Identifica un IP sconosciuto nella nostra rete


14

Ho una rete contenente 20 clienti. Ho assegnato intervallo IP 10.0.0.1per 10.0.0.20loro. Quando eseguo una scansione IP vedo qualcuno che usa 10.0.0.131in VMware. Come posso sapere con quale IP è collegato questo IP? cioè come posso sapere quale sistema ha 2 IP? (ovvero l'altro IP di questo sistema)

Aggiornare:

Il mio IP di sistema nella rete è 10.0.0.81:

inserisci qui la descrizione dell'immagine

L'output dello scanner IP mostra qualcuno che utilizza 10.0.0.131in VMware:

inserisci qui la descrizione dell'immagine

E il risultato del tracertcomando non mostra nulla tra di noi:

C:\Users>tracert -j 10.0.0.131 10.0.0.81

Tracing route to ghasemi3.it.com [10.0.0.81]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  ghasemi3.it.com [10.0.0.81]

Trace complete.
C:\Users>

1
L'interruttore è un interruttore stupido o è gestito?
Kinnectus,

@BigChris Non so cosa intendi per discarica. Ma non è gestito. :)
User1-Sp

1
Uno switch di rete stupido è uno che non ha alcuna capacità per te di gestire o interrogare il dispositivo switch stesso - cioè per essere in grado di trovare a quale porta è collegato l'indirizzo MAC della macchina che stai cercando di trovare. Gli switch stupidi non hanno una porta "di gestione" aggiuntiva.
Kinnectus,

2
Fallendo tutto il resto, dal momento che è una rete così piccola, è possibile individuarlo per tentativi ed errori: estrarre i fili uno alla volta fino a trovare quello che interrompe la connessione all'indirizzo in questione.
Harry Johnston,

Risposte:


13

Non posso fornire una soluzione globale al tuo problema, solo parziale. È possibile aggiungere questo alla tecnica switch per ampliare la gamma di opportunità.

Se l'utente che esegue la VM è connesso alla LAN tramite Wi-Fi, è possibile identificarlo mediante un traceroute. Il motivo è che ci hai mostrato che la VM ha un IP sulla tua rete LAN, quindi è in una configurazione a ponte . Per motivi tecnici, le connessioni wifi non possono essere collegate, quindi tutti gli hypervisor usano un trucco pulito invece di una vera configurazione bridge: impiegano proxy_arp , vedi ad esempio questo post sul blog di Bodhi Zazen per una spiegazione di come funziona, per KVM e questa pagina per VMWare .

Poiché al posto della VM è presente un PC che risponde alle query ARP, traceroute identificherà il nodo prima della VM. Ad esempio, questo è l'output del mio traceroute da un altro PC sulla mia LAN:

My traceroute  [v0.85]
asusdb (0.0.0.0)                                                                                               Mon Jun  1 11:45:03 2015
                        Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                                                           Packets               Pings
 Host                                                                                       Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. rasal.z.lan                                                                           0.0%     1    6.0   6.0   6.0   6.0   0.0
  2. FB.z.lan                       

rasal è la macchina host, FB è l'ospite, sto emettendo questo da un terzo pc (asusdb).

In Windows, il comando corretto è

 tracert 10.0.0.131

Su Linux, puoi fare lo stesso con l'utility mtr molto conveniente :

 mtr 10.0.0.131

Questo completa, anziché sostituire, la tecnica di commutazione. Se il tuo traceroute mostra che non ci sono salti intermedi tra il tuo PC e la VM, almeno saprai che puoi escludere tutti i PC LAN collegati tramite Wi-Fi, limitando la tua gamma di possibilità e rendendo la tecnica dello switch una possibilità effettiva, se si dispone di uno switch gestito o si desidera scollegare i cavi nello switch uno alla volta.

In alternativa, potresti falsificare un problema tecnico e disconnettere tutte le connessioni Ethernet, costringendo i tuoi utenti a utilizzare il wifi, fino a quando il colpevole non prende l'esca.


3
Se la VM è collegata a ponte, non vi sono hop IP tra origine e destinazione. Gli strumenti tracert e mtr sono molto buoni per tracciare percorsi di routing IP , ma non sono in grado di scoprire bridge e switch che funzionano al livello 2.
jcbermu

Hai ragione. Per favore, includi la spiegazione nella tua risposta in modo che io possa votarti di nuovo
jcbermu,

Posso chiederti di controllare la sezione di aggiornamento nella mia domanda. Penso che la tua soluzione non abbia funzionato per me. Ho ragione? (I numeri IP in realtà sono leggermente diversi rispetto ai valori che ho già menzionato nella domanda- Ho cambiato 123il valore reale:. 131Posso chiederti di correggerlo anche tu?)
User1-Sp

3
@MariusMatutiae Se il software VM stesse effettivamente utilizzando ARP proxy, l'indirizzo MAC come mostrato nello screenshot non avrebbe una OUI VMware.
Daniel B,

2
Certamente. Non è ancora ciò di cui sto parlando. Lo dirò di nuovo molto chiaramente: è visibile un MAC OUI MAC. Ciò implica chiaramente che non viene utilizzato il proxy ARP . VMware utilizza ARP proxy solo quando necessario: su connessioni wireless.
Daniel B

10

Suppongo che i 20 client siano collegati a uno switch :

Ogni switch gestisce una tabella di tutti gli indirizzi MAC noti sulla tabella e la tabella ha un formato simile al seguente:

    Port               Address
     1              fa:23:65:XX:XX:XX:XX
     2              87:4a:12:d2:xx:XX:xx

Dove Porta è la porta fisica sullo switch e Indirizzo è l'indirizzo MAC rilevato sulla porta.

È necessario verificare sulla console dello switch una porta che registra più di un indirizzo MAC e ora si conosce la porta dello switch a cui è collegato l'host di macchine virtuali.

Giusto per essere sicuro:

Da un'apparecchiatura di Windows ping 10.0.0.123e quindi emissione arp -a.

Verificare che l'indirizzo MAC corrispondente 10.0.0.123sia lo stesso rilevato sulla tabella degli interruttori .


4

Ho fatto cose del genere a volte in passato. Cosa mi confonde: stai usando i tuoi strumenti in VMware? Quindi suppongo che 10.0.0.0/24 sia la tua rete fisica e non virtuale? Dovresti anche sapere che alcuni strumenti potrebbero mostrare qualcosa di strano a causa del livello di rete aggiuntivo (la rete virtuale VMware).

La prima cosa che puoi fare per analizzare:

  • Effettua il ping dell'host e poi fai arp -a(potrebbe essere leggermente sbagliato, sto usando Linux). Cerca l'indirizzo MAC e utilizza un servizio online come http://aruljohn.com/mac.pl per cercare le prime 3 coppie dell'indirizzo. Vedrai il produttore del dispositivo.

  • Nell'elenco arp, puoi anche verificare se lo stesso indirizzo MAC è utilizzato da due IP diversi. Ciò significherebbe che il dispositivo ne ha due.

  • Anche il tempo di ping è interessante. Confrontalo con PC noti e forse con una stampante nella tua rete. I PC normalmente rispondono più rapidamente rispetto alle stampanti di router Internet. Sfortunatamente, la precisione temporale di Windows non è molto buona.

  • Ultimo ma non meno importante, consiglio di eseguire nmap -A 10.0.0.131o nmap -A 10.0.0.0/24che rivela ulteriori informazioni su un host specifico o l'intera rete. (Grazie a pabouk)


1
Dalle tre risposte questo è il migliore di ciò che può essere fatto direttamente da qualsiasi computer sul segmento L2. Inoltre eseguirò una scansione davvero :) avanzata per rivelare ulteriori informazioni sui computer, usando ad esempio nmap : nmap -A 10.0.0.131o nmap -A 10.0.0.0/24. In questo modo puoi scoprire, ad esempio, il sistema operativo, il nome del computer, i servizi in esecuzione, le loro versioni ecc. --- Questo potrebbe essere davvero utile se non trovi due indirizzi IP con lo stesso MAC.
pabouk,

Il ping dell'host quindi facendo arp -a restituirà l'indirizzo MAC della VM, che già conosciamo; la ricerca dei primi 3 ottetti restituisce il produttore VMWare, che già conosciamo. Il confronto dei tempi di ping non produce nulla, poiché dipende dal traffico e dalla vicinanza fisica. Occasionalmente, può essere una buona idea provare la propria risposta prima di presentarsi a un pubblico generale.
MariusMatutiae,

@MariusMatutiae Ho esplicitamente scritto che presumo che il tuo host sia nella rete. Non ho configurato una VM VMware solo per trovarla in seguito. Nel tuo caso stai cercando una macchina virtuale sul tuo host. Non dovrebbe essere troppo complicato da trovare ;-)
Daniel Alder,

@MariusMatutiae Solo un extra: prova a eseguire pinge arp -asull'host invece della VM e dimmi se vedi una differenza. Vedi la ragione di ciò nel primo paragrafo della mia risposta.
Daniel Alder,

2

È difficile rintracciare una macchina sconosciuta su una rete non gestita. Sono stato incaricato di questo alcune volte e, in ordine di preferenza, è così che mi occupo di loro:

  1. Tenta di esplorare il server (se sei preoccupato per la sicurezza se si tratta di una sorta di honeypot, fallo da una macchina virtuale usa e getta). Non si sa mai: navigare su quella macchina in un browser Web potrebbe rivelare semplicemente il suo nome PC o il suo scopo. Se ha un certificato SSL autofirmato, spesso anche il nome del server interno perderà.

    Se non è in esecuzione un servizio Web e pensi che sia un PC Windows, prova a connetterti alle sue condivisioni amministrative (ad es. \\example\c$): Potresti essere fortunato a indovinare un nome utente amministratore. Oppure, se pensi che sia un Windows Server (o un'edizione di Windows Professional), prova a provarlo da remoto.

    Una volta che sei in qualche modo, puoi cercare informazioni sullo scopo della macchina, e quindi chi potrebbe averlo creato e metterlo in rete in primo luogo. Quindi rintracciarli.

    Alcune di queste informazioni (come il nome del PC e che si tratta di una finestra di Windows) sono già state rivelate dal tuo scanner, quindi potrebbe non esserci molto da imparare qui per te.

  2. Guarda la tabella ARP dello switch. Questo ti darà una mappatura tra quell'indirizzo MAC e una porta fisica e VLAN. Questo non è possibile nella tua situazione in quanto non hai uno switch gestito.

  3. Confronta l'indirizzo MAC per quell'indirizzo IP con la tua tabella ARP locale. Forse c'è un indirizzo MAC duplicato lì dentro, che indica due indirizzi IP sulla stessa interfaccia fisica. Se l'altro indirizzo IP è noto, allora c'è il tuo colpevole.

  4. Inizia un ping alla macchina. Se risponde al ping, scollegare i cavi dallo switch, uno alla volta, fino a quando il ping fallisce. L'ultimo cavo che hai scollegato sta portando al tuo colpevole.


Quest'ultimo suggerimento è probabilmente la soluzione universale (e unica) definitiva per reti non gestite.
Daniel B,

1

Inoltre, non è una soluzione completa - in effetti potrebbe non esserci una soluzione completa alla tua domanda a seconda della configurazione e ignorando i dispositivi di scollegamento - ma potrebbe aiutare.

Se ottieni l'indirizzo MAC dei dispositivi (es. Guarda la tabella arp), i primi 3 ottetti dell'indirizzo possono spesso dirti qualcosa sull'indirizzo - semplicemente inseriscili in un mac finder finder come http://www.coffer.com / mac_find /

Programmi come NMAP forniscono il rilevamento delle impronte digitali che può anche aiutare a elaborare il dispositivo in questione osservando il modo in cui è costruito il suo stack TCP. Ancora una volta, non completamente resistente ma può spesso aiutare.

Un altro modo (supponendo che tu sia su una rete solo cablata) potrebbe essere inondare l'indirizzo inappropriato di traffico e cercare quale porta sullo switch diventa balistica, quindi tracciare il cavo. Su una rete WIFI le cose sono molto più difficili (potresti essere in grado di forzare il dispositivo su un falso punto di accesso, quindi iniziare a spostarlo e vedere come si comporta il segnale per triangolare il dispositivo, ma non ho provato qualcosa di simile).


0

Alcuni dei metodi per la connessione di una stampante a una rete locale forniscono alla stampante un indirizzo IP al di fuori dell'intervallo che potrebbe essere utilizzato dai computer in rete, quindi è possibile verificare tale stampante.


L'OUI VMware nell'indirizzo MAC, il nome PC e l'ascolto IIS indicano chiaramente che questa non è una stampante.
Daniel B,

0

Hai solo circa 20 clienti. Stai utilizzando un dump switch.

Ho letto questo come "hai esattamente un interruttore economico" e tutti e 20 i PC sono collegati a questo singolo dispositivo. Ogni porta attiva sullo switch di solito ha uno o più LED per indicare la velocità e l' attività del collegamento .

L'ultimo ci offre una soluzione semplice. Crea molto traffico per la tua VM e guarda quale porta si illumina. A seconda del sistema operativo in uso, è possibile che si desideri utilizzare uno o più prompt cmd ping -t 10.0.0.81. Su un sistema unix come potresti usare ping -f 10.0.0.81per inondare quell'IP. (Attenzione, ping flood sta la velocità massima che è in grado di gestire il PC. Questo si rallenterà l'intera rete mentre è in esecuzione. Si farà anche l'ustione permanentnly.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.