14

У меня есть сеть, содержащая 20 клиентов. Я назначил им диапазон от 10.0.0.1 до 10.0.0.20 . Когда я делаю сканирование IP, я вижу, что кто-то использует 10.0.0.131 в VMware. Как я могу узнать, с каким IP этот мост соединен? т.е. как узнать какая система имеет 2 IP? (т.е. другой IP этой системы)

Обновить:

Мой системный IP в сети 10.0.0.81:

Выходные данные IP-сканера показывают, кто-то использует 10.0.0.131 в VMware:

И результат команды tracert ничего не показывает между нами:

C:\Users>tracert -j 10.0.0.131 10.0.0.81

Tracing route to ghasemi3.it.com [10.0.0.81]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  ghasemi3.it.com [10.0.0.81]

Trace complete.
C:\Users>

7 ответов7

13

Я не могу предоставить глобальное решение вашей проблемы, только частичное. Вы можете добавить это к технике переключения , чтобы расширить свой диапазон возможностей.

Если пользователь, на котором запущена виртуальная машина, подключен к вашей локальной сети через Wi-Fi, вы можете идентифицировать его с помощью traceroute. Причина в том, что вы показали нам, что у виртуальной машины есть IP-адрес в сети LAN, поэтому она находится в мостовой конфигурации. По техническим причинам, соединения Wi-Fi не могут быть мостовыми, поэтому все гипервизоры используют аккуратный трюк вместо реальной конфигурации моста: они используют proxy_arp, см., Например, эту запись в блоге Бодхи Дзазена для объяснения того, как это работает, для KVM и на этой странице для VMWare.

Поскольку на месте виртуальной машины есть компьютер, отвечающий на запросы ARP, traceroute идентифицирует узел перед виртуальной машиной. Например, это вывод моего traceroute с другого компьютера в моей локальной сети:

My traceroute  [v0.85]
asusdb (0.0.0.0)                                                                                               Mon Jun  1 11:45:03 2015
                        Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                                                           Packets               Pings
 Host                                                                                       Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. rasal.z.lan                                                                           0.0%     1    6.0   6.0   6.0   6.0   0.0
  2. FB.z.lan                       

rasal - хост-машина, FB - гость, я выдаю его с третьего компьютера (asusdb).

В Windows правильная команда

 tracert 10.0.0.131

В Linux вы можете сделать то же самое с очень удобной утилитой mtr:

 mtr 10.0.0.131

Это дополняет, а не заменяет технику переключения. Если ваш traceroute показывает, что между вашим компьютером и виртуальной машиной нет промежуточных переходов, то, по крайней мере, вы будете знать, что можете исключить все устройства локальной сети, подключенные через Wi-Fi, ограничивая диапазон своих возможностей и делая эффективную возможность переключения техники, Если у вас есть управляемый коммутатор или вы хотите отключить кабели коммутатора один за другим.

В качестве альтернативы вы можете подделать техническую проблему и отключить все соединения Ethernet, вынуждая своих пользователей использовать Wi-Fi, пока ваш преступник не примет приманку.

10

Я предполагаю, что 20 клиентов подключены к коммутатору:

Каждый коммутатор содержит таблицу всех известных MAC-адресов в таблице, и таблица имеет формат, подобный следующему:

    Port               Address
     1              fa:23:65:XX:XX:XX:XX
     2              87:4a:12:d2:xx:XX:xx

Где Port - это физический порт на коммутаторе, а Address - это MAC-адрес, обнаруженный в этом порту.

Вы должны проверить на консоли коммутатора порт, который регистрирует более одного MAC-адреса, и теперь вы знаете порт коммутатора, к которому подключен хост виртуальной машины.

Просто чтобы убедиться:

С Windows-оборудования ping 10.0.0.123 а затем arp -a .

Убедитесь, что MAC-адрес, соответствующий 10.0.0.123 совпадает с тем, который вы обнаружили в таблице коммутаторов.

4

Я делал такие вещи иногда в прошлом. Что меня смущает: вы используете свои инструменты в VMware? Итак, я предполагаю, что 10.0.0.0/24 - это ваша физическая сеть, а не виртуальная? Вы также должны знать, что некоторые инструменты могут отображать что-то странное из-за дополнительного сетевого уровня (виртуальная сеть VMware).

Первое, что вы можете сделать для анализа:

  • Проверьте связь с хостом, а затем выполните команду arp -a (может быть, я немного ошибаюсь, я использую Linux). Найдите MAC-адрес и воспользуйтесь онлайн-сервисом, например http://aruljohn.com/mac.pl, чтобы найти первые 3 пары адресов. Вы увидите производителя устройства.

  • В списке arp вы также можете проверить, используется ли один и тот же MAC-адрес двумя разными IP-адресами. Это будет означать, что устройство имеет два из них.

  • Также время пинга интересно. Сравните это с известными компьютерами и, возможно, принтером в вашей сети. ПК обычно быстрее отвечают, чем принтеры интернет-роутеров. К сожалению, точность времени Windows не очень хороша.

  • И последнее, но не менее важное: я рекомендую запустить nmap -A 10.0.0.131 или nmap -A 10.0.0.0/24 которые показывают больше информации о конкретном хосте или всей сети. (Спасибо Пабуку)

2

Выследить неизвестную машину в неуправляемой сети сложно. Мне было поручено несколько раз, и в порядке предпочтения, вот как я с ними справляюсь:

  1. Попытайтесь просмотреть сервер (если вас беспокоит безопасность, если это какой-то honeypot, сделайте это с одноразовой виртуальной машины). Вы никогда не знаете - просмотр этой машины в веб-браузере может очень просто раскрыть имя компьютера или его назначение. Если у него есть самозаверяющий сертификат SSL, это часто приводит к утечке внутреннего имени сервера.

    Если веб-служба не запущена и вы думаете, что это ПК с Windows, попробуйте подключиться к ее административным ресурсам (например, \\example\c$) - вам может повезти с угадыванием имени администратора. Или, если вы думаете, что это Windows Server (или версия Windows Professional), попробуйте подключиться к нему удаленно.

    Когда вы каким-то образом окажетесь, вы сможете найти информацию о назначении машины, и, следовательно, о том, кто, возможно, создал ее и поместил в сеть. Затем выследите их.

    Некоторая часть этой информации (например, имя компьютера и название Windows) уже была обнаружена вашим сканером, поэтому, возможно, здесь вам мало что можно узнать.

  2. Посмотрите на таблицу ARP коммутатора. Это даст вам сопоставление между этим MAC-адресом и физическим портом и VLAN. В вашей ситуации это невозможно, поскольку у вас нет управляемого коммутатора.

  3. Сравните MAC-адрес для этого IP-адреса с вашей локальной таблицей ARP. Возможно, там есть дублированный MAC-адрес, который указывает два IP-адреса на одном физическом интерфейсе. Если известен другой IP-адрес, значит, ваш виновник.

  4. Начать пинг до машины. Если он реагирует на пинг, отсоединяйте кабели от коммутатора, один за другим, пока не пропадет эхо-запрос. Тот последний кабель, который вы отключили, ведет к вашему преступнику.

1

Также не полное решение - на самом деле может не быть полного решения вашего вопроса в зависимости от вашей настройки и игнорирования отключающих устройств - но это может помочь.

Если вы получаете MAC-адрес устройства (т. Е. Посмотрите на таблицу arp), первые 3 октета адреса часто могут рассказать вам что-то об адресе - просто вставьте их в искатель поиска Mac, например http://www.coffer.com/mac_find/

Такие программы, как NMAP, обеспечивают обнаружение отпечатков пальцев, что также может помочь в работе с рассматриваемым устройством, посмотрев, как устроен его стек TCP. Опять же, не полностью защищен, но часто может помочь.

Другой способ (при условии, что вы подключены только к проводной сети) может заключаться в том, чтобы заполнить трафик неподходящим адресом и определить, какой порт коммутатора имеет баллистический характер, а затем проследить кабель. В сети WIFI все намного сложнее (возможно, вы сможете заставить устройство перейти на ложную точку доступа, а затем начать перемещать его и посмотреть, как ведет себя сигнал для триангуляции устройства - но я не пробовал что-то подобное).

0

У вас всего около 20 клиентов. Вы используете переключатель дампа.

Я читаю это как "у вас точно один дешевый коммутатор", и все 20 компьютеров подключены к этому единственному устройству. Каждый активный порт на коммутаторе обычно имеет один или несколько светодиодных индикаторов, указывающих скорость и активность канала.

Последнее дает нам простое решение. Создайте много трафика для вашей виртуальной машины и посмотрите, какой порт загорается. В зависимости от вашей ОС вы можете использовать одну или несколько команд cmd с ping -t 10.0.0.81 . На Unix-подобных системах вы можете использовать ping -f 10.0.0.81 для заполнения этого IP- адреса . (Предупреждение: флуд-пинг идет с максимальной скоростью, с которой может справиться ваш ПК. Это приведет к замедлению всей сети в то время как она работает. Это также заставит светодиод гореть постоянно.

0

Некоторые из способов подключения принтера к локальной сети дают принтеру IP-адрес вне диапазона, который, вероятно, будет использоваться компьютерами в сети, поэтому вы можете проверить наличие такого принтера.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .