Identificar una IP desconocida en nuestra red.

14

Tengo una red que contiene 20 clientes. Asigné rango de direcciones IP 10.0.0.1a 10.0.0.20ellos. Cuando hago un escaneo de IP veo a alguien usando 10.0.0.131VMware. ¿Cómo puedo averiguar con qué IP se conecta esta IP? es decir, ¿cómo puedo saber qué sistema tiene 2 IP? (es decir, la otra IP de este sistema)

Actualizar:

Mi IP del sistema en la red es 10.0.0.81:

ingrese la descripción de la imagen aquí

La salida del escáner de IP muestra a alguien usando 10.0.0.131VMware:

ingrese la descripción de la imagen aquí

Y el resultado del tracertcomando no muestra nada entre nosotros:

C:\Users>tracert -j 10.0.0.131 10.0.0.81

Tracing route to ghasemi3.it.com [10.0.0.81]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  ghasemi3.it.com [10.0.0.81]

Trace complete.
C:\Users>
Usuario1-Sp
fuente
1
¿El interruptor es un interruptor tonto o se gestiona?
Kinnectus 01 de
@BigChris No sé a qué te refieres con volcado. Pero no se gestiona. :)
User1-Sp
1
Un conmutador de red tonto es aquel que no tiene ninguna capacidad para que usted administre o interrogue al dispositivo conmutador en sí mismo, es decir, para poder encontrar a qué puerto está conectada la dirección MAC de la máquina que está tratando de encontrar. Los conmutadores tontos no tienen un puerto adicional de "administración".
Kinnectus 01 de
2
Si falla todo lo demás, dado que es una red tan pequeña, puede localizarla por prueba y error: desconecte los cables uno por uno hasta que encuentre el que corta la conexión a la dirección en cuestión.
Harry Johnston

Respuestas:

13

No puedo proporcionar una solución global a su problema, solo parcial. Puede agregar esto a la técnica de cambio para ampliar su gama de oportunidades.

Si el usuario que ejecuta la VM está conectado a su LAN a través de wifi, puede identificarlo mediante un traceroute. La razón es que nos mostró que la VM tiene una IP en su red LAN, por lo tanto, está en una configuración puenteada . Por razones técnicas, las conexiones wifi no se pueden puentear, por lo tanto, todos los hipervisores usan un truco ordenado en lugar de una configuración de puente real: emplean proxy_arp , consulte, por ejemplo, la entrada del blog de Bodhi Zazen para obtener una explicación de cómo funciona esto, para KVM, y esta página para VMWare .

Como hay una PC que responde a las consultas ARP en lugar de la VM, traceroute identificará el nodo antes de la VM. Por ejemplo, esta es la salida de mi traceroute desde otra PC en mi LAN:

My traceroute  [v0.85]
asusdb (0.0.0.0)                                                                                               Mon Jun  1 11:45:03 2015
                        Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                                                           Packets               Pings
 Host                                                                                       Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. rasal.z.lan                                                                           0.0%     1    6.0   6.0   6.0   6.0   0.0
  2. FB.z.lan                       

rasal es la máquina host, FB es el invitado, estoy emitiendo esto desde una tercera PC (asusdb).

En Windows, el comando correcto es

 tracert 10.0.0.131

En Linux, puede hacer lo mismo con la práctica utilidad mtr :

 mtr 10.0.0.131

Esto complementa, en lugar de reemplazar, la técnica de cambio. Si su traceroute muestra que no hay saltos intermedios entre su PC y la VM, entonces al menos sabrá que puede descartar todas las PC LAN conectadas a través de wifi, restringiendo su rango de posibilidades y haciendo que la técnica de cambio sea una posibilidad efectiva, si tiene un conmutador administrado o está dispuesto a desconectar los cables en el conmutador uno por uno.

Alternativamente, puede fingir un problema técnico y desconectar todas las conexiones de Ethernet, obligando a sus usuarios a usar wifi, hasta que su culpable muerda el anzuelo.

MariusMatutiae
fuente
3
Si la VM está puenteada, no hay saltos de IP entre el origen y el destino. Las herramientas tracert y mtr son muy buenas para hacer un seguimiento de las rutas de enrutamiento IP , pero no pueden descubrir puentes y conmutadores que funcionen en el nivel 2.
jcbermu
Tienes razón. Incluya la explicación en su respuesta para que pueda volver a
votarlo
¿Puedo pedirle que revise la sección de actualización en mi pregunta? Creo que tu solución no funcionó para mí. Estoy en lo cierto? (Los números de IP en real son un poco diferentes con los valores que ya mencioné en la pregunta. Cambié 123al valor real: ¿ 131Puedo pedirle que también lo corrija?)
User1-Sp
3
@MariusMatutiae Si el software VM realmente usara ARP proxy, la dirección MAC como se muestra en la captura de pantalla no tendría un OUI VMware.
Daniel B
2
Ciertamente. Sin embargo, eso todavía no es de lo que estoy hablando. Lo diré de nuevo con mucha claridad: un VMware OUI MAC es visible. Esto implica claramente que no se usa proxy ARP . VMware usa proxy ARP solo cuando es necesario: en conexiones inalámbricas.
Daniel B
10

Supongo que los 20 clientes están conectados a un conmutador :

Cada conmutador mantiene una tabla de cada dirección MAC conocida en la tabla, y la tabla está en un formato como este:

    Port               Address
     1              fa:23:65:XX:XX:XX:XX
     2              87:4a:12:d2:xx:XX:xx

Donde Puerto es el puerto físico en el conmutador y Dirección es la dirección MAC detectada en el puerto.

Debe verificar en la consola del conmutador un puerto que registra más de una dirección MAC, y ahora conoce el puerto del conmutador donde está conectado el host VM.

Sólo para estar seguro:

Desde un equipo con Windows ping 10.0.0.123y luego emitir arp -a.

Verifique que la dirección MAC correspondiente 10.0.0.123sea ​​la misma que detectó en la tabla de conmutadores .

jcbermu
fuente
4

Hice cosas como esta a veces en el pasado. Lo que me confunde: ¿estás usando tus herramientas en VMware? ¿Entonces supongo que 10.0.0.0/24 es su red física y no una virtual? También debe saber que algunas herramientas pueden mostrar algo extraño debido a la capa de red adicional (la red virtual vmware).

Lo primero que puede hacer para analizar:

  • Haga ping al host y luego haga arp -a(puede estar un poco equivocado, estoy usando Linux). Busque la dirección MAC y use un servicio en línea como http://aruljohn.com/mac.pl para buscar los primeros 3 pares de la dirección. Verá el fabricante del dispositivo.

  • En la lista de arp, también puede verificar si dos IP diferentes utilizan la misma dirección MAC. Esto significaría que el dispositivo tiene dos de ellos.

  • También el tiempo de ping es interesante. Compárelo con las PC conocidas y quizás con una impresora en su red. Las PC suelen responder más rápido que las impresoras de enrutadores de Internet. Desafortunadamente, la precisión del tiempo de Windows no es muy buena.

  • Por último, pero no menos importante, recomiendo ejecutar nmap -A 10.0.0.131o nmap -A 10.0.0.0/24que revele más información sobre un host específico o la red completa. (Thx a pabouk)

Daniel Alder
fuente
1
De las tres respuestas, esta es la mejor que se puede hacer directamente desde cualquier computadora en el segmento L2. Además, ejecutaría un escaneo avanzado :) para revelar información adicional sobre las computadoras, usando por ejemplo nmap : nmap -A 10.0.0.131o nmap -A 10.0.0.0/24. De esta manera puede descubrir, por ejemplo, el sistema operativo, el nombre de la computadora, los servicios en ejecución, sus versiones, etc. --- Esto podría ser realmente útil si no encuentra dos direcciones IP con el mismo MAC.
pabouk 01 de
Hacer ping al host y luego hacer arp -a devolverá la dirección MAC de la VM, que ya sabemos; buscar los primeros 3 octetos devuelve el fabricante VMWare, que ya sabemos. Comparar los tiempos de ping no produce nada, ya que depende del tráfico y de la proximidad física. Ocasionalmente, puede ser una buena idea probar la propia respuesta antes de presentarla a una audiencia general.
MariusMatutiae
@MariusMatutiae Escribí explícitamente que supongo que su host está en la red. No configuré una VM VMware solo para encontrarla después. En su caso, está buscando una máquina virtual en su propio host. Esto no debería ser demasiado complicado de encontrar ;-)
Daniel Alder
@MariusMatutiae Solo un extra: intente ejecutar pingy arp -aen el host en lugar de la VM y dígame si ve alguna diferencia. Usted ve la razón de esto en el primer párrafo de mi respuesta.
Daniel Alder
2

Rastrear una máquina desconocida en una red no administrada es difícil. Me han encargado esto varias veces, y en orden de preferencia, así es como trato con ellos:

  1. Intente explorar el servidor (si le preocupa la seguridad si es una especie de honeypot, hágalo desde una máquina virtual desechable). Nunca se sabe: navegar a esa máquina en un navegador web puede muy bien revelar el nombre de su PC o su propósito. Si tiene un certificado SSL autofirmado, a menudo eso también filtrará el nombre del servidor interno.

    Si no está ejecutando un servicio web y cree que es una PC con Windows, intente conectarse a sus recursos compartidos administrativos (por ejemplo \\example\c$); puede tener suerte al adivinar un nombre de usuario administrador. O si cree que es un servidor de Windows (o una edición de Windows Professional), intente el escritorio remoto en él.

    Una vez que esté de alguna manera, puede buscar información sobre el propósito de la máquina y, por lo tanto, quién puede haberla creado y ponerla en la red en primer lugar. Luego rastrearlos.

    Parte de esta información (como el nombre de la PC y que es una caja de Windows) ya ha sido revelada por su escáner, por lo que puede que no haya mucho que aprender aquí para usted.

  2. Mire la tabla ARP del interruptor. Esto le dará una asignación entre esa dirección MAC y un puerto físico y VLAN. Esto no es posible en su situación ya que no tiene un conmutador administrado.

  3. Compare la dirección MAC de esa dirección IP con su tabla ARP local. Tal vez hay una dirección MAC duplicada allí, que indica dos direcciones IP en la misma interfaz física. Si se conoce la otra dirección IP, entonces está tu culpable.

  4. Inicie un ping a la máquina. Si responde al ping, desconecte los cables del conmutador, uno por uno, hasta que falle el ping. El último cable que desconectó está conduciendo a su culpable.

Mark Henderson
fuente
Ese último consejo es probablemente la última y única solución universal para redes no administradas.
Daniel B
1

Tampoco es una solución completa; de hecho, puede que no haya una solución completa para su pregunta dependiendo de su configuración e ignorando los dispositivos de desconexión, pero podría ayudar.

Si obtiene la dirección MAC de los dispositivos (es decir, mire la tabla arp), los primeros 3 octetos de la dirección a menudo pueden decirle algo acerca de la dirección, simplemente introdúzcalos en un buscador de búsqueda de mac como http://www.coffer.com / mac_find /

Programas como NMAP proporcionan detección de huellas digitales que también pueden ayudar a resolver el dispositivo en cuestión al observar la forma en que se construye su pila TCP. Una vez más, no es totalmente resistente, pero a menudo puede ayudar.

Otra forma (suponiendo que se encuentre en una red solo cableada) podría ser inundar la dirección inapropiada con tráfico y buscar qué puerto en el conmutador se vuelve balístico, luego rastrear el cable. En una red WIFI, las cosas son mucho más difíciles (es posible que pueda forzar el dispositivo a un punto de acceso falso, luego comenzar a moverlo y observar cómo se comporta la señal para triangular el dispositivo, pero no he intentado algo como esto).

davidgo
fuente
0

Algunos de los métodos para conectar una impresora a una red local le dan a la impresora una dirección IP fuera del rango que probablemente utilicen las computadoras en la red, por lo que es posible que desee verificar dicha impresora.

milesrf
fuente
El VMware OUI en la dirección MAC, así como el nombre de la PC y la escucha de IIS indican claramente que esto no es una impresora.
Daniel B
0

Solo tienes unos 20 clientes. Estás utilizando un interruptor de volcado.

Leí esto como "tienes precisamente un interruptor barato" y las 20 PC están conectadas a este único dispositivo. Cada puerto activo en el conmutador generalmente tiene uno o más LED para indicar la velocidad y la actividad del enlace .

El último nos da una solución fácil. Crea mucho tráfico para tu VM y observa qué puerto se ilumina. Dependiendo de su sistema operativo, es posible que desee usar una o más indicaciones de cmd ping -t 10.0.0.81. En un sistema similar a Unix, podría usar ping -f 10.0.0.81para inundar esa IP. (Advertencia, ping fluido va velocidad máxima que puede manejar la PC. Esto va a ralentizar toda la red mientras se está ejecutando. También hará que el LED se quema permanentnly.

Hennes
fuente