네트워크에서 알려지지 않은 IP 식별

20 개의 클라이언트가 포함 된 네트워크가 있습니다. 나는 그들 에게 IP 범위 10.0.0.1를 할당 10.0.0.20했다. IP 검색을 수행하면 10.0.0.131VMware에서 누군가를 사용 하고 있습니다. 이 IP가 어떤 IP와 브리지되는지 어떻게 알 수 있습니까? 즉, 어떤 시스템에 2 개의 IP가 있는지 어떻게 알 수 있습니까? (즉,이 시스템의 다른 IP)

최신 정보:

네트워크의 내 시스템 IP는 10.0.0.81다음과 같습니다.

IP 스캐너의 출력은 10.0.0.131VMware에서 사용 중인 사람을 보여줍니다 .

그리고 tracert명령 의 결과는 우리 사이에 아무 것도 보이지 않습니다.

C:\Users>tracert -j 10.0.0.131 10.0.0.81

Tracing route to ghasemi3.it.com [10.0.0.81]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  ghasemi3.it.com [10.0.0.81]

Trace complete.
C:\Users>

나는 당신의 문제에 대한 세계적인 해결책을 제공 할 수 없으며 단지 부분적인 해결책을 제시합니다. 이를 스위치 기술에 추가 하여 기회 범위를 넓힐 수 있습니다.

VM을 실행하는 사용자가 wifi를 통해 LAN에 연결되어 있으면 추적 경로를 통해 해당 사용자를 식별 할 수 있습니다. 그 이유는 VM이 ​​LAN 네트워크에 IP를 가지고 있음을 보여 주었기 때문에 브리지 된 구성 에 있기 때문입니다 . 기술적 인 이유로, 와이파이 연결은 브리지 수 없습니다, 따라서 모든 하이퍼 바이저 대신 실제 브리지 구성의 깔끔한 트릭을 사용 : 그들은 고용 proxy_arp를 예를 들어보고, 이 보리 좌선의 블로그 항목 이 KVM에 대해, 어떻게 작동하는지에 대한 설명 및 이 페이지를 VMWare 용 .

VM 대신 VM이 ARP 쿼리에 응답하는 pc가 있으므로 traceroute는 VM 전에 노드를 식별합니다. 예를 들어, 이것은 내 LAN의 다른 PC에서 내 traceroute의 출력입니다.

My traceroute  [v0.85]
asusdb (0.0.0.0)                                                                                               Mon Jun  1 11:45:03 2015
                        Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                                                           Packets               Pings
 Host                                                                                       Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. rasal.z.lan                                                                           0.0%     1    6.0   6.0   6.0   6.0   0.0
  2. FB.z.lan                       

rasal은 호스트 시스템이고, FB는 게스트이며, 세 번째 PC (asusdb)에서 이것을 발행하고 있습니다.

Windows에서 올바른 명령은

 tracert 10.0.0.131

Linux에서는 매우 편리한 mtr 유틸리티를 사용하여 동일한 작업을 수행 할 수 있습니다 .

 mtr 10.0.0.131

이는 스위치 기술을 대체하는 것이 아니라 보완합니다. 만약 당신의 traceroute가 당신의 PC와 VM 사이에 중간 홉이 없다는 것을 보여 준다면, 적어도 당신은 wifi를 통해 연결된 모든 LAN pc를 배제하고, 당신의 가능성의 범위를 제한하고, 스위치 기술을 효과적인 가능성으로 만들 수 있다는 것을 알게 될 것입니다 , 경우에 당신은 관리되는 스위치가하거나 하나를 사용하여 스위치를 하나의 케이블을 분리하고자합니다.

또는 기술 문제를 위조 하고 모든 이더넷 연결을 끊어 범인이 미끼를 잡을 때까지 사용자가 Wi-Fi를 사용하도록 할 수 있습니다.

20 명의 클라이언트가 스위치에 연결되어 있다고 가정합니다 .

모든 스위치는 테이블에서 알려진 모든 MAC 주소의 테이블을 관리하며 테이블의 형식은 다음과 같습니다.

    Port               Address
     1              fa:23:65:XX:XX:XX:XX
     2              87:4a:12:d2:xx:XX:xx

여기서 포트 는 스위치의 물리적 포트이고 주소 는 포트에서 감지 된 MAC 주소입니다.

스위치 콘솔 에서 둘 이상의 MAC 주소 를 등록하는 포트 를 확인해야 하며 이제 VM 호스트가 연결된 스위치 포트를 알고 있습니다.

확인차:

Windows 장비 ping 10.0.0.123에서 다음을 실행하십시오 arp -a.

해당 MAC 주소 10.0.0.123가 스위치 테이블 에서 감지 한 주소 와 동일한 지 확인 하십시오 .

나는 과거에 때때로 이런 일을했다. 혼란스러운 점 : VMware에서 도구를 사용하고 있습니까? 그래서 나는 10.0.0.0/24가 실제 네트워크이고 가상 네트워크가 아니라고 가정합니다. 또한 일부 도구는 추가 네트워크 계층 (vmware 가상 네트워크)으로 인해 이상한 것으로 표시 될 수 있습니다.

분석을 위해 가장 먼저 할 수있는 일은 :

• 호스트를 Ping 한 다음 수행하십시오 arp -a(리눅스를 사용하고 있습니다). MAC 주소를 찾아 http://aruljohn.com/mac.pl 과 같은 온라인 서비스를 사용하여 주소 의 처음 3 쌍을 찾아보십시오. 장치 제조업체가 나타납니다.

• arp 목록에서 두 개의 다른 IP가 동일한 MAC 주소를 사용하는지 확인할 수도 있습니다. 이것은 장치에 두 가지가 있음을 의미합니다.

• 핑 시간도 흥미 롭습니다. 알려진 PC 및 네트워크의 프린터와 비교하십시오. 일반적으로 PC는 인터넷 라우터 프린터보다 응답 속도가 빠릅니다. 불행히도 Windows의 시간 정밀도는 그리 좋지 않습니다.

• 마지막으로 , 특정 호스트 또는 전체 네트워크에 대한 자세한 정보를 표시 nmap -A 10.0.0.131하거나 실행 nmap -A 10.0.0.0/24하는 것이 좋습니다 . (파 보크에 감사)

관리되지 않는 네트워크에서 알 수없는 시스템을 추적하는 것은 어렵습니다. 나는 이것을 몇 번 맡았으며, 선호하는 순서대로 다음과 같이 처리합니다.

1. 서버 탐색을 시도하십시오 (일부 허니팟 인 경우 보안이 우려되는 경우 버림받은 VM에서 수행). 당신은 알지 못합니다-웹 브라우저에서 해당 컴퓨터를 탐색하면 PC 이름이나 목적이 잘 드러날 수 있습니다. 자체 서명 된 SSL 인증서가있는 경우 종종 내부 서버 이름이 유출 될 수 있습니다.

   웹 서비스를 실행하지 않고 Windows PC 인 경우 관리 공유 (예 :)에 연결해보십시오 \\example\c$. 관리자 사용자 이름을 추측하면 운이 좋을 수 있습니다. 또는 Windows Server (또는 Windows Professional Edition)라고 생각되면 원격 데스크톱을 사용해보십시오.

   일단 당신이 어떤 식 으로든, 당신은 기계의 목적에 대한 정보를 검색 할 수 있고, 따라서 누가 그것을 만들 었는지, 그리고 그것을 처음에 네트워크에 넣을 수 있습니다. 그런 다음 추적하십시오.

   이 정보 중 일부 (예 : PC 이름 및 Windows 상자)는 스캐너에서 이미 공개 했으므로 여기서 배울 점이 많지 않을 수 있습니다.

2. 스위치의 ARP 테이블을보십시오. 그러면 해당 MAC 주소와 물리적 포트 및 VLAN 간의 매핑이 제공됩니다. 관리되는 스위치가 없기 때문에 현재 상황에서는 불가능합니다.

3. 해당 IP 주소의 MAC 주소를 로컬 ARP 테이블과 비교하십시오. 동일한 물리적 인터페이스에 두 개의 IP 주소를 나타내는 중복 MAC 주소가있을 수 있습니다. 다른 IP 주소를 알고 있다면 범인이있는 것입니다.

4. 기계에 핑을 시작하십시오. Ping에 응답하면 Ping에 실패 할 때까지 스위치에서 케이블을 하나씩 분리하십시오. 마지막으로 뽑은 케이블이 범인으로 연결됩니다.

또한 완전한 솔루션은 아닙니다. 실제로 설정에 따라 풀기 장치를 무시하고 질문에 대한 완전한 솔루션이 없을 수도 있지만 도움이 될 수 있습니다.

장치의 MAC 주소를 얻는다면 (즉, arp 테이블을보십시오), 주소의 처음 3 옥텟은 종종 주소에 대해 알려줄 수 있습니다. http://www.coffer.com 과 같은 mac 검색 파인더에 펀칭 하십시오 / mac_find /

NMAP와 같은 프로그램은 지문 감지 기능을 제공하여 TCP 스택이 구축되는 방식을 살펴봄으로써 문제의 장치를 작동시키는 데 도움을 줄 수 있습니다. 다시 말하지만, 완전하지는 않지만 종종 도움이 될 수 있습니다.

다른 방법 (유선 전용 네트워크에 있다고 가정)은 부적절한 주소에 트래픽이 발생하고 스위치의 어느 포트가 탄도 상태인지 확인한 다음 케이블을 추적하는 것입니다. WIFI 네트워크에서는 상황이 훨씬 어려워집니다 (장치를 가짜 액세스 포인트로 강제 설정 한 다음 장치를 이동하고 신호가 장치를 삼각 측량하는 방식을 살펴볼 수는 있지만 이와 같은 것을 시도하지는 않았습니다).

프린터를 로컬 네트워크에 연결하는 방법 중 일부는 프린터에 네트워크의 컴퓨터가 사용할 수있는 범위 밖의 IP 주소를 제공하므로 해당 프린터를 확인하고 싶을 수 있습니다.

약 20 명의 클라이언트 만 있습니다. 덤프 스위치를 사용하고 있습니다.

나는 이것을 "정확하게 하나의 저렴한 스위치가있다"고 읽었으며 20 대의 PC가 모두이 단일 장치에 연결되어 있습니다. 스위치의 각 활성 포트에는 일반적으로 링크 속도와 작동 을 나타내는 하나 이상의 LED가 있습니다 .

마지막은 우리에게 쉬운 해결책을 제공합니다. VM에 많은 트래픽을 생성하고 어떤 포트가 켜지는지 확인합니다. OS에 따라와 함께 하나 이상의 cmd 프롬프트를 사용할 수 있습니다 ping -t 10.0.0.81. 유닉스와 같은 시스템에서 ping -f 10.0.0.81그 IP를 플러딩하는 데 사용할 수 있습니다 . (경고, 플러딩 핑은 PC가 처리 할 수있는 최대 속도입니다. 이로 인해 네트워크가 실행되는 동안 전체 네트워크 속도 가 느려지고 LED가 영구적으로 화상을 입을 수 있습니다.