情况:
我们最近关闭了 DHCP 并转而使用固定 IP 地址,在旧网络段的旧 DHCP 范围中间,我们发现一个设备响应 ping 但没有任何正常的远程访问服务运行(SSH、RDP、SMB 等)。
NMap 版本识别没有发现任何结果,我们得到以下结果:
PROTOCOL STATE SERVICE
1 open icmp
4 open|filtered ip
6 open tcp
17 open udp
66 open|filtered rvd
96 open|filtered scc-sp
136 open|filtered unknown
157 open|filtered unknown
214 open|filtered unknown
235 open|filtered unknown
251 open|filtered unknown
MAC Address: B8:AC:6F:95:06:64 (Dell)
我们没有收到任何连接到这些开放端口的反馈,也没有文档表明任何设备应该在那里。我们已知的所有设备都有文档记录,因此该设备的存在是一个谜。
我不喜欢神秘的设备。
问题:
有人知道什么设备可能打开了所有这些奇怪的端口吗?
我们有很多戴尔工作站和服务器,但我们已经检查过每一项已知资产。
有人能建议一种访问该设备的方法吗?
或者,除了从各个集线器段拉扯电缆直到无法到达并从那里缩小范围之外,有人可以建议如何物理地找到它吗?
答案1
这就是为什么我现在不关心非管理型交换机的原因......能够询问我的 SMNP 生成的网络地图“这个 MAC 地址来自哪个交换机的哪个端口?”实在是太方便了。
因为听起来您是在办公室环境中,所以我会等到每个人都下班回家后再开始拉电缆——这确实是最简单的选择。如果这真的不合适,请对设备发起泛洪 ping,并通过查找哪些端口的链接灯发疯来追踪路径,然后从那里追踪它。
至于“它是什么?”,您实际上没有提供任何有用的信息。nmap 说它响应 ICMP、UDP 和 TCP 几乎不是什么新鲜事——没有多少支持 IP 的设备不会响应。您想映射开放的 TCP 和 UDP 端口,而不是协议。
答案2
显示的数字不是开放端口,而是协议系列 ID。您的设备会传递所有 icmp/tcp/udp 数据包并阻止一些 ip 数据包(可能是 ARP)。
这可能是一个以哑无线交换机模式运行的 WiFi 接入点 - 没有 IP 地址,也没有启动任何服务。