ネットワーク内の不明なIPを特定する

20のクライアントを含むネットワークがあります。私は、IPアドレスの範囲を割り当てた10.0.0.1と10.0.0.20彼らに。IPスキャンを実行すると10.0.0.131、VMwareで使用している人がいます。このIPがどのIPとブリッジされているかを知るにはどうすればよいですか？つまり、どのシステムに2つのIPがあるかを知るにはどうすればよいですか？（つまり、このシステムの他のIP）

更新：

ネットワーク内のシステムIPは10.0.0.81次のとおりです。

IPスキャナーの出力は、10.0.0.131VMwareで使用している人を示しています。

そして、tracertコマンドの結果は私たちの間には何も示していません：

C:\Users>tracert -j 10.0.0.131 10.0.0.81

Tracing route to ghasemi3.it.com [10.0.0.81]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  ghasemi3.it.com [10.0.0.81]

Trace complete.
C:\Users>

あなたの問題に対するグローバルな解決策を提供することはできません。部分的な解決策です。これをスイッチテクニックに追加して、機会の範囲を広げることができます。

VMを実行しているユーザーがwifiを介してLANに接続している場合、tracerouteを使用してそのユーザーを識別することができます。理由は、VMのLANネットワーク上にIPがあることを示したため、ブリッジ構成になっているためです。彼らが採用：技術的な理由から、無線LANの接続がすべてのハイパーバイザーではなく、実際のブリッジ構成の巧妙なトリックを使用し、したがって、ブリッジすることができないproxy_arpを、例えば参照この菩提座禅のブログエントリ KVMのために、どのようにこの作品の説明のために、そしてこのページVMWareの場合。

VMの代わりにARPクエリに応答するpcがあるため、tracerouteはVMの前にノードを識別します。たとえば、これはLAN上の別のPCからのtracerouteの出力です。

My traceroute  [v0.85]
asusdb (0.0.0.0)                                                                                               Mon Jun  1 11:45:03 2015
                        Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                                                           Packets               Pings
 Host                                                                                       Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. rasal.z.lan                                                                           0.0%     1    6.0   6.0   6.0   6.0   0.0
  2. FB.z.lan                       

rasalはホストマシン、FBはゲストです。これを3番目のPC（asusdb）から発行しています。

Windowsでは、適切なコマンドは

 tracert 10.0.0.131

Linuxでは、非常に便利なユーティリティmtrを使用して同じことができます。

 mtr 10.0.0.131

これは、スイッチ技術を置き換えるのではなく、補完するものです。tracerouteがPCとVMの間に中間ホップがないことを示している場合、少なくとも、wifiを介して接続されているすべてのLAN PCを除外し、可能性の範囲を制限し、スイッチ技術を効果的な可能性にすることができます。マネージドスイッチがある場合、またはスイッチのケーブルを1つずつ抜きたい場合。

または、技術的な問題を偽装してすべてのイーサネット接続を切断し、犯人が餌を食べるまでユーザーに無線LANの使用を強制することもできます。

私は20クライアントがスイッチに接続されていると仮定しています：

すべてのスイッチは、テーブル上のすべての既知のMACアドレスのテーブルを保持し、テーブルは次のような形式になります。

    Port               Address
     1              fa:23:65:XX:XX:XX:XX
     2              87:4a:12:d2:xx:XX:xx

どこのポートは、スイッチとの物理ポートされたアドレス、MACアドレスがポートで検出されました。

スイッチコンソールで複数の MACアドレスを登録するポートを確認する必要があり、VMホストが接続されているスイッチポートがわかりました。

念のために：

Windows機器からping 10.0.0.123発行しarp -aます。

に対応するMACアドレス10.0.0.123が、スイッチテーブルで検出したものと同じであることを確認します。

私は過去に時々このようなことをしました。混乱するのは、VMwareでツールを使用していることですか？だから、10.0.0.0 / 24は物理ネットワークであり、仮想ネットワークではないと仮定していますか？また、一部のツールは余分なネットワークレイヤー（vmware仮想ネットワーク）のために奇妙なものを表示する可能性があることも知っておく必要があります。

分析のために最初にできること：

• ホストにpingを実行しますarp -a（少し間違っている可能性があります。Linuxを使用しています）。MACアドレスを探し、http：//aruljohn.com/mac.plなどのオンラインサービスを使用して、アドレスの最初の3つのペアを検索します。デバイスの製造元が表示されます。

• arpリストでは、同じMACアドレスが2つの異なるIPで使用されているかどうかも確認できます。これは、デバイスに2つあることを意味します。

• また、ping時間も興味深いものです。既知のPCやネットワーク内のプリンターと比較してください。通常、PCはインターネットルーターのプリンターよりも応答が高速です。残念ながら、Windowsの時間精度はあまり良くありません。

• 少なくとも最後のではなく、私は実行することはお勧めしnmap -A 10.0.0.131たりnmap -A 10.0.0.0/24、特定のホストまたは完全なネットワークについての詳細を明らかにしました。（Thx to pabouk）

管理されていないネットワーク上の未知のマシンを追跡することは困難です。私はこれを数回任されましたが、好みの順に、これが私がそれらに対処する方法です：

1. サーバーの閲覧を試みます（ハニーポットのようなセキュリティが心配な場合は、使い捨てのVMから行います）。あなたは決して知らない-ウェブブラウザでそのマシンにブラウジングすると、そのPC名、またはその目的を明らかにするだけかもしれません。自己署名SSL証明書を取得している場合、内部サーバー名も漏れることがよくあります。

   Webサービスを実行しておらず、Windows PCであると思われる場合は、管理共有（例：）に接続してみてください\\example\c$-管理者のユーザー名を推測すると幸運になるかもしれません。または、Windows Server（またはWindows Professionalエディション）であると思われる場合は、リモートデスクトップを試してください。

   何らかの方法で、一度マシンの目的に関する情報を検索することができます。したがって、誰がそれを作成し、そもそもネットワーク上に置いたのでしょうか。次に、それらを追跡します。

   この情報の一部（PC名、Windowsボックスなど）は、スキャナーによって既に明らかにされているため、ここで学ぶことはあまりないかもしれません。

2. スイッチのARPテーブルを見てください。これにより、そのMACアドレスと物理ポートおよびVLANの間のマッピングが得られます。マネージドスイッチがないため、これは状況によっては不可能です。

3. そのIPアドレスのMACアドレスをローカルARPテーブルと比較します。たぶん、そこに重複したMACアドレスがあり、これは同じ物理インターフェース上の2つのIPアドレスを示しています。他のIPアドレスがわかっている場合は、犯人がいます。

4. マシンへのpingを開始します。pingに応答する場合は、pingが失敗するまで、スイッチからケーブルを1つずつ取り外します。最後に取り外したケーブルが原因です。

また、完全な解決策ではありません-実際、設定によっては、質問への完全な解決策が存在しない場合があり、デバイスの取り外しを無視します-しかし、役立つ可能性があります。

デバイスのMACアドレスを取得する（つまり、arpテーブルを見る）と、アドレスの最初の3オクテットからアドレスに関する情報が得られることがよくあります。http：//www.coffer.comのようなMACルックアップファインダーにパンチするだけです。 / mac_find /

NMAPのようなプログラムは指紋検出を提供します。これは、TCPスタックの構築方法を調べることで、問題のデバイスの解決にも役立ちます。繰り返しますが、完全な保証ではありませんが、多くの場合に役立ちます。

別の方法（有線のみのネットワークを使用している場合）は、不適切なアドレスをトラフィックであふれさせ、スイッチのどのポートが弾道になるかを探し、ケーブルをトレースします。WIFIネットワークでは、物事ははるかに困難です（デバイスを偽のアクセスポイントに強制し、それを動かして、信号がデバイスを三角測量する動作を調べることができるかもしれませんが、私はこのようなことを試していません）。

プリンタをローカルネットワークに接続する方法のいくつかは、ネットワーク上のコンピュータで使用される可能性が高い範囲外のIPアドレスをプリンタに与えるため、そのようなプリンタを確認することをお勧めします。

約20のクライアントしかない。ダンプスイッチを使用しています。

これを「正確に1つの安価なスイッチがある」と読み、20台すべてのPCがこの単一のデバイスに接続されています。通常、スイッチの各アクティブポートには、リンク速度とアクティビティを示す1つ以上のLEDがあります。

最後は簡単な解決策を提供します。VMに大量のトラフィックを作成し、点灯しているポートを確認します。OSによっては、1つ以上のcmdプロンプトを使用したい場合がありますping -t 10.0.0.81。UNIXのようなシステムではping -f 10.0.0.81、そのIPをフラッディングするために使用できます。（警告、フラッディングpingは、PCが処理できる最大速度になります。これにより、実行中のネットワーク全体が遅くなります。また、LEDが永続的に燃焼します。