我的问题是如何确定我公司网络环境中正在使用的所有私有 IP 地址?
我是一名内部审计员,负责验证公司的设备清单。公司使用由网络管理员配置的工具来扫描我们生产网络中非常特定的私有 IP 地址范围。我需要验证网络上没有其他设备位于这些扫描范围之外。当被问到这个问题时,管理员的回答大致是“因为我们不使用这些范围之外的地址。”这很好,我确信他们不会这样做。但是,我正在寻找一种方法来查看哪些 IP 地址真正在使用中,以便我可以评估我正在审查的设备清单的完整性。
(我知道我可以要求他们使用该工具扫描整个 10.0.0.0/8 子网,但由于某种原因,这似乎不可行,所以我正在寻找替代方案)
谢谢大家的帮助。
答案1
您需要扫描所有正在使用的范围,以查看“真正”存在的内容。这就是审计的重点,不是吗?
如果您可以访问路由器及其路由表,则可以减少扫描的大小,或者至少验证某些范围未被使用。核心路由器的路由表应该足够了。
例如,如果 10.100.0.0/16 范围是唯一一个据称正在使用的,那么如果您检查路由器的路由表,则不应该看到该范围之外的路由。如果您看到一条通往 10.150.5.0/24 的路由,则说明存在未记录的网络,应该扫描该网络以查找设备。
顺便说一句,如果他们确实只使用某些范围,那么扫描这些范围之外的内容应该不会对网络产生影响。如果他们有入侵检测系统,扫描可能会触发入侵检测系统(实际上应该触发),但由于您是已知来源,因此这也不成问题。
答案2
一个选项是查询常用机器的 ARP 缓存。
ARP 是一种将 IP 地址转换为 MAC 地址的软件。如果两台机器在(最近)过去进行过通信,则两台机器都会有彼此的 ARP 条目。在 Linux 上,命令“arp”将显示 arp 缓存。
也就是说,如果两台机器从未有过相互联系的理由,则不会出现条目。因此,请在文件服务器或网关上执行此操作。
这种方法不如Ron提到的扫描那么全面,但更简单。