识别我们网络中的未知 IP

tag-icon tag-icon windows-7 networking ip vmware-player
识别我们网络中的未知 IP

我有一个包含 20 个客户端的网络。我10.0.0.110.0.0.20它们分配了 IP 范围。当我进行 IP 扫描时,我看到有人10.0.0.131在 VMware 中使用。我如何找出此 IP 与哪个 IP 桥接?即我如何找出哪个系统有 2 个 IP?(即该系统的另一个 IP)

更新:

我的系统在网络中的IP是10.0.0.81

在此处输入图片描述

IP 扫描器的输出显示有人10.0.0.131在 VMware 中使用:

在此处输入图片描述

命令的结果tracert没有显示我们之间任何东西:

C:\Users>tracert -j 10.0.0.131 10.0.0.81

Tracing route to ghasemi3.it.com [10.0.0.81]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  ghasemi3.it.com [10.0.0.81]

Trace complete.
C:\Users>

答案1

我无法提供全球的解决您的问题,但只是部分解决方案。您可以将其添加到转变技术来扩大您的机会范围。

如果运行虚拟机的用户通过 wifi 连接到您的 LAN,那么您可以通过跟踪路由识别他/她。原因是您向我们展示了虚拟机在您的 LAN 网络上有一个 IP,因此它处于桥接配置。由于技术原因,WiFi 连接无法桥接,因此所有虚拟机管理程序都使用一个巧妙的技巧来代替真正的桥接配置:它们采用代理地址解析协议,例如这是 Bodhi Zazen 的博客文章有关 KVM 工作原理的解释,以及此页面适用于 VMWare

由于有一台 PC 代替虚拟机回复 ARP 查询,因此 traceroute 将在虚拟机之前识别节点。例如,这是我从 LAN 上的另一台 PC 进行的 traceroute 输出:

My traceroute  [v0.85]
asusdb (0.0.0.0)                                                                                               Mon Jun  1 11:45:03 2015
                        Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                                                           Packets               Pings
 Host                                                                                       Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. rasal.z.lan                                                                           0.0%     1    6.0   6.0   6.0   6.0   0.0
  2. FB.z.lan

rasal 是主机,FB 是客户机,我从第三台电脑(asusdb)发布此信息。

在 Windows 中,正确的命令是

 tracert 10.0.0.131

在 Linux 上,你可以使用非常方便的实用程序执行相同操作地铁

 mtr 10.0.0.131

这补充了交换机技术,而不是取代它。如果你的跟踪路由显示你的电脑和虚拟机之间没有中间跳转,那么至少你会知道你可以排除所有通过 wifi 连接的 LAN 电脑,限制你的可能性范围,并使转变技术是一种有效的可能性,如果您有一个管理型交换机,或者您愿意逐个拔掉交换机中的电缆。

或者,您也可以伪造的出现技术问题并断开所有以太网连接,迫使用户使用 wifi,直到罪魁祸首上钩。

答案2

我假设这 20 个客户端连接到转变

每个交换机都维护一个表,其中包含所有已知的 MAC 地址,该表的格式如下:

    Port               Address
     1              fa:23:65:XX:XX:XX:XX
     2              87:4a:12:d2:xx:XX:xx

在哪里港口是交换机上的物理端口,地址是在端口上检测到的 MAC 地址。

你必须检查切换控制台注册的端口超过一个MAC 地址,现在您知道 VM 主机连接的交换机端口了。

只是要确定:

ping 10.0.0.123然后从 Windows 设备发出arp -a

检查对应的 MAC 地址10.0.0.123是否与您在切换表

答案3

我以前也做过类似的事情。让我困惑的是:您使用的是 VMware 中的工具?所以我假设 10.0.0.0/24 是您的物理网络而不是虚拟网络?您还应该知道,由于额外的网络层(vmware 虚拟网络),某些工具可能会显示一些奇怪的内容。

您可以做的第一件事就是分析:

  • ping 主机,然后执行arp -a(可能有点错误,我使用的是 Linux)。查找 MAC 地址并使用在线服务,例如http://aruljohn.com/mac.pl查找地址的前 3 对。您将看到设备的制造商。

  • 在 arp 列表中,您还可以检查两个不同的 IP 是否使用了相同的 MAC 地址。如果是,则表示该设备有两个不同的 IP。

  • ping 时间也很有趣。将其与网络中已知的 PC 和打印机进行比较。PC 的响应速度通常比互联网路由器的打印机更快。不幸的是,Windows 的时间精度不是很好。

  • 最后但同样重要的是,我建议运行nmap -A 10.0.0.131或,nmap -A 10.0.0.0/24它可以显示有关特定主机或整个网络的更多信息。(感谢 pabouk)

答案4

这也不是完整的解决方案 - 事实上,根据您的设置,可能没有完整的解决方案来解决您的问题,并且忽略拔掉设备 - 但可能会有所帮助。

如果你获取了设备的 MAC 地址(即查看 arp 表),该地址的前 3 个八位字节通常可以告诉你一些有关该地址的信息 - 只需将它们输入 mac 查找器即可http://www.coffer.com/mac_find/

NMAP 等程序提供指纹检测功能,通过查看 TCP 堆栈的构建方式,也可以帮助找出有问题的设备。同样,这不是万无一失的,但通常可以提供帮助。

另一种方法(假设您使用的是有线网络)可能是用流量淹没不适当的地址,并查找交换机上的哪个端口出现故障 - 然后跟踪电缆。在 WIFI 网络上,事情要困难得多(您可能能够将设备强制连接到虚假接入点,然后开始移动它并查看信号如何表现以对设备进行三角测量 - 但我还没有尝试过这样的方法)。

相关内容