Tengo una red que contiene 20 clientes. Asigné rango de direcciones IP 10.0.0.1
a 10.0.0.20
ellos. Cuando hago un escaneo de IP veo a alguien usando 10.0.0.131
VMware. ¿Cómo puedo averiguar con qué IP se conecta esta IP? es decir, ¿cómo puedo saber qué sistema tiene 2 IP? (es decir, la otra IP de este sistema)
Actualizar:
Mi IP del sistema en la red es 10.0.0.81
:
La salida del escáner de IP muestra a alguien usando 10.0.0.131
VMware:
Y el resultado del tracert
comando no muestra nada entre nosotros:
C:\Users>tracert -j 10.0.0.131 10.0.0.81
Tracing route to ghasemi3.it.com [10.0.0.81]
over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms ghasemi3.it.com [10.0.0.81]
Trace complete.
C:\Users>
windows-7
networking
ip
vmware-player
Usuario1-Sp
fuente
fuente
Respuestas:
No puedo proporcionar una solución global a su problema, solo parcial. Puede agregar esto a la técnica de cambio para ampliar su gama de oportunidades.
Si el usuario que ejecuta la VM está conectado a su LAN a través de wifi, puede identificarlo mediante un traceroute. La razón es que nos mostró que la VM tiene una IP en su red LAN, por lo tanto, está en una configuración puenteada . Por razones técnicas, las conexiones wifi no se pueden puentear, por lo tanto, todos los hipervisores usan un truco ordenado en lugar de una configuración de puente real: emplean proxy_arp , consulte, por ejemplo, la entrada del blog de Bodhi Zazen para obtener una explicación de cómo funciona esto, para KVM, y esta página para VMWare .
Como hay una PC que responde a las consultas ARP en lugar de la VM, traceroute identificará el nodo antes de la VM. Por ejemplo, esta es la salida de mi traceroute desde otra PC en mi LAN:
rasal es la máquina host, FB es el invitado, estoy emitiendo esto desde una tercera PC (asusdb).
En Windows, el comando correcto es
En Linux, puede hacer lo mismo con la práctica utilidad mtr :
Esto complementa, en lugar de reemplazar, la técnica de cambio. Si su traceroute muestra que no hay saltos intermedios entre su PC y la VM, entonces al menos sabrá que puede descartar todas las PC LAN conectadas a través de wifi, restringiendo su rango de posibilidades y haciendo que la técnica de cambio sea una posibilidad efectiva, si tiene un conmutador administrado o está dispuesto a desconectar los cables en el conmutador uno por uno.
Alternativamente, puede fingir un problema técnico y desconectar todas las conexiones de Ethernet, obligando a sus usuarios a usar wifi, hasta que su culpable muerda el anzuelo.
fuente
123
al valor real: ¿131
Puedo pedirle que también lo corrija?)Supongo que los 20 clientes están conectados a un conmutador :
Cada conmutador mantiene una tabla de cada dirección MAC conocida en la tabla, y la tabla está en un formato como este:
Donde Puerto es el puerto físico en el conmutador y Dirección es la dirección MAC detectada en el puerto.
Debe verificar en la consola del conmutador un puerto que registra más de una dirección MAC, y ahora conoce el puerto del conmutador donde está conectado el host VM.
Sólo para estar seguro:
Desde un equipo con Windows
ping 10.0.0.123
y luego emitirarp -a
.Verifique que la dirección MAC correspondiente
10.0.0.123
sea la misma que detectó en la tabla de conmutadores .fuente
Hice cosas como esta a veces en el pasado. Lo que me confunde: ¿estás usando tus herramientas en VMware? ¿Entonces supongo que 10.0.0.0/24 es su red física y no una virtual? También debe saber que algunas herramientas pueden mostrar algo extraño debido a la capa de red adicional (la red virtual vmware).
Lo primero que puede hacer para analizar:
Haga ping al host y luego haga
arp -a
(puede estar un poco equivocado, estoy usando Linux). Busque la dirección MAC y use un servicio en línea como http://aruljohn.com/mac.pl para buscar los primeros 3 pares de la dirección. Verá el fabricante del dispositivo.En la lista de arp, también puede verificar si dos IP diferentes utilizan la misma dirección MAC. Esto significaría que el dispositivo tiene dos de ellos.
También el tiempo de ping es interesante. Compárelo con las PC conocidas y quizás con una impresora en su red. Las PC suelen responder más rápido que las impresoras de enrutadores de Internet. Desafortunadamente, la precisión del tiempo de Windows no es muy buena.
Por último, pero no menos importante, recomiendo ejecutar
nmap -A 10.0.0.131
onmap -A 10.0.0.0/24
que revele más información sobre un host específico o la red completa. (Thx a pabouk)fuente
nmap -A 10.0.0.131
onmap -A 10.0.0.0/24
. De esta manera puede descubrir, por ejemplo, el sistema operativo, el nombre de la computadora, los servicios en ejecución, sus versiones, etc. --- Esto podría ser realmente útil si no encuentra dos direcciones IP con el mismo MAC.ping
yarp -a
en el host en lugar de la VM y dígame si ve alguna diferencia. Usted ve la razón de esto en el primer párrafo de mi respuesta.Rastrear una máquina desconocida en una red no administrada es difícil. Me han encargado esto varias veces, y en orden de preferencia, así es como trato con ellos:
Intente explorar el servidor (si le preocupa la seguridad si es una especie de honeypot, hágalo desde una máquina virtual desechable). Nunca se sabe: navegar a esa máquina en un navegador web puede muy bien revelar el nombre de su PC o su propósito. Si tiene un certificado SSL autofirmado, a menudo eso también filtrará el nombre del servidor interno.
Si no está ejecutando un servicio web y cree que es una PC con Windows, intente conectarse a sus recursos compartidos administrativos (por ejemplo
\\example\c$
); puede tener suerte al adivinar un nombre de usuario administrador. O si cree que es un servidor de Windows (o una edición de Windows Professional), intente el escritorio remoto en él.Una vez que esté de alguna manera, puede buscar información sobre el propósito de la máquina y, por lo tanto, quién puede haberla creado y ponerla en la red en primer lugar. Luego rastrearlos.
Parte de esta información (como el nombre de la PC y que es una caja de Windows) ya ha sido revelada por su escáner, por lo que puede que no haya mucho que aprender aquí para usted.
Mire la tabla ARP del interruptor. Esto le dará una asignación entre esa dirección MAC y un puerto físico y VLAN. Esto no es posible en su situación ya que no tiene un conmutador administrado.
Compare la dirección MAC de esa dirección IP con su tabla ARP local. Tal vez hay una dirección MAC duplicada allí, que indica dos direcciones IP en la misma interfaz física. Si se conoce la otra dirección IP, entonces está tu culpable.
Inicie un ping a la máquina. Si responde al ping, desconecte los cables del conmutador, uno por uno, hasta que falle el ping. El último cable que desconectó está conduciendo a su culpable.
fuente
Tampoco es una solución completa; de hecho, puede que no haya una solución completa para su pregunta dependiendo de su configuración e ignorando los dispositivos de desconexión, pero podría ayudar.
Si obtiene la dirección MAC de los dispositivos (es decir, mire la tabla arp), los primeros 3 octetos de la dirección a menudo pueden decirle algo acerca de la dirección, simplemente introdúzcalos en un buscador de búsqueda de mac como http://www.coffer.com / mac_find /
Programas como NMAP proporcionan detección de huellas digitales que también pueden ayudar a resolver el dispositivo en cuestión al observar la forma en que se construye su pila TCP. Una vez más, no es totalmente resistente, pero a menudo puede ayudar.
Otra forma (suponiendo que se encuentre en una red solo cableada) podría ser inundar la dirección inapropiada con tráfico y buscar qué puerto en el conmutador se vuelve balístico, luego rastrear el cable. En una red WIFI, las cosas son mucho más difíciles (es posible que pueda forzar el dispositivo a un punto de acceso falso, luego comenzar a moverlo y observar cómo se comporta la señal para triangular el dispositivo, pero no he intentado algo como esto).
fuente
Algunos de los métodos para conectar una impresora a una red local le dan a la impresora una dirección IP fuera del rango que probablemente utilicen las computadoras en la red, por lo que es posible que desee verificar dicha impresora.
fuente
Solo tienes unos 20 clientes. Estás utilizando un interruptor de volcado.
Leí esto como "tienes precisamente un interruptor barato" y las 20 PC están conectadas a este único dispositivo. Cada puerto activo en el conmutador generalmente tiene uno o más LED para indicar la velocidad y la actividad del enlace .
El último nos da una solución fácil. Crea mucho tráfico para tu VM y observa qué puerto se ilumina. Dependiendo de su sistema operativo, es posible que desee usar una o más indicaciones de cmd
ping -t 10.0.0.81
. En un sistema similar a Unix, podría usarping -f 10.0.0.81
para inundar esa IP. (Advertencia, ping fluido va velocidad máxima que puede manejar la PC. Esto va a ralentizar toda la red mientras se está ejecutando. También hará que el LED se quema permanentnly.fuente