Используйте ARP для проверки вашей локальной сети
ARP - это ddress R esolution Р rotocol - это часть "слой 2" протокол Ethernet - также известный как канальном - и это механизм , посредством которого IP - адрес Ethernet переводится в MAC - адреса.
Пакеты ARP регулярно отправляются каждой сетевой интерфейсной платой Ethernet, которая подключена к сети, чтобы либо обновить сопоставление IP-адреса с MAC-адресом, либо обнаружить сопоставление, которого в настоящее время нет в локальной таблице поиска ARP.
Сообщение протокола ARP, переведенное на английский язык, в основном:
"у кого есть IP адрес YYYY, расскажите ZZZZ"
с ZZZZ, равным IP-адресу, с которого было отправлено ARP-сообщение
Ответ в форме:
«ГГГГ это мм: мм: мм: мм: мм: мм»
с мм: мм: мм: мм: мм: мм - это MAC-адрес, связанный с IP-адресом ГГГГ
В ARP есть несколько вещей, которые помогут вам найти любые активные локальные сетевые карты и связанные с ними IP-адреса:
- Запросы ARP должны быть включены интерфейсом, который служит маршрутизатором - без него (или без статического маршрута ARP) вы вообще не могли бы с ним разговаривать. Маршрутизатор, служащий в качестве DHCP-сервера, будет отвечать на запросы ARP (я уверен, что есть исключения, но не в потребительском продукте).
- Пакеты ARP не маршрутизируются - они не будут отправляться из вашего сегмента локальной сети, поэтому вы не увидите сотни или тысячи IP-адресов, которые вы бы увидели в чем-то вроде кеша DNS.
- Вы можете видеть IP-адреса, которых нет в вашей IP-подсети, если они активны в локальном сегменте локальной сети, например, вы не можете пропинговать что-либо в своем локальном сегменте локальной сети, если он находится за пределами настроенного диапазона подсети, если для него не настроен маршрут. ARP не знает вашей маски подсети и будет записывать все записи ARP, которые видит.
Как очистить, обновить и вывести локальные записи ARP
Отключите как можно больше устройств от вашей локальной сети, включая устройства, подключенные через Wi-Fi к локальной сети - это значительно упростит интерпретацию результатов.
Откройте командную строку с правами администратора и введите следующие команды.
Первый очистит кеш arp.
arp -d *
Вторая команда отправит широковещательный пинг, от которого вы, вероятно, не увидите ответа, но он обновит ваш кэш arp. Просто подождите, пока не истечет время. Обратите внимание, что это будет переведено в широковещательный arp ping; поэтому он не ограничен настройками вашей подсети.
ping 10.255.255.255
Теперь выведите кэшированную таблицу ARP.
arp -a
Вы получите результаты, перечисленные интерфейсом; Я показал отрывок из команды, выполняемой на моей локальной машине. Большая часть вашего внимания должна быть на результатах вашего физического сетевого интерфейса (у вас могут быть списки для виртуальных интерфейсов, если у вас установлен VMWare или аналогичный). Я запутал MAC (физические адреса) из этого вывода.
Interface: 192.168.1.101 --- 0x5
Internet Address Physical Address Type
192.168.1.1 XX-XX-XX-XX-1b-c9 dynamic
192.168.1.2 XX-XX-XX-XX-16-d5 dynamic
192.168.1.103 XX-XX-XX-XX-17-53 dynamic
192.168.1.124 XX-XX-XX-XX-de-0c dynamic
192.168.1.255 ff-ff-ff-ff-ff-ff static
Несколько замечаний по выводу таблицы ARP:
Обратите внимание, что один порт сетевой карты может иметь несколько IP-адресов - это может происходить с этим устройством.
Один порт может отображаться как имеющий несколько MAC-адресов - обычно это происходит потому, что на машине есть виртуальные адаптеры или мосты, которые совместно используют физический интерфейс.
Данный IP-адрес никогда не должен ассоциироваться с несколькими MAC-адресами.
Все * с IP-адресом в вашей локальной сети должно отображаться в этом списке. Попробуйте определить каждое устройство.
Почти все устройства будут отправлять незапрошенный пинг ARP (который содержит свой MAC-адрес и связанный IP-адрес) вскоре после установления сетевого подключения. Если вы не видите его и он не отвечает на широковещательную рассылку, вы можете попробовать сбросить кэш arp (arp -d *) при выключенном маршрутизаторе, а затем снова включить его и просмотреть выходные данные кеша arp.
Другие вещи, которые можно попробовать, если вы не можете получить IP-адрес, используя этот подход
- Чтобы получить низкоуровневое представление обо всем в сети, которое видит ваша сетевая карта, вы можете использовать инструмент под названием wireshark. Если вы не можете получить его IP-адрес каким-либо другим способом, использование wireshark с сетевой картой в случайном режиме почти наверняка сделает это, но это не тривиально, чтобы начать работу с инструментом и понять, что он показывает вам.
- Если ничего не помогает, вручную настройте параметры сети на тот же IP-адрес, шлюз по умолчанию и параметры DNS-сервера, назначенные маршрутизатором, но измените маску подсети на все более крупные размеры. 10.118.255.255 (/16), затем 10.255.255.255 (/8), затем 240.255.255.255 (/4) и используйте такой инструмент, как nmap, для глубокого сканирования этой подсети на уровне IP при одновременном запуске wireshark. Чем больше подсеть, тем дольше это займет, поэтому я советую постепенно увеличиваться.
* Отказ от ответственности - это предполагает, что типичная домашняя сеть без VLAN, в настоящее время нет активных VPN-подключений и других активных в настоящее время маршрутизаторов или управляемых коммутаторов - все это может затруднить интерпретацию результатов ARP и ограничить видимость результатов ARP для локальной сети LAN ,
