Как получить больше информации о потенциальном сетевом загрузчике?

Question

У меня настроена домашняя сеть с относительно хорошим паролем. Я нахожусь в Mac OS X 10.6 (Snow Leopard) и иногда замечаю, что в общей папке моего Finder появляется компьютер, который не является моим собственным (поле «pe-xpjalle», изображенное ниже). У него есть тенденция приходить и уходить.

Как я могу узнать его MAC-адрес или что-то, чтобы я мог заблокировать его? Я проверил свои "Журналы и статистику" в утилите аэропорта и не увидел этот компьютер под клиентами DHCP. Я бы не хотел менять свой пароль, так как у меня довольно много устройств, которые мне нужно обновить. Есть ли еще какая-то причина, по которой он появился в моей сети, кроме как угадать мой пароль?

Обновление: я исправил URL-адрес Dropbox выше (как неловко, я новичок в Dropbox. Спасибо за внимание, Даг.)

Обновление 2: я попытался нажать «Подключиться как ...» просто так, и получил диалоговое окно ниже. Теперь я еще меньше понимаю, что происходит, чем раньше. У меня не работает Parallels VMware, только следующее: Transmission, NetNewsWire, Mail, Things, Safari, iTunes, Photoshop, Pages, Yojimbo, Preferences, AppleScript Editor, Обновление программного обеспечения, Airport Utility и Terminal. Я не думаю, что кто-то из них создает виртуальную сетевую машину, верно? И ни у одной машины VMware никогда не было названия, напоминающего «pe-xpjalle».

Обновление 3: Я только что изменил свои пароли в обеих сетях N и G, и я все еще вижу это, поэтому я сильно сомневаюсь, что это кто-то, кто узнал мой пароль (теперь уже дважды). Я действительно в тупике.

Answer 1

Если он уже сломал ваше шифрование, фильтрация MAC-адресов никуда вас не приведет. Самый простой и безопасный способ защитить вашу сеть - это изменить пароль к вашей сети и включить шифрование WPA2.

Answer 2

На данный момент кажется убедительным, что все это было вызвано остатками моей установки Parallels Desktop (в частности, некоторым сетевым демоном), которые не были удалены должным образом, когда я переключился на VMware Fusion. После полного удаления Parallels, как описано здесь, я не видел «pe-xpjalle» на своей боковой панели. Спасибо за помощь.

Answer 3

Из обновлений 2 и 3 действительно звучит так, будто на вашем компьютере работает что-то странное. Вот несколько приемов для изучения этой возможности: во-первых, вы можете получить IP-адрес фантома с помощью команды findsmb:

$ findsmb

                                *=DMB
                                +=LMB
IP ADDR         NETBIOS NAME     WORKGROUP/OS/VERSION 
---------------------------------------------------------------------
192.168.0.12    PE-XPJALLE    [ WORKGROUP     ]

Если это возвращает IP-адрес вашего Mac (как предлагает обновление 2), попробуйте запустить lsof чтобы посмотреть, какая программа работает в сети netbios/microsoft на вашем компьютере:

$ sudo lsof -i | egrep "netbios|microsoft"
Password: [enter your admin password here]
launchd       1           root  103u  IPv4 0x07af52d4      0t0    TCP *:microsoft-ds (LISTEN)
launchd       1           root  105u  IPv4 0x05914740      0t0    TCP *:netbios-ssn (LISTEN)
nmbd      11168           root    6u  IPv4 0x0755b370      0t0    UDP *:netbios-ns
nmbd      11168           root    7u  IPv4 0x064f8054      0t0    UDP *:netbios-dgm
nmbd      11168           root    8u  IPv4 0x05a48e14      0t0    UDP 192.168.0.12:netbios- ns
nmbd      11168           root    9u  IPv4 0x056f3810      0t0    UDP 192.168.0.12:netbios-dgm
smbd      11175           root   19u  IPv4 0x05914740      0t0    TCP *:netbios-ssn (LISTEN)
smbd      11175           root   20u  IPv4 0x07af52d4      0t0    TCP *:microsoft-ds (LISTEN)

В приведенном выше примере у меня включен общий доступ к файлам Samba, поэтому я вижу его smbd (демон SMB) и nmbd (демон привязки имен), а также активную систему launchd (запускающий smbd при необходимости) в соответствующей сети порты. Обратите внимание, что если у вас как-то работает виртуальная машина на вашем Mac, я не думаю, что lsof покажет это, так как они подключаются к сети на более низком уровне.

Answer 4

Если он не отображается под клиентами DHCP, вы уверены, что он находится в вашей локальной сети?

Я заметил, что кэш в разделе общего доступа Finder обновляется не слишком часто. Если ваш компьютер - ноутбук, я думаю, что этот pe-xpjalle был найден в другой сети, а затем все еще обнаружился, когда вы вернулись домой.

С другой стороны, возможно, ваша машина переместилась в другую сеть.

Возможный?

Answer 5

В некотором роде заметки вы можете использовать команду arp чтобы определить MAC-адрес любого IP-адреса, с которым ваша машина недавно установила связь.

arp -a покажет всю вашу таблицу MAC.

Дополнительную информацию можно найти здесь: http://developer.apple.com/mac/library/documentation/Darwin/Reference/ManPages/man8/arp.8.html.

Answer 6

Если пользователь действительно подключен к вашей сети (что, по мнению некоторых здесь, может вызывать сомнения), вы сможете увидеть трафик, исходящий от него, если вы некоторое время запускаете анализатор пакетов. Просто ищите любой трафик, исходящий от IP-адреса, кроме тех, которые вы назначили компьютерам в вашем доме. Или, если у вас нет каких-либо устройств в течение определенных частей дня, попробуйте запустить захват. Любой трафик, который появляется, вероятно, является вашим нарушителем. Как только вы захватите некоторый трафик, вы получите их MAC-адрес и сможете принять соответствующие меры.

Answer 7

Часть «PE-XP» этого названия заставляет меня думать о WinPE, например, на компакт-дисках загрузки / восстановления Windows. Вы не запускали ни одного из тех в последнее время? Может быть, это просто спящая запись из этого? (Выстрел в темноте..)

Кроме того, что происходит, когда вы перезагружаете маршрутизатор? Этот жулик воссоединяется сразу? Вы отключили столько устройств в своей сети, сколько сможете (сетевое хранилище, другие ноутбуки, принтеры и т.д.), Чтобы убедиться, что это не что-то в одной из ваших систем?