好吧,我知道这是一个愚蠢的问题,但请忍耐一下。
我开始了一份新工作,网络非常糟糕,哑交换机之上又有一堆哑交换机。
我们正在运行一个 10. 网络,但是我的网络上有一个 192 网络,它不断发送大量谁有 arp 请求以及其他 igmp 数据包。wireshark 给了我 mac 地址,但仅此而已。有没有办法我可以伪造对谁有请求的答案,以便我可以尝试找到这台机器?
答案1
您可以为一台机器配置一个与 ARP 请求匹配的静态 IP 地址和一个适当的网络掩码。网络掩码必须足够短,以涵盖请求的 IP 和发送请求的机器的 IP。最有可能的网络掩码255.255.255.0
或255.255.0.0
可以使用。
在计算机上配置静态 IP 地址后,它将开始响应 ARP 请求。这应该会使 ARP 请求率下降。此计算机现在将能够与恶意计算机交换 IP 数据包,并且您可以使用其他工具(例如)nmap
来识别它可能正在运行的内容。
答案2
您可以使用arping -A
发送ARP REPLY
数据包
答案3
现在,当您说“哑交换机”时,我们指的是您根本无法管理的家用级设备吗?如果他们有任何远程管理,他们通常会告诉您他们在哪个端口上看到给定的 MAC 地址。
如果做不到这一点,那就去买一个旧的思科 2950/3550 交换机,价格不到 100 美元,然后运行所有哑交换机,这样您就可以很快找到行为不端的设备。
有点危险但可行:从下载数据包生成器https://wiki.wireshark.org/Tools#Traffic_generators并敲击 MAC 地址。处理 MAC 的交换机应该像聚光灯一样点亮其端口。所有交换机互连端口也将亮起,因此在确定设备插入位置之前,请先识别这些端口。
最后一种方法 - 将 WireShark 插入其中一个交换机。关闭其他交换机,直到您不再看到 MAC。当您认为您知道设备在哪个交换机中时,将 WireShark 插入该交换机并开始断开跳线,直到您消除了其他 MAC。