Identifique um IP desconhecido em nossa rede

14

Eu tenho uma rede contendo 20 clientes. Eu atribuído gama IP 10.0.0.1para 10.0.0.20a eles. Quando faço uma varredura IP, vejo alguém usando o 10.0.0.131VMware. Como posso descobrir com qual IP esse IP é ponte? Como posso descobrir qual sistema possui 2 IP? (ou seja, o outro IP deste sistema)

Atualizar:

O IP do meu sistema na rede é 10.0.0.81:

insira a descrição da imagem aqui

A saída do scanner IP mostra alguém usando 10.0.0.131no VMware:

insira a descrição da imagem aqui

E o resultado do tracertcomando não mostra nada entre nós:

C:\Users>tracert -j 10.0.0.131 10.0.0.81

Tracing route to ghasemi3.it.com [10.0.0.81]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  ghasemi3.it.com [10.0.0.81]

Trace complete.
C:\Users>
Usuário1-Sp
fonte
1
O interruptor é um interruptor estúpido ou é gerenciado?
Kinnectus
@ BigChris Eu não sei o que você quer dizer com despejo. Mas não é gerenciado. :)
User1-Sp
1
Um comutador de rede idiota é aquele que não tem a capacidade de gerenciar ou interrogar o próprio dispositivo do comutador - ou seja, ser capaz de encontrar em qual porta o endereço MAC da máquina que você está tentando encontrar está conectado. Os switches mudos não têm uma porta de "gerenciamento" adicional.
Kinnectus
2
Na falta de todo o resto, como é uma rede tão pequena, você pode localizá-la por tentativa e erro: puxe os fios um de cada vez até encontrar o que corta sua conexão com o endereço em questão.
Harry Johnston

Respostas:

13

Não posso fornecer uma solução global para o seu problema, apenas uma parcial. Você pode adicionar isso à técnica de troca para ampliar seu leque de oportunidades.

Se o usuário executando a VM estiver conectado à sua LAN via wifi, você poderá identificá-lo por meio de um traceroute. O motivo é que você nos mostrou que a VM tem um IP na sua rede LAN, portanto, está em uma configuração em ponte . Por razões técnicas, as conexões Wi-Fi não podem ser conectadas, portanto, todos os hipervisores usam um truque interessante em vez de uma configuração de ponte real: eles empregam proxy_arp ; veja, por exemplo, esta entrada de blog do Bodhi Zazen para obter uma explicação de como isso funciona, para KVM e esta página. para VMWare .

Como há um PC respondendo às consultas ARP no lugar da VM, o traceroute identificará o nó antes da VM. Por exemplo, esta é a saída do meu traceroute de outro PC na minha LAN:

My traceroute  [v0.85]
asusdb (0.0.0.0)                                                                                               Mon Jun  1 11:45:03 2015
                        Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                                                           Packets               Pings
 Host                                                                                       Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. rasal.z.lan                                                                           0.0%     1    6.0   6.0   6.0   6.0   0.0
  2. FB.z.lan                       

rasal é a máquina host, FB é o convidado, estou emitindo isso a partir de um terceiro pc (asusdb).

No Windows, o comando apropriado é

 tracert 10.0.0.131

No Linux, você pode fazer o mesmo com o utilitário muito conveniente mtr :

 mtr 10.0.0.131

Isso complementa, em vez de substituir, a técnica de troca. Se o seu traceroute mostrar que não há saltos intermediários entre o PC e a VM, pelo menos você saberá que pode descartar todos os PCs LAN conectados via Wi-Fi, restringindo seu leque de possibilidades e tornando a técnica do switch uma possibilidade efetiva, se você possui um comutador gerenciado ou deseja desconectar os cabos do comutador, um por um.

Como alternativa, você pode fingir um problema técnico e desconectar todas as conexões Ethernet, forçando seus usuários a usar o Wi-Fi, até que o culpado morda a isca.

MariusMatutiae
fonte
3
Se a VM estiver em ponte, não há saltos de IP entre a origem e o destino. As ferramentas tracert e mtr são muito bons para fazer um traço de IP encaminhamento caminhos, mas incapaz de descobrir pontes e comutadores que funcionam no nível 2.
jcbermu
Você está certo. Por favor, inclua a explicação sobre a sua resposta para que eu possa upvote-lo novamente
jcbermu
Posso pedir que você verifique a seção de atualização na minha pergunta. Acho que sua solução não funcionou para mim. Estou certo? (Os números IP em real são um pouco diferentes dos valores que eu mencionei na pergunta: eu mudei 123para o valor real:. 131Posso pedir que você o corrija também?)
User1-Sp
3
@MariusMatutiae Se o software da VM estivesse realmente usando o ARP proxy, o endereço MAC, como mostrado na captura de tela, não teria uma VMware OUI.
Daniel B
2
Certamente. Ainda não é disso que estou falando. Vou repetir com muita clareza: Um VMware OUI MAC está visível. Isso implica claramente que o proxy ARP não é usado . O VMware usa o ARP proxy somente quando necessário: em conexões sem fio.
Daniel B
10

Estou assumindo que os 20 clientes estão conectados a um switch :

Todo switch mantém uma tabela de todos os endereços MAC conhecidos na tabela, e a tabela está em um formato como este:

    Port               Address
     1              fa:23:65:XX:XX:XX:XX
     2              87:4a:12:d2:xx:XX:xx

Onde Port é a porta física no switch e Address é o endereço MAC detectado na porta.

Você precisa verificar no console do switch uma porta que registra mais de um endereço MAC e agora conhece a porta do switch em que o host da VM está conectado.

Só pra ter certeza:

Em um equipamento Windows ping 10.0.0.123e depois emita arp -a.

Verifique se o endereço MAC correspondente 10.0.0.123é o mesmo que você detectou na tabela de comutadores .

jcbermu
fonte
4

Eu fiz coisas assim algumas vezes no passado. O que me confunde: você está usando suas ferramentas no VMware? Então, eu assumo que 10.0.0.0/24 é sua rede física e não virtual? Você também deve saber que algumas ferramentas podem exibir algo estranho por causa da camada de rede extra (a rede virtual vmware).

Primeira coisa que você pode fazer para analisar:

  • Faça ping no host e faça arp -a(pode estar um pouco errado, estou usando o Linux). Procure o endereço MAC e use um serviço online como http://aruljohn.com/mac.pl para pesquisar os 3 primeiros pares do endereço. Você verá o fabricante do dispositivo.

  • Na lista arp, você também pode verificar se o mesmo endereço MAC é usado por dois IPs diferentes. Isso significaria que o dispositivo possui dois deles.

  • Também o tempo de ping é interessante. Compare-o com PCs conhecidos e talvez com uma impressora na sua rede. Normalmente, os PCs respondem mais rapidamente do que as impressoras de roteadores da Internet. Infelizmente, a precisão do tempo do Windows não é muito boa.

  • Por último, mas não menos importante, recomendo executar nmap -A 10.0.0.131ou nmap -A 10.0.0.0/24que revele mais informações sobre um host específico ou a rede completa. (Thx para pabouk)

Daniel Alder
fonte
1
Das três respostas, este é o melhor do que pode ser feito diretamente de qualquer computador no segmento L2. Além disso, eu executaria uma verificação realmente :) avançada para revelar informações adicionais sobre os computadores - usando, por exemplo, nmap : nmap -A 10.0.0.131or nmap -A 10.0.0.0/24. Dessa forma, você pode descobrir, por exemplo, o sistema operacional, o nome do computador, os serviços em execução, suas versões etc. - Isso pode ser realmente útil se você não encontrar dois endereços IP com o mesmo MAC.
precisa saber é
Fazer o ping do host e executar o arp -a retornará o endereço MAC da VM, que já sabemos; procurar os três primeiros octetos retorna o fabricante VMWare, que já sabemos. A comparação dos tempos de ping não produz nada, pois depende do tráfego e da proximidade física. Ocasionalmente, pode ser uma boa idéia tentar a própria resposta antes de apresentar a uma audiência geral.
MariusMatutiae
@MariusMatutiae Escrevi explicitamente que presumo que seu host esteja na rede. Não configurei uma VM VMware apenas para encontrá-la posteriormente. No seu caso, você está procurando uma máquina virtual em seu próprio host. Isso não deve ser muito complicado para encontrar ;-)
Daniel Alder
@MariusMatutiae Apenas um extra: Tente executar pinge arp -ano host em vez da VM e me diga se você vê a diferença. Você vê o motivo disso no primeiro parágrafo da minha resposta.
Daniel Alder
2

É difícil rastrear uma máquina desconhecida em uma rede não gerenciada. Fui encarregado disso algumas vezes e, em ordem de preferência, é assim que eu lido com eles:

  1. Tente procurar no servidor (se você estiver preocupado com a segurança, se for algum tipo de honeypot, faça-o em uma VM descartável). Você nunca sabe - navegar para essa máquina em um navegador da Web pode muito bem revelar apenas o nome do PC ou a finalidade. Se ele possui um certificado SSL autoassinado, isso geralmente vazará também o nome do servidor interno.

    Se não estiver executando um serviço da Web e você achar que é um PC com Windows, tente conectar-se aos seus compartilhamentos administrativos (por exemplo \\example\c$) - você pode ter sorte em adivinhar um nome de usuário de administrador. Ou se você acha que é um Windows Server (ou uma edição do Windows Professional), tente a área de trabalho remota nele.

    Quando você estiver de alguma forma, poderá procurar informações sobre a finalidade da máquina e, portanto, quem pode ter criado e colocado na rede em primeiro lugar. Em seguida, localize-os.

    Algumas dessas informações (como o nome do PC e uma caixa do Windows) já foram reveladas pelo seu scanner, portanto, pode não haver muito o que aprender aqui para você.

  2. Veja a tabela ARP do switch. Isso fornecerá um mapeamento entre esse endereço MAC e uma porta física e VLAN. Isso não é possível na sua situação, pois você não possui um comutador gerenciado.

  3. Compare o endereço MAC para esse endereço IP com a tabela ARP local. Talvez haja um endereço MAC duplicado, indicando dois endereços IP na mesma interface física. Se o outro endereço IP for conhecido, então há o seu culpado.

  4. Inicie um ping na máquina. Se responder ao ping, desconecte os cabos do switch, um por um, até que o ping falhe. Esse último cabo que você desconectou está levando ao seu culpado.

Mark Henderson
fonte
Essa última dica é provavelmente a melhor (e única) solução universal para redes não gerenciadas.
Daniel B
1

Também não é uma solução completa - na verdade, pode não haver uma solução completa para sua pergunta, dependendo da sua configuração e ignorando os dispositivos desconectados - mas pode ajudar.

Se você obtiver o endereço MAC do dispositivo (ou seja, observe a tabela arp), os 3 primeiros octetos do endereço geralmente podem dizer algo sobre o endereço - basta inseri-los em um localizador de pesquisa do mac, como http://www.coffer.com / mac_find /

Programas como o NMAP fornecem detecção de impressão digital, o que também pode ajudar na elaboração do dispositivo em questão, observando a maneira como sua pilha TCP é construída. Novamente, não é à prova de falhas, mas geralmente pode ajudar.

Outra maneira (supondo que você esteja em uma rede com fio) pode ser inundar o endereço inapropriado com tráfego e procurar por qual porta do switch fica balística - depois rastreie o cabo. Em uma rede WIFI, as coisas são muito mais difíceis (você pode forçar o dispositivo a um ponto de acesso falso, depois começar a movê-lo e ver como o sinal se comporta para triangular o dispositivo - mas eu não tentei algo assim).

davidgo
fonte
0

Alguns dos métodos para conectar uma impressora a uma rede local fornecem à impressora um endereço IP fora do intervalo que provavelmente será usado pelos computadores na rede; portanto, convém verificar essa impressora.

milesrf
fonte
A OUI do VMware no endereço MAC, o nome do PC e o IIS escutando indicam claramente que não se trata de uma impressora.
Daniel B
0

Você tem apenas cerca de 20 clientes. Você está usando um dump switch.

Eu li isso como "você tem precisamente um switch barato" e todos os 20 PCs estão conectados a esse único dispositivo. Cada porta ativa no switch geralmente possui um ou mais LEDs para indicar a velocidade e a atividade do link .

O último nos dá uma solução fácil. Crie muito tráfego para sua VM e verifique qual porta se acende. Dependendo do seu sistema operacional, você pode usar um ou mais avisos do cmd ping -t 10.0.0.81. Em um sistema como o Unix, você pode usar ping -f 10.0.0.81para inundar esse IP. (Atenção, pingue inundação vai velocidade máxima que você PC pode manipular. Este vai abrandar a sua rede inteira enquanto ele está executando. Ele também fará com que o LED queimar permanentnly.

Hennes
fonte