我们正在查看域上的防火墙流量,一些未知 IP 不断出现。查看 DNS、DHCPping和tracert也没有任何线索,因为它们似乎与任何特定域项目(服务器、PC 或其他)无关。
这些 IP 可能指向某些外部设备,例如调制解调器或打印机,或者它们甚至用于内部路由。
有什么方法可以让我们识别出什么正在使用这个 IP?
答案1
假设你已经知道子网地址所属(如果您有多个子网)——可以通过检查路由表轻松发现。
了解设备的 MAC 地址(在同一子网中的 PC 上使用arp -an、ip neigh、arping...),并根据 IEEE 的 OUI 表检查其前缀。(有各种“OUI 查找”网站。)虽然结果不是总是与整个设备的制造商一样,这仍然相当常见。
拥有相同的 MAC 地址,连接到您的一个“托管”/“智能”交换机,并在其“MAC 表”中搜索该地址 - 您将找到上次看到的交换机端口。如果该端口连接到另一个托管交换机,请重复该过程,直到没有更多可请求的交换机。
如果您仍然需要搜索一大块网络(或者子网没有任何托管交换机),并且不担心停机,请将网络一分为二,检查哪一半仍可以到达神秘地址。重复操作,直到找到为止。