0%     1    6.0   6.0   6.0   6.0   0.0
  2. FB.z.lan                       

rasal là máy chủ, FB là khách, tôi đang phát hành cái này từ máy tính thứ ba (asusdb).

Trong Windows, lệnh thích hợp là

 tracert 10.0.0.131

Trên Linux, bạn có thể làm tương tự với mtr tiện ích rất tiện lợi :

 mtr 10.0.0.131

Điều này bổ sung, thay vì thay thế, kỹ thuật chuyển đổi. Nếu traceroute của bạn cho thấy rằng không có bước nhảy trung gian giữa máy tính của bạn và VM, thì ít nhất bạn sẽ biết rằng bạn có thể loại trừ tất cả các máy LAN được kết nối qua wifi, hạn chế phạm vi khả năng của bạn và biến kỹ thuật chuyển đổi thành khả năng hiệu quả, nếu bạn có một công tắc được quản lý hoặc bạn sẵn sàng rút từng dây cáp trong công tắc một.

Ngoài ra, bạn có thể giả mạo sự cố kỹ thuật và ngắt kết nối tất cả các kết nối ethernet, buộc người dùng của bạn sử dụng wifi, cho đến khi thủ phạm của bạn dùng mồi nhử.

Tôi giả sử 20 khách hàng được kết nối với một công tắc :

Mỗi công tắc bao gồm một bảng của mỗi địa chỉ MAC đã biết trên bảng và bảng có định dạng như sau:

    Port               Address
     1              fa:23:65:XX:XX:XX:XX
     2              87:4a:12:d2:xx:XX:xx

Trong đó Cổng là cổng vật lý trên công tắc và Địa chỉ là địa chỉ MAC được phát hiện trên cổng.

Bạn phải kiểm tra trên bảng điều khiển chuyển đổi một cổng đăng ký nhiều hơn một địa chỉ MAC và bây giờ bạn biết cổng chuyển đổi nơi máy chủ VM được kết nối.

Chỉ để được chắc chắn:

Từ một thiết bị Windows ping 10.0.0.123và sau đó phát hành arp -a.

Kiểm tra xem địa chỉ MAC tương ứng có giống với địa chỉ 10.0.0.123mà bạn đã phát hiện trên bảng chuyển đổi không .

Tôi đã làm những điều như thế đôi khi trong quá khứ. Điều khiến tôi bối rối: bạn đang sử dụng các công cụ của mình trong VMware? Vì vậy, tôi giả sử 10.0.0.0/24 là mạng vật lý của bạn chứ không phải mạng ảo? Bạn cũng nên biết rằng một số công cụ có thể hiển thị một cái gì đó kỳ lạ vì lớp mạng bổ sung (mạng ảo vmware).

Điều đầu tiên bạn có thể làm để phân tích:

• Ping máy chủ và sau đó làm arp -a(có thể hơi sai, tôi đang sử dụng Linux). Tìm địa chỉ MAC và sử dụng dịch vụ trực tuyến như http://aruljohn.com/mac.pl để tra cứu 3 cặp địa chỉ đầu tiên. Bạn sẽ thấy nhà sản xuất của thiết bị.

• Trong danh sách arp, bạn cũng có thể kiểm tra xem cùng một địa chỉ MAC được sử dụng bởi hai IP khác nhau. Điều này có nghĩa là thiết bị có hai trong số họ.

• Ngoài ra thời gian ping là thú vị. So sánh nó với các PC đã biết và có thể là một máy in trong mạng của bạn. PC thường trả lời nhanh hơn máy in của bộ định tuyến internet. Thật không may, độ chính xác thời gian của Windows không được tốt lắm.

• Cuối cùng nhưng không kém phần quan trọng, tôi khuyên bạn nên chạy nmap -A 10.0.0.131hoặc nmap -A 10.0.0.0/24tiết lộ thêm thông tin về một máy chủ cụ thể hoặc mạng đầy đủ. (Thx đến pabouk)

Theo dõi một máy không xác định trên một mạng không được quản lý là khó khăn. Tôi đã được giao nhiệm vụ này một vài lần và theo thứ tự ưu tiên, đây là cách tôi đối phó với chúng:

1. Cố gắng duyệt máy chủ (nếu bạn lo ngại về bảo mật nếu đó là một loại honeypot nào đó, hãy thực hiện từ máy ảo vứt đi). Bạn không bao giờ biết - duyệt đến máy đó trong trình duyệt web rất có thể chỉ tiết lộ tên PC hoặc mục đích của nó. Nếu nó có chứng chỉ SSL tự ký thì điều đó cũng sẽ thường làm rò rỉ tên máy chủ nội bộ.

   Nếu nó không chạy dịch vụ web và bạn nghĩ đó là PC Windows, hãy thử kết nối với cổ phần quản trị của nó (ví dụ \\example\c$) - bạn có thể gặp may mắn khi đoán được tên người dùng của quản trị viên. Hoặc nếu bạn nghĩ đó là Windows Server (hoặc phiên bản Windows Professional) thì hãy thử cài đặt máy tính từ xa vào nó.

   Khi bạn bằng một cách nào đó, sau đó bạn có thể tìm kiếm thông tin về mục đích của máy, và do đó ai có thể đã tạo ra nó và đưa nó lên mạng ở vị trí đầu tiên. Sau đó theo dõi chúng xuống.

   Một số thông tin này (như tên PC và đó là hộp Windows) đã được máy quét của bạn tiết lộ, vì vậy có thể không có nhiều điều để tìm hiểu ở đây cho bạn.

2. Nhìn vào bảng ARP của công tắc. Điều này sẽ cung cấp cho bạn một ánh xạ giữa địa chỉ MAC đó và một cổng vật lý và Vlan. Điều này là không thể trong tình huống của bạn vì bạn không có công tắc được quản lý.

3. So sánh địa chỉ MAC cho địa chỉ IP đó với bảng ARP cục bộ của bạn. Có thể có một địa chỉ MAC trùng lặp trong đó, cho biết hai địa chỉ IP trên cùng một giao diện vật lý. Nếu địa chỉ IP khác được biết, thì đó là thủ phạm của bạn.

4. Bắt đầu ping đến máy. Nếu nó phản ứng với ping, rút ​​cáp khỏi công tắc, từng cái một, cho đến khi ping thất bại. Cáp cuối cùng mà bạn rút ra đang dẫn đến thủ phạm của bạn.

Cũng không phải là một giải pháp đầy đủ - thực sự có thể không có một giải pháp đầy đủ cho câu hỏi của bạn tùy thuộc vào thiết lập của bạn và bỏ qua các thiết bị rút phích cắm - nhưng có thể giúp ích.

Nếu bạn nhận được địa chỉ MAC của thiết bị (ví dụ: nhìn vào bảng arp), 3 octet đầu tiên của địa chỉ thường có thể cho bạn biết điều gì đó về địa chỉ - chỉ cần đấm chúng vào công cụ tìm kiếm mac như http://www.coffer.com / mac_find /

Các chương trình như NMAP cung cấp khả năng phát hiện dấu vân tay cũng có thể hỗ trợ trong việc xử lý thiết bị được đề cập bằng cách xem xét cách thức xây dựng ngăn xếp TCP của nó. Một lần nữa, không đầy đủ nhưng nó thường có thể giúp đỡ.

Một cách khác (giả sử bạn đang sử dụng mạng chỉ có dây) có thể làm ngập địa chỉ không phù hợp với lưu lượng truy cập và tìm cổng nào trên công tắc đi theo đường đạn đạo - sau đó theo dõi cáp. Trên mạng WIFI, mọi thứ khó khăn hơn rất nhiều (bạn có thể buộc thiết bị vào điểm truy cập giả, sau đó bắt đầu di chuyển và xem tín hiệu hoạt động như thế nào để định hình thiết bị - nhưng tôi chưa thử điều gì như thế này).

Một số phương pháp kết nối máy in với mạng cục bộ cung cấp cho máy in một địa chỉ IP nằm ngoài phạm vi có khả năng được sử dụng bởi các máy tính trên mạng, vì vậy bạn có thể muốn kiểm tra máy in đó.

Bạn chỉ có khoảng 20 khách hàng. Bạn đang sử dụng một công tắc đổ.

Tôi đọc điều này là "bạn có chính xác một công tắc giá rẻ" và tất cả 20 PC được kết nối với thiết bị duy nhất này. Mỗi cổng hoạt động trên công tắc thường có một hoặc nhiều đèn LED để biểu thị tốc độ và hoạt động liên kết .

Việc cuối cùng cho chúng ta một giải pháp dễ dàng. Tạo nhiều lưu lượng cho VM của bạn và xem cổng nào sáng lên. Tùy thuộc vào hệ điều hành của bạn, bạn có thể muốn sử dụng một hoặc nhiều lời nhắc cmd với ping -t 10.0.0.81. Trên một hệ thống unix như bạn có thể sử dụng ping -f 10.0.0.81để làm tràn IP đó. (Cảnh báo, ping ping đang chạy ở tốc độ tối đa mà PC của bạn có thể xử lý. Điều này sẽ làm chậm toàn bộ mạng của bạn trong khi nó đang chạy. Nó cũng sẽ làm cho đèn LED bị cháy vĩnh viễn.