Определите неизвестный IP в нашей сети

Я не могу представить глобальные решение вашей проблемы, только частичное. Вы можете добавить это switch техника, чтобы расширить диапазон возможностей.

если пользователь, запустивший виртуальную машину подключен к локальной сети через Wi-Fi, то вы можете идентифицировать его / ее с помощью traceroute. Причина в том, что вы показали нам, что виртуальная машина имеет IP-адрес в локальной сети, следовательно, он находится в мостовой конфигурации. По техническим причинам wifi соединения не могут быть соединены, следовательно, все гипервизоры используют аккуратный трюк вместо реальной конфигурации моста: они используют proxy_arp, например,запись в блоге Бодхи Зацена для объяснения того, как это работает, для KVM, и эта страница для VMWare.

поскольку ПК отвечает на запросы ARP вместо виртуальной машины, трассировка определит узел перед виртуальной машиной. Например, это вывод моей трассировки из другого ПК в моей локальной сети:

My traceroute  [v0.85]
asusdb (0.0.0.0)                                                                                               Mon Jun  1 11:45:03 2015
                        Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                                                           Packets               Pings
 Host                                                                                       Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. rasal.z.lan                                                                           0.0%     1    6.0   6.0   6.0   6.0   0.0
  2. FB.z.lan                       

rasal-хост-машина, FB-гость, я выдаю это с третьего ПК (asusdb).

в Windows правильная команда

 tracert 10.0.0.131

на Linux, вы можете сделать то же самое с очень удобной утилиты mtr:

 mtr 10.0.0.131

это дополняет, а не заменяет технику переключения. Если трассировка показывает, что между компьютером и виртуальной машиной нет промежуточных переходов, по крайней мере вы будете знать, что вы можете исключить все LAN ПК, подключенных через Wi-Fi, ограничивая диапазон возможностей, и делает switch техника эффективная возможность,если у вас есть управляемый коммутатор или вы готовы отключить кабели в коммутаторе один за другим.

кроме того, вы можете подделка техническая проблема и отключить все соединения ethernet, заставляя пользователей использовать Wi-Fi, пока ваш виновник не заглотит наживку.

Я предполагаю, что 20 клиентов подключены к переключатель:

каждый коммутатор содержит таблицу всех известных MAC-адресов на этой таблице, и таблица имеет следующий формат:

    Port               Address
     1              fa:23:65:XX:XX:XX:XX
     2              87:4a:12:d2:xx:XX:xx

здесь порт физический порт коммутатора и адрес - MAC-адрес, указанный на порту.

вы должны проверить на переключатель консоли порт, который регистрирует более одного MAC-адрес, и теперь вы знаете, порт коммутатора, к которому подключен хост.

просто чтобы убедиться:

из окна оборудование ping 10.0.0.123 и затем arp -a.

проверьте, что MAC-адрес, соответствующий 10.0.0.123 - это то же, что вы обнаружили на переключатель таблице.

Я делал такие вещи иногда в прошлом. Что меня смущает: вы используете свои инструменты в VMware? Поэтому я предполагаю, что 10.0.0.0/24-это физическая сеть, а не виртуального? Вы также должны знать, что некоторые инструменты могут отображать что-то странное из-за дополнительного сетевого уровня (виртуальная сеть vmware).

Первое, что вы можете сделать для анализа:

• Ping хост, а затем сделать arp -a (может быть немного неправильно, я использую Linux). Искать МАК адрес и использовать онлайн-сервис, какhttp://aruljohn.com/mac.pl для поиска первых 3 пар адреса. Вы увидите производителя устройства.

• в списке arp вы также можете проверить, используется ли один и тот же MAC-адрес двумя разными IP-адресами. Это будет означать, что устройство имеет два из них.

• также интересно время пинга. Сравните его с известными компьютерами и, возможно, принтером в вашей сети. ПК обычно быстрее отвечая, чем принтеры интернет-маршрутизаторов. К сожалению, точность времени Windows не очень хороша.

• и последнее, но не менее важное: я рекомендую запускать nmap -A 10.0.0.131 или nmap -A 10.0.0.0/24, который показывает больше информации о конкретном хосте или полной сети. (Thx to pabouk)

отслеживание неизвестной машины в неуправляемой сети затруднено. Я был поставлена задача с этим несколько раз, и в порядке предпочтения, это, как я имею дело с ними:

1. попытка просмотра сервера (если вы обеспокоены безопасностью, если это своего рода приманка, сделайте это с одноразовой виртуальной машины). Вы никогда не знаете-просмотр этой машины в веб-браузере может очень хорошо просто раскрыть свое имя ПК или его цель. Если у него есть самозаверяющий сертификат SSL, то это также часто приводит к утечке внутреннего имени сервера.

   Если веб-служба не запущена и вы считаете, что это ПК с Windows, попробуйте подключиться к общим административным ресурсам (например,\example\c$) - вам может повезти с угадыванием имени пользователя администратора. Или, если вы думаете, что это сервер Windows (или Windows Professional edition), то попробуйте удаленный desktopping в него.

   Как только вы в некотором роде, то вы можете искать информацию о цели машины, и, таким образом, кто может создали его и выложили в сеть в первую очередь. Затем разыскать их.

   некоторая часть этой информации (например, имя компьютера, и что это окно Windows) уже была раскрыта вашим сканером, поэтому вам не нужно много учиться здесь.

2. посмотрите на ARP таблицу коммутатора. Это даст вам сопоставление между тем MAC-адресом и физическим портом и VLAN. Это невозможно в вашей ситуации, поскольку у вас нет управляемого переключатель.

3. сравните MAC-адрес для этого IP-адреса с локальной таблицей ARP. Возможно, существует дубликат MAC-адреса там, который указывает на два IP-адреса на том же физическом интерфейсе. Если другой IP адрес, то есть свой виновник.

4. запустить пинг до машины. Если это отвечает на Эхо-запрос, отключите кабели от коммутатора, один за другим, пока эхо-запрос не отказывает. Последний отсоединенный кабель ведет к виновный.

также не полное решение-действительно, не может быть полного решения вашего вопроса в зависимости от вашей настройки и игнорирования отключающих устройств, но может помочь.

Если вы получаете MAC-адрес устройства (т. е. посмотрите на таблицу arp), первые 3 октета адреса часто могут сказать вам что-то об адресе-просто ударьте их в Mac lookup finder, как http://www.coffer.com/mac_find/

программы как NMAP обеспечивают обнаружение фингерпринта которое может также помочь в разработке устройства в вопросе, глядя на то, как его стек TCP построен. Опять же, не полный, но он часто может помочь.

другой способ (предполагая, что вы находитесь в проводной сети) может заключаться в том, чтобы затопить неподходящий адрес трафиком и посмотреть, какой порт на коммутаторе становится баллистическим, а затем трассировать кабель. В сети Wi-Fi все намного сложнее (вы можете заставить устройство на поддельную точку доступа, а затем начать перемещать ее и смотреть, как сигнал ведет себя триангулировать устройство-но я не пробовал что-то подобное).

некоторые методы подключения принтера к локальной сети предоставляют принтеру IP-адрес, выходящий за пределы диапазона, который может использоваться компьютерами в сети, поэтому может потребоваться проверить наличие такого принтера.