因此,我一直在使用 nmap,并发现了一个奇怪的问题,同一子网中的两个设备具有相同的 mac 地址。我想追踪第二个 mac,因为第一个是声波墙,这有一些令人不安的含义。
如果我是正确的,那么要么我的网卡被分配了非法的 MAC 地址,要么有人在欺骗我的 Sonic Walls MAC,从而至少接收到所有的广播数据包。
我希望有人能给我一些线索,告诉我如何找到另一个 mac 地址。我可以访问 Linux 机器,也可以访问 Sonic Wall 和配线架。如果要逐个拔掉每个设备,我可以,但如果有其他解决方案就更好了。
谢谢你,西德尼
答案1
假设您至少知道一个 MAC 地址用户的 IP,理想情况下您需要知道两个 IP。您确定您不会对看到两个不同的 IP 使用相同的 MAC 感到困惑吗?事实上,这是同一个物理设备和以太网端口,但该设备上设置了多个 IP(这是正常的,通常称为多宿主)。
通常人们知道每个设备在每个 IP 上的位置,因此如果您知道其中一个 IP,请找到一种方法来检查两个 IP 是否都在网络上(从您的计算机),然后拔下已知设备的电源,看看两个 IP 是否都消失了。这也表明该设备上使用了多宿主 IP。
还应该指出的是,如果两个设备通常配置并具有相同的 MAC,则两个设备都无法正常运行。这也可能有助于追踪两个无法正常运行的独立设备。
它们无法正常运行,因为网络上与它们通信的其他站点(例如通过路由器传入的数据)将在两个设备之间闪烁,具体取决于谁最后使用/宣布了 ARP,中间的交换机也可能根据哪个设备最后使用/宣布了 ARP 来调整其切换模式。当 ARP 请求发出时,两者都会回复,并且通常返回侦听器的最慢的站点获胜,因为它们最后(最近)宣布了 ARP。
有时这种情况是如此可预测,以至于一个设备在 99% 的时间内都有控制权,但时不时地会出现几分钟的中断(与重新验证之前许多站点的事实上的 3 分钟 ARP 超时相似)。
距离(如互连交换机的数量和以太网链路的速度)会影响网络上每个站点最后看到的 ARP 公告。由于可观察到的 ARP 回复数据包(从它们的角度看)的顺序不同,因此每个站点的视图可能不同。
现在,如果你有一些邪恶/隐蔽的设备,那就另当别论了,因为它的目标是让 MAC 的真正所有者尽可能地进行操作而不被发现。
...
有一个 Linux 工具arping
,可以让您通过了解 IP 来找出 MAC 地址,而无需系统响应 ICMP PING(这对设备通常不起作用)。
或者,您可以使用普通命令arp -a
检查未列出的 MAC 地址,然后ping 1.2.3.4
(可能不会回复)然后使用arp -a
类似命令手动查看设备是否已显示 IP。这表明即使设备未响应 ICMP PING 请求,它仍在网络上响应 ARP 请求。这是穷人的做法arping
。
...
使用企业交换机查找 MAC 地址及其所连接的端口,然后跟踪直到找到接入端口。关闭该端口(或自行拔下设备)。
这需要连接到企业交换机的控制台(或 Web UI)并查看“MAC 地址表”和端口 ID。然后找出该端口 ID 上链上的下一个设备。最终您将获得一个接入端口(而不是另一个交换机)。
因此,找到一个 MAC 地址用户后,一旦将其拔出,就重新验证该 MAC 的另一个用户。查看它是否仍在网络上或也消失了(表明它可能是同一物理设备)。
现在继续arping
对另一台设备执行相同的步骤,直到将 MAC 追踪回另一个用户的端口。
如果您没有企业交换机,那么这个过程会变得非常繁琐,因为您需要物理地拔掉交换机互连以将网络一分为二,检查一侧,然后检查另一侧,以缩小所涉及的交换机和站的范围。
...
一些处于安全模式的交换机会通过 ARP 回复来锁定网络上未经授权的设备。但通常使用交换机 MAC 地址,但您声称您有两个具有相同 MAC 的设备。
可能伪造 MAC 的设备可能是 MAC 克隆设备,但这种情况并不常见,它已用于 DSL 和其他 Internet 连接产品,因为某些 ISP 通过 DHCP 上看到的 MAC 地址来验证您的用户。
其他与 MAC 相关的设备包括负载平衡器和高可用性系统,通常两个具有物理端口的设备可能会在它们之间移动 MAC 以平衡流量负载。这使得向它们发送流量的系统无需区分哪个设备正在接收流量。