辨識我們網路中的未知 IP

tag-icon tag-icon windows-7 networking ip vmware-player
辨識我們網路中的未知 IP

我有一個包含 20 個客戶端的網路。我10.0.0.110.0.0.20他們分配了IP範圍。當我進行 IP 掃描時,我看到有人10.0.0.131在 VMware 中使用。如何找出該 IP 與哪一個 IP 橋接?也就是我要如何找出哪個系統有2個IP? (即本系統的其他IP)

更新:

我的系統IP在網路中是10.0.0.81

在此輸入影像描述

IP 掃描器的輸出顯示有人10.0.0.131在 VMware 中使用:

在此輸入影像描述

命令的結果tracert顯示我們之間沒有任何關係:

C:\Users>tracert -j 10.0.0.131 10.0.0.81

Tracing route to ghasemi3.it.com [10.0.0.81]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  ghasemi3.it.com [10.0.0.81]

Trace complete.
C:\Users>

答案1

我無法提供全球的解決你的問題,只是部分的。您可以將其添加到轉變技術來擴大你的機會範圍。

如果執行虛擬機器的使用者透過 wifi 連接到您的 LAN,那麼您可以透過追蹤路由來識別他/她。原因是您向我們展示了虛擬機器在您的 LAN 網路上有一個 IP,因此它位於橋接的配置。由於技術原因,wifi 連接無法橋接,因此所有虛擬機器管理程式都使用巧妙的技巧而不是真正的橋接配置:它們採用代理arp,例如參見這個 Bodhi Zazen 的部落格條目有關 KVM 的工作原理的解釋,以及此頁面適用於 VMWare

由於有一台 PC 代替 VM 回覆 ARP 查詢,因此 Traceroute 將識別 VM 之前的節點。例如,這是 LAN 上另一台電腦的追蹤路由的輸出:

My traceroute  [v0.85]
asusdb (0.0.0.0)                                                                                               Mon Jun  1 11:45:03 2015
                        Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                                                           Packets               Pings
 Host                                                                                       Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. rasal.z.lan                                                                           0.0%     1    6.0   6.0   6.0   6.0   0.0
  2. FB.z.lan

rasal 是主機,FB 是訪客,我從第三台電腦(asusdb)發出這個。

在 Windows 中,正確的指令是

 tracert 10.0.0.131

在 Linux 上,您可以使用非常方便的實用程式執行相同的操作捷運:

 mtr 10.0.0.131

這補充了而不是取代了開關技術。如果你的traceroute顯示你的電腦和虛擬機器之間沒有中間躍點,那麼至少你會知道你可以排除所有透過wifi連接的LAN電腦,限制你的可能性範圍,並使轉變技術有效的可能性,如果您有一台管理型交換器或您願意將交換器中的電纜一條一條地拔掉。

或者,您也可以偽造的技術問題並斷開所有乙太網路連接,迫使您的用戶使用 wifi,直到您的罪魁禍首上鉤。

答案2

我假設 20 個客戶端連接到轉變:

每個交換器都維護一個表,其中包含表中每個已知的 MAC 位址,該表的格式如下:

    Port               Address
     1              fa:23:65:XX:XX:XX:XX
     2              87:4a:12:d2:xx:XX:xx

在哪裡港口是交換器上的實體端口,地址是在連接埠上偵測到的 MAC 位址。

您必須檢查開關控制台註冊的連接埠超過一個MAC 位址,現在您知道了 VM 主機連線的交換器連接埠。

只是要確定:

ping 10.0.0.123然後從 Windows 裝置發出arp -a

檢查對應的MAC位址是否10.0.0.123與您在裝置上偵測到的相同開關表

答案3

我過去有時也做過類似的事情。讓我困惑的是:您在 VMware 中使用您的工具嗎?所以我假設 10.0.0.0/24 是您的實體網路而不是虛擬網路?您還應該知道,由於額外的網路層(vmware 虛擬網路),某些工具可能會顯示一些奇怪的內容。

您可以做的第一件事是分析:

  • Ping 主機然後執行arp -a(可能略有錯誤,我使用的是 Linux)。尋找 MAC 位址並使用線上服務,例如http://aruljohn.com/mac.pl查找地址的前 3 對。您將看到該設備的製造商。

  • 在arp清單中,您也可以檢查同一MAC位址是否被兩個不同的IP使用。這意味著該設備有兩個。

  • ping 時間也很有趣。將其與已知的 PC 以及網路中的印表機進行比較。個人電腦的反應速度通常比網路路由器的印表機更快。不幸的是,Windows 的時間精確度不是很好。

  • 最後但並非最不重要的一點是,我建議運行nmap -A 10.0.0.131ornmap -A 10.0.0.0/24它會顯示有關特定主機或整個網路的更多資訊。 (感謝帕布克)

答案4

也不是一個完整的解決方案 - 事實上,根據您的設置,可能沒有完整的解決方案來解決您的問題,並忽略拔掉設備 - 但可以提供幫助。

如果您獲得裝置的 MAC 位址(即查看 arp 表),該位址的前 3 個八位元組通常可以告訴您有關該位址的資訊 - 只需將它們輸入 mac 查找器即可http://www.coffer.com/mac_find/

NMAP 等程式提供指紋偵測,還可以透過查看 TCP 堆疊的建置方式來協助確定有問題的裝置。再說一遍,雖然不是完全可靠,但通常會有所幫助。

另一種方法(假設您使用的是純有線網路)可能是用流量淹沒不適當的位址,並查找交換器上的哪個連接埠發生彈道 - 然後追蹤電纜。在 WIFI 網路上,事情要困難得多(您可能能夠強制設備連接到一個假接入點,然後開始移動它並查看信號如何對設備進行三角測量 - 但我還沒有嘗試過類似的操作)。

相關內容