Identifique um IP desconhecido em nossa rede

Navegue suas respostas
14

Eu tenho uma rede que contém 20 clientes. Eu atribuí o intervalo de IP 10.0.0.1 a 10.0.0.20 a eles. Quando faço uma varredura de IP, vejo alguém usando 10.0.0.131 no VMware. Como posso descobrir com qual IP este IP é conectado? Por exemplo, como posso descobrir qual sistema tem 2 IP? (ou seja, o outro IP deste sistema)

Atualização:

O IP do meu sistema na rede é 10.0.0.81 :

AsaídadoscannerIPmostraalguémusando10.0.0.131noVMware:

E o resultado do comando tracert não mostra nada entre nós: 

C:\Users>tracert -j 10.0.0.131 10.0.0.81

Tracing route to ghasemi3.it.com [10.0.0.81]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  ghasemi3.it.com [10.0.0.81]

Trace complete.
C:\Users>
    
por User1-Sp 01.06.2015 / 10:34

7 respostas

13

Não posso fornecer uma solução global para o seu problema, apenas parcial. Você pode adicionar isso à técnica para ampliar seu leque de oportunidades.

Se o usuário que estiver executando a VM estiver conectado à sua LAN via Wi-Fi, você poderá identificá-lo por meio de um traceroute. O motivo é que você nos mostrou que a VM tem um IP na sua rede LAN, por isso está em uma configuração bridged . Por razões técnicas, conexões wi-fi não podem ser conectadas, portanto, todos os hipervisores usam um truque em vez de uma configuração de ponte real: eles empregam proxy_arp , veja por exemplo entrada do blog de Bodhi Zazen para uma explicação de como isso funciona, para o KVM e esta página do VMWare .

Como há um pc respondendo a consultas ARP no lugar da VM, o traceroute identificará o nó antes da VM. Por exemplo, esta é a saída do meu traceroute de outro PC na minha LAN: 

My traceroute  [v0.85]
asusdb (0.0.0.0)                                                                                               Mon Jun  1 11:45:03 2015
                        Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                                                           Packets               Pings
 Host                                                                                       Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. rasal.z.lan                                                                           0.0%     1    6.0   6.0   6.0   6.0   0.0
  2. FB.z.lan

rasal é a máquina host, FB é o convidado, estou emitindo isso de um terceiro pc (asusdb).

No Windows, o comando adequado é 

 tracert 10.0.0.131

No Linux, você pode fazer o mesmo com o utilitário muito conveniente mtr : 

 mtr 10.0.0.131

Isso complementa, em vez de substituir, a técnica de troca. Se o seu traceroute mostrar que não há saltos intermediários entre o seu PC e a VM, então pelo menos você saberá que pode excluir todas as LANs conectadas via Wi-Fi, restringindo seu leque de possibilidades e fazendo a alternar em> técnica uma possibilidade efetiva, se você tem um switch gerenciado ou você está disposto a desconectar os cabos no switch um por um.

Alternativamente, você pode falsificar um problema técnico e desconectar todas as conexões ethernet, forçando seus usuários a usar wifi, até que o culpado morda a isca.

    
por 01.06.2015 / 11:33
10

Estou assumindo que os 20 clientes estão conectados a um switch :

Cada switch mantém uma tabela de todos os endereços MAC conhecidos na tabela, e a tabela está em um formato como este: 

    Port               Address
     1              fa:23:65:XX:XX:XX:XX
     2              87:4a:12:d2:xx:XX:xx

Onde Port é a porta física no switch e Address é o endereço MAC detectado na porta.

Você precisa verificar no console do switch uma porta que registra mais de um endereço MAC, e agora você conhece a porta do switch onde o host da VM está conectado.

Só para ter certeza:

De um equipamento Windows ping 10.0.0.123 e, em seguida, emita arp -a .

Verifique se o endereço MAC correspondente a 10.0.0.123 é o mesmo que você detectou na tabela de chaves .

    
por 01.06.2015 / 11:33
4

Eu fiz coisas assim às vezes no passado. O que me confunde: você está usando suas ferramentas no VMware? Então eu assumo que 10.0.0.0/24 é sua rede física e não virtual? Você também deve saber que algumas ferramentas podem exibir algo estranho por causa da camada de rede extra (a rede virtual VMware).

A primeira coisa que você pode fazer para analisar:

  • Efetue ping no host e, em seguida, faça arp -a (pode estar um pouco errado, estou usando o Linux). Procure o endereço MAC e use um serviço online como link para pesquisar os três primeiros pares do endereço. Você verá o fabricante do dispositivo.

  • Na lista arp, você também pode verificar se o mesmo endereço MAC é usado por dois IPs diferentes. Isso significaria que o dispositivo tem dois deles.

  • Além disso, o tempo de ping é interessante. Compare-o com PCs conhecidos e talvez com uma impressora em sua rede. Os PCs normalmente são mais rápidos para responder do que as impressoras de roteadores da Internet. Infelizmente, a precisão do tempo do Windows não é muito boa.

  • Por último, mas não menos importante, recomendo executar nmap -A 10.0.0.131 ou nmap -A 10.0.0.0/24 , o que revela mais informações sobre um host específico ou a rede completa. (Thx para pabouk)

por 01.06.2015 / 18:27
2

O rastreamento de uma máquina desconhecida em uma rede não gerenciada é difícil. Fui encarregado disso algumas vezes e, em ordem de preferência, é assim que eu lido com eles:

  1. Tentativa de navegar no servidor (se você estiver preocupado com a segurança se for um honeypot, faça isso em uma VM descartável). Você nunca sabe - navegando para essa máquina em um navegador da web pode muito bem revelar apenas o nome do PC, ou o seu propósito. Se ele tiver um certificado SSL autoassinado, ele também vazará o nome do servidor interno.

    Se não estiver executando um serviço da Web e você achar que é um PC com Windows, tente conectar-se a seus compartilhamentos administrativos (por exemplo, \example\c$ ). Você pode ter a sorte de adivinhar um nome de usuário do administrador. Ou, se você acha que é um Windows Server (ou uma edição do Windows Professional), tente o trabalho de desktops remoto.

    Uma vez que você está de alguma forma, então você pode procurar por informações sobre o propósito da máquina e, assim, quem pode tê-la criado e colocá-la na rede em primeiro lugar. Em seguida, rastreie-os.

    Algumas dessas informações (como o nome do PC e que é uma caixa do Windows) já foram reveladas pelo seu scanner, então pode não haver muito o que aprender aqui para você.

  2. Veja a tabela ARP do comutador. Isto lhe dará um mapeamento entre esse endereço MAC e uma porta física e VLAN. Isso não é possível na sua situação, pois você não tem um switch gerenciado.

  3. Compare o endereço MAC desse endereço IP com a tabela ARP local. Talvez exista um endereço MAC duplicado, o que indica dois endereços IP na mesma interface física. Se o outro endereço IP for conhecido, existe o seu culpado.

  4. Inicie um ping na máquina. Se ele responder ao ping, desconecte os cabos do switch, um por um, até que o ping falhe. Esse último cabo que você desconectou está levando ao seu culpado.

por 02.06.2015 / 01:48
1

Também não é uma solução completa - na verdade, pode não haver uma solução completa para sua pergunta, dependendo da sua configuração, e ignorar a desconexão de dispositivos -, mas pode ajudar.

Se você obtiver o endereço MAC dos dispositivos (veja a tabela arp), os três primeiros octetos do endereço poderão dizer algo sobre o endereço - basta digitá-los em um localizador de pesquisa do Mac, como link

Programas como o NMAP fornecem detecção de impressão digital, que também pode ajudar a trabalhar com o dispositivo em questão, observando a maneira como sua pilha TCP é construída. Mais uma vez, não é à prova de falhas, mas muitas vezes pode ajudar.

Outra maneira (supondo que você esteja em uma rede com fio) pode ser inundar o endereço inadequado com tráfego e procurar qual porta no switch fica balística - e rastrear o cabo. Em uma rede Wi-Fi, as coisas são muito mais difíceis (você pode forçar o dispositivo em um ponto de acesso falso, então começar a movê-lo e observar como o sinal se comporta para triangular o dispositivo - mas eu não tentei algo assim).

    
por 02.06.2015 / 08:59
0

Alguns dos métodos para conectar uma impressora a uma rede local fornecem à impressora um endereço IP fora do intervalo provável de ser usado pelos computadores na rede, portanto, talvez você queira verificar essa impressora.

    
por 23.05.2016 / 23:15
0

Você tem apenas cerca de 20 clientes. Você está usando um interruptor de despejo.

Eu li isso como "você tem precisamente um switch barato" e todos os 20 PCs estão conectados a este único dispositivo. Cada porta ativa no switch geralmente tem mais um ou mais LEDs para indicar a velocidade do link e a atividade .

O último nos dá uma solução fácil. Crie muito tráfego para sua VM e veja qual porta se acende. Dependendo do seu sistema operacional, talvez você queira usar um ou mais prompts de cmd com ping -t 10.0.0.81 . Em um sistema similar a unix, você poderia usar ping -f 10.0.0.81 para inundar esse IP. (Atenção, o ping de inundação está indo na velocidade máxima que o seu PC pode manipular. Isso irá desacelerar toda a sua rede enquanto estiver rodando. Também fará com que o LED queime permanentemente.

    
por 20.07.2016 / 13:47

Tags

rsync erro de exclusão do comando “Erro IO encontrado - ignorando a exclusão do arquivo” O compartilhamento de área de transferência bidirecional do VirtualBox para de funcionar após algum tempo em um sistema operacional convidado do Linux