ระบุ IP ที่ไม่รู้จักในเครือข่ายของเรา

ฉันมีเครือข่ายที่มีลูกค้า 20 ราย ฉันกำหนดช่วง IP 10.0.0.1ให้10.0.0.20กับพวกเขา เมื่อฉันสแกน IP ฉันเห็นคนใช้10.0.0.131ใน VMware ฉันจะทราบได้อย่างไรว่า IP นี้เชื่อมโยงกับ IP ใด ie ฉันจะทราบได้อย่างไรว่าระบบใดมี 2 IP (เช่น IP อื่น ๆ ของระบบนี้)

ปรับปรุง:

IP ระบบของฉันในเครือข่ายคือ10.0.0.81:

ผลลัพธ์ของเครื่องสแกน IP แสดงคนที่ใช้10.0.0.131ใน VMware:

และผลลัพธ์ของtracertคำสั่งไม่แสดงอะไรระหว่างเรา:

C:\Users>tracert -j 10.0.0.131 10.0.0.81

Tracing route to ghasemi3.it.com [10.0.0.81]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  ghasemi3.it.com [10.0.0.81]

Trace complete.
C:\Users>

ฉันไม่สามารถมอบวิธีแก้ปัญหาระดับโลกแก่คุณได้เพียงบางส่วน คุณสามารถเพิ่มสิ่งนี้เข้ากับเทคนิคการสลับเพื่อขยายช่วงโอกาสของคุณ

หากผู้ใช้ที่เรียกใช้ VM เชื่อมต่อกับ LAN ของคุณผ่าน wifi คุณสามารถระบุตัวตนของเขา / เธอด้วย traceroute เหตุผลก็คือคุณแสดงให้เราเห็นว่า VM มี IP ในเครือข่าย LAN ของคุณดังนั้นจึงอยู่ในการกำหนดค่าบริดจ์ ด้วยเหตุผลทางเทคนิคการเชื่อมต่อ WiFi ไม่สามารถเชื่อมโยงได้ดังนั้นไฮเปอร์ไวเซอร์ทั้งหมดจึงใช้กลอุบายแทนการกำหนดค่าบริดจ์จริง: พวกเขาใช้proxy_arpดูตัวอย่างรายการบล็อกของ Bodhi Zazenสำหรับคำอธิบายวิธีการทำงานของ KVM และหน้านี้ สำหรับ VMware

เนื่องจากมีพีซีที่ตอบกลับการสอบถาม ARP ในการดำเนินการของ VM traceroute จะระบุโหนดก่อนที่ VM ตัวอย่างเช่นนี่คือผลลัพธ์ของ traceroute ของฉันจากพีซีเครื่องอื่นใน LAN ของฉัน:

My traceroute  [v0.85]
asusdb (0.0.0.0)                                                                                               Mon Jun  1 11:45:03 2015
                        Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                                                           Packets               Pings
 Host                                                                                       Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. rasal.z.lan                                                                           0.0%     1    6.0   6.0   6.0   6.0   0.0
  2. FB.z.lan                       

rasal เป็นเครื่องโฮสต์ FB เป็นแขกฉันกำลังออกสิ่งนี้จากพีซีเครื่องที่สาม (asusdb)

ใน Windows คำสั่งที่เหมาะสมคือ

 tracert 10.0.0.131

บน Linux คุณสามารถทำเช่นเดียวกันกับmtrยูทิลิตี้ที่สะดวกมาก:

 mtr 10.0.0.131

การเติมเต็มนี้แทนที่จะใช้แทนที่เทคนิคสวิตช์ หาก traceroute ของคุณแสดงว่าไม่มี hops ระดับกลางระหว่างพีซีของคุณและ VM อย่างน้อยคุณจะรู้ว่าคุณสามารถแยกแยะ LAN LAN ทั้งหมดที่เชื่อมต่อผ่าน wifi จำกัด ขอบเขตความเป็นไปได้ของคุณและทำให้เทคนิคสวิตช์เป็นไปได้อย่างมีประสิทธิภาพหากคุณมีสวิตช์ที่มีการจัดการหรือคุณยินดีที่จะถอดสายเคเบิลในสวิตช์ทีละตัว

หรือคุณอาจปลอมปัญหาทางเทคนิคและยกเลิกการเชื่อมต่ออีเธอร์เน็ตทั้งหมดบังคับให้ผู้ใช้ของคุณใช้ wifi จนกว่าผู้ร้ายจะตกเป็นเหยื่อ

ฉันสมมติว่า 20 ลูกค้าเชื่อมต่อกับสวิตช์ :

สวิตช์ทุกตัวต้องมีตารางของที่อยู่ MAC ที่รู้จักทั้งหมดบนโต๊ะและตารางนั้นอยู่ในรูปแบบดังนี้:

    Port               Address
     1              fa:23:65:XX:XX:XX:XX
     2              87:4a:12:d2:xx:XX:xx

โดยที่Portเป็นพอร์ตจริงบนสวิตช์และที่อยู่เป็นที่อยู่ MAC ที่ตรวจพบบนพอร์ต

คุณต้องตรวจสอบบนสวิตช์คอนโซลพอร์ตที่ลงทะเบียนมากกว่าหนึ่งที่อยู่ MAC และตอนนี้คุณรู้พอร์ตสวิตช์ที่เชื่อมต่อโฮสต์ VM

เพียงเพื่อให้แน่ใจว่า:

จากอุปกรณ์ที่ใช้ Windows และปัญหาแล้วping 10.0.0.123arp -a

ตรวจสอบว่าที่อยู่ MAC สอดคล้องกับการ10.0.0.123เป็นเดียวกับที่คุณตรวจพบบนโต๊ะสวิทช์

บางครั้งฉันเคยทำสิ่งนี้ในอดีต อะไรที่ทำให้ฉันสับสน: คุณกำลังใช้เครื่องมือของคุณใน VMware? ดังนั้นฉันคิดว่า 10.0.0.0/24 เป็นเครือข่ายทางกายภาพของคุณไม่ใช่เครือข่ายเสมือนจริงเหรอ? คุณควรทราบด้วยว่าเครื่องมือบางอย่างอาจแสดงสิ่งแปลก ๆ เนื่องจากเลเยอร์เครือข่ายพิเศษ (เครือข่ายเสมือน vmware)

สิ่งแรกที่คุณสามารถทำได้เพื่อวิเคราะห์:

• Ping โฮสต์จากนั้นทำarp -a(อาจผิดเล็กน้อยฉันใช้ Linux) ค้นหาที่อยู่ MAC และใช้บริการออนไลน์เช่นhttp://aruljohn.com/mac.plเพื่อค้นหาที่อยู่ 3 คู่แรก คุณจะเห็นผู้ผลิตอุปกรณ์

• ในรายการ arp คุณสามารถตรวจสอบได้ว่ามีการใช้ที่อยู่ MAC เดียวกันโดย IP ที่แตกต่างกันสองรายการ นี่หมายความว่าอุปกรณ์มีสองอย่าง

• เวลาปิงก็น่าสนใจเช่นกัน เปรียบเทียบกับพีซีที่รู้จักและอาจเป็นเครื่องพิมพ์ในเครือข่ายของคุณ โดยทั่วไปพีซีจะตอบรับได้เร็วกว่าเครื่องพิมพ์ของเราเตอร์อินเทอร์เน็ต น่าเสียดายที่ความแม่นยำของเวลาของ Windows ไม่ดีมาก

• สุดท้าย แต่ไม่ท้ายสุดฉันขอแนะนำให้ใช้งานnmap -A 10.0.0.131หรือnmap -A 10.0.0.0/24ซึ่งแสดงข้อมูลเพิ่มเติมเกี่ยวกับโฮสต์ที่เฉพาะเจาะจงหรือเครือข่ายเต็มรูปแบบ (ขอบคุณที่จะ pabouk)

การติดตามเครื่องที่ไม่รู้จักในเครือข่ายที่ไม่มีการจัดการนั้นยาก ฉันได้รับมอบหมายให้ทำอย่างนี้สองสามครั้งและตามความชอบนี่เป็นวิธีที่ฉันจัดการกับพวกเขา:

1. พยายามเรียกดูเซิร์ฟเวอร์ (หากคุณกังวลเกี่ยวกับความปลอดภัยหากเป็น honeypot บางประเภทให้ทำจาก VM ที่ถูกทิ้ง) คุณไม่เคยรู้เลยว่า - การเรียกดูไปที่เครื่องในเว็บเบราว์เซอร์อาจเปิดเผยชื่อพีซีหรือจุดประสงค์ของมัน หากมีใบรับรอง SSL ที่ลงชื่อด้วยตนเองนั่นก็มักจะทำให้ชื่อเซิร์ฟเวอร์ภายในรั่วไหลเช่นกัน

   หากไม่ได้ใช้บริการเว็บและคุณคิดว่าเป็นพีซี Windows ให้ลองเชื่อมต่อกับส่วนแบ่งการดูแลระบบ (เช่น\\example\c$) - คุณอาจโชคดีที่เดาชื่อผู้ใช้ของผู้ดูแลระบบ หรือถ้าคุณคิดว่ามันเป็น Windows Server (หรือรุ่น Windows Professional) จากนั้นลองใช้เดสก์ท็อประยะไกล

   เมื่อคุณอยู่ในทางใดทางหนึ่งแล้วคุณสามารถค้นหาข้อมูลเกี่ยวกับวัตถุประสงค์ของเครื่องและผู้ที่อาจสร้างและวางไว้ในเครือข่ายในสถานที่แรก จากนั้นติดตามพวกเขาลง

   ข้อมูลบางส่วนนี้ (เช่นชื่อพีซีและเป็นกล่อง Windows) ได้รับการเปิดเผยโดยสแกนเนอร์ของคุณแล้วดังนั้นจึงอาจมีไม่มากที่จะเรียนรู้ที่นี่สำหรับคุณ

2. ดูตาราง ARP ของสวิตช์ สิ่งนี้จะให้การจับคู่ระหว่างที่อยู่ MAC นั้นกับฟิสิคัลพอร์ตและ VLAN ไม่สามารถทำได้ในสถานการณ์ของคุณเนื่องจากคุณไม่มีสวิตช์ที่ได้รับการจัดการ

3. เปรียบเทียบที่อยู่ MAC สำหรับที่อยู่ IP นั้นกับตาราง ARP ในพื้นที่ของคุณ อาจมีที่อยู่ MAC ที่ซ้ำกันซึ่งมีการระบุที่อยู่ IP สองรายการบนอินเทอร์เฟซทางกายภาพเดียวกัน หากทราบที่อยู่ IP อื่นแสดงว่าคุณเป็นผู้ร้าย

4. เริ่ม ping ไปที่เครื่อง หากตอบสนองต่อ ping ให้ถอดสายเคเบิลออกจากสวิตช์ทีละตัวจนกระทั่ง ping ล้มเหลว สายเคเบิลตัวสุดท้ายที่คุณถอดออกจะนำไปสู่ผู้ร้าย

ไม่ใช่โซลูชันที่สมบูรณ์ - แน่นอนว่าอาจไม่มีวิธีการแก้ปัญหาที่สมบูรณ์สำหรับคำถามของคุณขึ้นอยู่กับการตั้งค่าของคุณและไม่สนใจอุปกรณ์ถอดปลั๊ก - แต่อาจช่วยได้

หากคุณได้รับที่อยู่ MAC ของอุปกรณ์ (เช่นดูที่ตาราง arp) ที่อยู่ 3 octets แรกของที่อยู่มักจะบอกอะไรคุณเกี่ยวกับที่อยู่ - เพียงแค่เจาะมันลงในโปรแกรมค้นหา Mac เช่นhttp://www.coffer.com / mac_find /

โปรแกรมเช่น NMAP จัดให้มีการตรวจจับลายนิ้วมือซึ่งสามารถช่วยในการจัดการอุปกรณ์ที่เป็นปัญหาโดยดูที่วิธีสร้างสแต็ก TCP อีกครั้งไม่เต็มรูปแบบ แต่มักจะสามารถช่วย

อีกวิธีหนึ่ง (สมมติว่าคุณอยู่ในเครือข่ายแบบใช้สายเท่านั้น) อาจทำให้ที่อยู่ไม่เหมาะสมกับการรับส่งข้อมูลและค้นหาว่าพอร์ตใดบนสวิตช์ที่เปลี่ยนเป็น ballistic - จากนั้นติดตามสายเคเบิล ในเครือข่าย WIFI มีสิ่งที่ยากกว่านี้มาก (คุณอาจบังคับให้อุปกรณ์เข้าสู่จุดเชื่อมต่อปลอมจากนั้นเริ่มเคลื่อนย้ายแล้วดูว่าสัญญาณทำงานอย่างไรเพื่อดักอุปกรณ์ - แต่ฉันไม่ได้ลองอะไรแบบนี้)

วิธีการบางอย่างในการเชื่อมต่อเครื่องพิมพ์กับเครือข่ายท้องถิ่นให้เครื่องพิมพ์มีที่อยู่ IP ที่อยู่นอกขอบเขตที่คอมพิวเตอร์ของคุณใช้ในเครือข่ายดังนั้นคุณอาจต้องการตรวจสอบเครื่องพิมพ์ดังกล่าว

คุณมีลูกค้าเพียงประมาณ 20 คน คุณกำลังใช้สวิตช์ดัมพ์

ฉันอ่านสิ่งนี้ว่า "คุณมีสวิตช์ราคาถูกเพียงอันเดียว" และคอมพิวเตอร์ทั้ง 20 เครื่องเชื่อมต่อกับอุปกรณ์เดียวนี้ แต่ละพอร์ตสวิทช์ที่ใช้งานมักจะมีหนึ่งไฟ LED มากขึ้นหรือมากกว่าที่จะบ่งบอกถึงความเร็วในการเชื่อมและกิจกรรม

สุดท้ายทำให้เรามีทางออกที่ง่าย สร้างทราฟฟิกจำนวนมากสำหรับ VM ของคุณและดูว่าพอร์ตใดสว่างขึ้น ping -t 10.0.0.81ทั้งนี้ขึ้นอยู่กับระบบปฏิบัติการของคุณคุณอาจต้องการที่จะใช้อย่างใดอย่างหนึ่งหรือคำสั่งเพิ่มเติมแจ้งกับ ในระบบยูนิกซ์อย่างเช่นคุณสามารถใช้ping -f 10.0.0.81ไอพีนั้นได้ (คำเตือน ping ที่ท่วมท้นกำลังทำความเร็วสูงสุดที่พีซีของคุณสามารถจัดการได้ซึ่งจะทำให้เครือข่ายของคุณช้าลงขณะที่ทำงานนอกจากนี้ยังจะทำให้ไฟ LED ติดถาวร