हमारे नेटवर्क में एक अज्ञात आईपी की पहचान करें

मेरे पास एक नेटवर्क है जिसमें 20 ग्राहक हैं। मैं आईपी रेंज सौंपा 10.0.0.1करने के लिए 10.0.0.20उन्हें। जब मैं एक आईपी स्कैनिंग करता हूं तो मुझे 10.0.0.131VMware में किसी का उपयोग करते हुए दिखाई देता है। मैं कैसे पता लगा सकता हूं कि यह आईपी किस आईपी के साथ मेल खाता है? यानी मैं कैसे पता लगा सकता हूं कि किस सिस्टम में 2 आईपी हैं? (यानी इस प्रणाली के अन्य आईपी)

अपडेट करें:

नेटवर्क में मेरा सिस्टम आईपी है 10.0.0.81:

10.0.0.131VMware में किसी का उपयोग करके आईपी स्कैनर का आउटपुट दिखाया गया है :

और tracertकमांड का परिणाम हमारे बीच कुछ भी नहीं दिखाता है:

C:\Users>tracert -j 10.0.0.131 10.0.0.81

Tracing route to ghasemi3.it.com [10.0.0.81]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  ghasemi3.it.com [10.0.0.81]

Trace complete.
C:\Users>

मैं आपकी समस्या का एक वैश्विक समाधान नहीं दे सकता , सिर्फ एक आंशिक। अवसरों की अपनी सीमा को विस्तृत करने के लिए आप इसे स्विच तकनीक में जोड़ सकते हैं ।

यदि VM चलाने वाला उपयोगकर्ता वाईफाई के माध्यम से आपके LAN से जुड़ा है, तो आप उसे ट्रेसरआउट के माध्यम से पहचान सकते हैं। कारण यह है कि आपने हमें दिखाया कि VM के पास आपके LAN नेटवर्क पर एक IP है, इसलिए यह एक ब्रिजिंग कॉन्फ़िगरेशन में है। तकनीकी कारणों से, वाईफाई कनेक्शन को ब्रिज नहीं किया जा सकता है, इसलिए सभी हाइपरविजर वास्तविक ब्रिज कॉन्फ़िगरेशन के बजाय एक नीरस ट्रिक का उपयोग करते हैं: वे प्रॉक्सी_रप को नियोजित करते हैं , उदाहरण के लिए यह बोधि ज़ाज़ेन के ब्लॉग प्रविष्टि के विवरण के लिए देखें कि यह कैसे काम करता है, केवीएम और इस पृष्ठ के लिए VMWare के लिए ।

चूंकि वीएम के स्थिरांक में एआरपी प्रश्नों का जवाब देने वाला एक पीसी है, ट्रेसरआउट वीएम से पहले नोड की पहचान करेगा। उदाहरण के लिए, यह मेरे LAN पर दूसरे पीसी से मेरे ट्रेसरआउट का आउटपुट है:

My traceroute  [v0.85]
asusdb (0.0.0.0)                                                                                               Mon Jun  1 11:45:03 2015
                        Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                                                           Packets               Pings
 Host                                                                                       Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. rasal.z.lan                                                                           0.0%     1    6.0   6.0   6.0   6.0   0.0
  2. FB.z.lan                       

rasal मेजबान मशीन है, FB अतिथि है, मैं इसे एक तीसरे पीसी (asusdb) से जारी कर रहा हूं।

विंडोज में, उचित कमांड है

 tracert 10.0.0.131

लिनक्स पर, आप बहुत सुविधाजनक उपयोगिता के साथ भी ऐसा कर सकते हैं एमटीआर :

 mtr 10.0.0.131

यह पूरक, सुपरसाइड के बजाय, स्विच तकनीक। यदि आपका ट्रेसरआउट यह दर्शाता है कि आपके पीसी और वीएम के बीच कोई इंटरमीडिएट हॉप्स नहीं हैं, तो कम से कम आपको पता चल जाएगा कि आप वाईफाई के माध्यम से जुड़े सभी लैन पीसी को नियंत्रित कर सकते हैं, आपकी संभावनाओं की सीमा को सीमित कर सकते हैं, और स्विच तकनीक को प्रभावी संभावना बना सकते हैं। यदि आपके पास एक प्रबंधित स्विच है या आप एक-एक करके स्विच में केबल को अनप्लग करने के लिए तैयार हैं।

वैकल्पिक रूप से, आप एक तकनीकी समस्या को नकली कर सकते हैं और सभी ईथरनेट कनेक्शन को डिस्कनेक्ट कर सकते हैं, अपने उपयोगकर्ताओं को वाईफाई का उपयोग करने के लिए मजबूर कर सकते हैं, जब तक कि आपका अपराधी चारा नहीं लेता।

मैं मान रहा हूँ कि 20 ग्राहक एक स्विच से जुड़े हैं :

प्रत्येक स्विच तालिका पर प्रत्येक ज्ञात मैक पते की एक तालिका को मापता है, और तालिका इस तरह से एक प्रारूप में है:

    Port               Address
     1              fa:23:65:XX:XX:XX:XX
     2              87:4a:12:d2:xx:XX:xx

जहां पोर्ट स्विच पर भौतिक पोर्ट है और एड्रेस पोर्ट पर मैक एड्रेस का पता लगाया जाता है।

आपको स्विच कंसोल पर एक पोर्ट को जांचना होगा जो एक से अधिक मैक पते को पंजीकृत करता है , और अब आप स्विच पोर्ट को जानते हैं जहां वीएम होस्ट जुड़ा हुआ है।

बस तसल्ली के लिए:

एक Windows उपकरण से ping 10.0.0.123और फिर समस्या arp -a।

जाँच करें कि मैक का पता 10.0.0.123वही है जो आपने स्विच टेबल पर पाया था ।

मैंने अतीत में कभी-कभी इस तरह की चीजें की थीं। मुझे क्या भ्रमित करता है: आप VMware में अपने उपकरणों का उपयोग कर रहे हैं? तो मुझे लगता है कि 10.0.0.0/24 आपका भौतिक नेटवर्क है और आभासी नहीं है? आपको यह भी पता होना चाहिए कि कुछ उपकरण अतिरिक्त नेटवर्क परत (vmware वर्चुअल नेटवर्क) के कारण कुछ अजीब प्रदर्शित कर सकते हैं।

पहली बात आप विश्लेषण के लिए कर सकते हैं:

• मेजबान को पिंग करें और फिर करें arp -a(थोड़ा गलत हो सकता है, मैं लिनक्स का उपयोग कर रहा हूं)। मैक पते के लिए देखें और पते के पहले 3 जोड़े देखने के लिए http://aruljohn.com/mac.pl जैसी ऑनलाइन सेवा का उपयोग करें । आप डिवाइस के निर्माता को देखेंगे।

• आरपी सूची में, आप यह भी जांच सकते हैं कि क्या एक ही मैक पते का उपयोग दो अलग-अलग आईपी द्वारा किया जाता है। इसका मतलब होगा कि डिवाइस में दो हैं।

• इसके अलावा पिंग समय दिलचस्प है। ज्ञात पीसी और शायद आपके नेटवर्क में एक प्रिंटर के साथ तुलना करें। इंटरनेट राउटर के प्रिंटर की तुलना में पीसी आमतौर पर जवाब देने में तेज होते हैं। दुर्भाग्य से, विंडोज की समय परिशुद्धता बहुत अच्छी नहीं है।

• अंतिम लेकिन कम से कम, मैं चलाने की सलाह देता हूं nmap -A 10.0.0.131या nmap -A 10.0.0.0/24जो एक विशिष्ट मेजबान या पूर्ण नेटवर्क के बारे में अधिक जानकारी प्रकट करता है। (Thx to pabouk)

एक अनमैन्ड नेटवर्क पर एक अज्ञात मशीन को ट्रैक करना मुश्किल है। मुझे इसे कुछ समय के साथ सौंपा गया है, और वरीयता क्रम में, यह है कि मैं उनके साथ कैसे व्यवहार करता हूं:

1. सर्वर को ब्राउज़ करने का प्रयास करें (यदि आप सुरक्षा के बारे में चिंतित हैं, अगर यह किसी प्रकार का हनीपॉट है, तो इसे फेंकने वाले वीएम से करें)। आप कभी नहीं जानते - वेब ब्राउज़र में उस मशीन पर ब्राउज़ करना बहुत ही अच्छी तरह से उसके पीसी नाम, या उसके उद्देश्य को प्रकट कर सकता है। यदि इसे एक स्व-हस्ताक्षरित एसएसएल प्रमाणपत्र मिला है, तो यह अक्सर आंतरिक सर्वर नाम को भी लीक करेगा।

   यदि यह एक वेब सेवा नहीं चला रहा है, और आपको लगता है कि यह एक विंडोज पीसी है, तो इसके प्रशासनिक शेयरों (जैसे \\example\c$) से कनेक्ट करने का प्रयास करें - आप एक व्यवस्थापक उपयोगकर्ता नाम का अनुमान लगाने के साथ भाग्यशाली हो सकते हैं। या यदि आपको लगता है कि यह एक विंडोज सर्वर (या विंडोज प्रोफेशनल संस्करण) है, तो इसमें दूरस्थ डेस्कटॉप की कोशिश करें।

   एक बार जब आप किसी तरह से हो जाते हैं, तो आप मशीन के उद्देश्य के बारे में जानकारी खोज सकते हैं, और इस तरह जिसने इसे बनाया है और इसे पहली जगह में नेटवर्क पर रख सकता है। फिर उन्हें ट्रैक करें।

   इस जानकारी में से कुछ (जैसे कि पीसी का नाम, और यह एक विंडोज बॉक्स है) आपके स्कैनर द्वारा पहले ही बताई जा चुकी है, इसलिए आपके लिए यहां सीखने के लिए बहुत कुछ नहीं हो सकता है।

2. स्विच की ARP तालिका देखें। यह आपको उस मैक पते और एक भौतिक पोर्ट और वीएलएएन के बीच एक मानचित्रण देगा। यह आपकी स्थिति में संभव नहीं है क्योंकि आपके पास एक प्रबंधित स्विच नहीं है।

3. अपने स्थानीय एआरपी तालिका के लिए उस आईपी पते के मैक पते की तुलना करें। हो सकता है कि वहां एक डुप्लीकेट मैक एड्रेस हो, जो एक ही भौतिक इंटरफेस पर दो आईपी पते को इंगित करता हो। यदि अन्य IP पता ज्ञात है, तो आपका अपराधी है।

4. मशीन से पिंग शुरू करें। यदि यह पिंग के प्रति प्रतिक्रिया करता है, तो स्विच से केबल को अनप्लग करें, जब तक पिंग विफल न हो जाए। वह आखिरी केबल जिसे आपने अनप्लग किया है, जो आपके अपराधी के लिए अग्रणी है।

एक पूर्ण समाधान भी नहीं - वास्तव में आपके सेटअप के आधार पर आपके प्रश्न का पूर्ण समाधान नहीं हो सकता है, और अनप्लगिंग उपकरणों की अनदेखी नहीं कर सकता है - लेकिन मदद कर सकता है।

अगर आपको मैक एड्रेस (यानी arp टेबल पर देखने के लिए) डिवाइस मिलते हैं, तो एड्रेस के पहले 3 ऑक्टेट्स अक्सर आपको एड्रेस के बारे में कुछ बता सकते हैं - बस उन्हें http://www.coffer.com जैसे मैक लुकअप फाइंडर में पंच करें / mac_find /

NMAP जैसे कार्यक्रम फिंगरप्रिंट डिटेक्शन प्रदान करते हैं जो कि इसकी टीसीपी स्टैक के निर्माण के तरीके को देखकर प्रश्न में डिवाइस को काम करने में सहायता कर सकते हैं। फिर से, फुलप्रूफ नहीं, लेकिन यह अक्सर मदद कर सकता है।

दूसरा तरीका (यह मानते हुए कि आप केवल वायर्ड नेटवर्क पर हैं) ट्रैफ़िक के साथ अनुचित पते को बाढ़ सकते हैं और यह देख सकते हैं कि स्विच किस पोर्ट पर बैलिस्टिक जाता है - फिर केबल को ट्रेस करें। WIFI नेटवर्क पर चीजें बहुत कठिन होती हैं (आप डिवाइस को नकली एक्सेस प्वाइंट पर मजबूर करने में सक्षम हो सकते हैं, फिर इसे स्थानांतरित करना शुरू कर सकते हैं और यह देखना शुरू कर सकते हैं कि सिग्नल डिवाइस को त्रिभुजित करने के लिए कैसे व्यवहार करता है - लेकिन मैंने ऐसा कुछ करने की कोशिश नहीं की है)।

प्रिंटर को स्थानीय नेटवर्क से जोड़ने की कुछ विधियाँ प्रिंटर को नेटवर्क पर कंप्यूटर द्वारा उपयोग किए जाने की संभावना के बाहर एक IP पता प्रदान करती हैं, जिससे आप ऐसे प्रिंटर की जाँच कर सकते हैं।

आपके पास केवल 20 ग्राहक हैं। आप डंप स्विच का उपयोग कर रहे हैं।

मैंने इसे "आप ठीक एक सस्ते स्विच" के रूप में पढ़ा है और सभी 20 पीसी इस एकल डिवाइस से जुड़े हैं। स्विच पर प्रत्येक सक्रिय पोर्ट में आमतौर पर लिंक गति और गतिविधि को इंगित करने के लिए एक या अधिक एलईडी होते हैं ।

आखिरी हमें एक आसान समाधान देता है। अपने VM के लिए बहुत सारे ट्रैफ़िक बनाएं और देखें कि कौन सी पोर्ट लाइट्स अप करती है। अपने OS के आधार पर आप एक या अधिक cmd संकेतों का उपयोग करना चाहते हैं ping -t 10.0.0.81। सिस्टम जैसे यूनिक्स पर आप ping -f 10.0.0.81उस आईपी को बाढ़ सकते हैं । (चेतावनी, बाढ़ पिंग अधिकतम गति है जिसे आप पीसी संभाल सकते हैं। यह चलने पर आपके पूरे नेटवर्क को धीमा कर देगा। यह एलईडी बर्न को भी स्थायी रूप से बना देगा।