Identifique um IP desconhecido em nossa rede

Identifique um IP desconhecido em nossa rede

Eu tenho uma rede contendo 20 clientes. Eu atribuí um intervalo de IP 10.0.0.1a 10.0.0.20eles. Quando faço uma varredura de IP, vejo alguém usando 10.0.0.131VMware. Como posso descobrir com qual IP esse IP está conectado? ou seja, como posso descobrir qual sistema tem 2 IP? (ou seja, o outro IP deste sistema)

Atualizar:

O IP do meu sistema na rede é 10.0.0.81:

insira a descrição da imagem aqui

A saída do scanner IP mostra alguém usando 10.0.0.131no VMware:

insira a descrição da imagem aqui

E o resultado do tracertcomando não mostra nada entre nós:

C:\Users>tracert -j 10.0.0.131 10.0.0.81

Tracing route to ghasemi3.it.com [10.0.0.81]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  ghasemi3.it.com [10.0.0.81]

Trace complete.
C:\Users>

Responder1

não posso fornecer umglobalsolução para o seu problema, apenas parcial. Você pode adicionar isso aotrocartécnica para ampliar seu leque de oportunidades.

Se o usuário que executa a VM estiver conectado à sua LAN via wifi, você poderá identificá-lo por meio de um traceroute. O motivo é que você nos mostrou que a VM possui um IP na sua rede LAN, portanto está em umem ponteconfiguração. Por razões técnicas, as conexões Wi-Fi não podem ser interligadas, portanto, todos os hipervisores usam um truque interessante em vez de uma configuração de ponte real: eles empregamproxy_arp, veja por exemploesta entrada do blog de Bodhi Zazenpara obter uma explicação de como isso funciona, para KVM, eesta página para VMWare.

Como há um PC respondendo às consultas ARP no lugar da VM, o traceroute identificará o nó antes da VM. Por exemplo, esta é a saída do meu traceroute de outro PC na minha LAN:

My traceroute  [v0.85]
asusdb (0.0.0.0)                                                                                               Mon Jun  1 11:45:03 2015
                        Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                                                           Packets               Pings
 Host                                                                                       Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. rasal.z.lan                                                                           0.0%     1    6.0   6.0   6.0   6.0   0.0
  2. FB.z.lan                       

rasal é a máquina host, FB é o convidado, estou emitindo isso de um terceiro pc (asusdb).

No Windows, o comando apropriado é

 tracert 10.0.0.131

No Linux, você pode fazer o mesmo com um utilitário muito convenientemetrô:

 mtr 10.0.0.131

Isso complementa, em vez de substituir, a técnica de troca. Se o seu traceroute mostrar que não há saltos intermediários entre o seu pc e a VM, então pelo menos você saberá que pode descartar todos os computadores LAN conectados via wifi, restringindo seu leque de possibilidades e tornando otrocartécnica uma possibilidade efetiva,sevocê tem um switch gerenciado ou deseja desconectar os cabos do switch um por um.

Alternativamente, você podefalsoum problema técnico e desconecte todas as conexões Ethernet, forçando seus usuários a usar wi-fi, até que o culpado morda a isca.

Responder2

Presumo que os 20 clientes estejam conectados a umtrocar:

Cada switch mantém uma tabela de todos os endereços MAC conhecidos na tabela, e a tabela está em um formato como este:

    Port               Address
     1              fa:23:65:XX:XX:XX:XX
     2              87:4a:12:d2:xx:XX:xx

OndePortaé a porta física no switch eEndereçoé o endereço MAC detectado na porta.

Você tem que verificar noconsole de trocauma porta que registramais de umEndereço MAC e agora você conhece a porta do switch onde o host da VM está conectado.

Só pra ter certeza:

De um equipamento Windows ping 10.0.0.123e emita o arquivo arp -a.

Verifique se o endereço MAC correspondente 10.0.0.123é o mesmo que você detectou notabela de comutação.

Responder3

Eu fiz coisas assim algumas vezes no passado. O que me confunde: você está usando suas ferramentas no VMware? Então presumo que 10.0.0.0/24 seja sua rede física e não virtual? Você também deve saber que algumas ferramentas podem exibir algo estranho por causa da camada de rede extra (a rede virtual VMware).

A primeira coisa que você pode fazer para analisar:

  • Faça ping no host e faça arp -a(pode estar um pouco errado, estou usando Linux). Procure o endereço MAC e use um serviço online comohttp://aruljohn.com/mac.plpara pesquisar os 3 primeiros pares do endereço. Você verá o fabricante do dispositivo.

  • Na lista arp, você também pode verificar se o mesmo endereço MAC é usado por dois IPs diferentes. Isso significaria que o dispositivo tem dois deles.

  • Além disso, o tempo de ping é interessante. Compare-o com PCs conhecidos e talvez com uma impressora em sua rede. Os PCs normalmente respondem mais rápido do que as impressoras dos roteadores de Internet. Infelizmente, a precisão do tempo do Windows não é muito boa.

  • Por último, mas não menos importante, recomendo executar nmap -A 10.0.0.131ou nmap -A 10.0.0.0/24que revela mais informações sobre um host específico ou sobre a rede completa. (Obrigado para pabouk)

Responder4

Também não é uma solução completa - na verdade, pode não haver uma solução completa para sua pergunta, dependendo da sua configuração e ignorando a desconexão de dispositivos - mas pode ajudar.

Se você obtiver o endereço MAC do dispositivo (ou seja, olhar para a tabela arp), os primeiros 3 octetos do endereço muitas vezes podem lhe dizer algo sobre o endereço - basta digitá-los em um localizador de pesquisa mac comohttp://www.coffer.com/mac_find/

Programas como o NMAP fornecem detecção de impressões digitais, o que também pode ajudar no funcionamento do dispositivo em questão, observando a forma como sua pilha TCP é construída. Novamente, não é completo, mas muitas vezes pode ajudar.

Outra maneira (supondo que você esteja em uma rede somente com fio) pode ser inundar o endereço inadequado com tráfego e procurar qual porta do switch fica balística - depois rastrear o cabo. Em uma rede WIFI, as coisas são muito mais difíceis (você pode forçar o dispositivo em um ponto de acesso falso, começar a movê-lo e observar como o sinal se comporta para triangular o dispositivo - mas não tentei algo assim).

informação relacionada