识别我们网络中的未知IP

我的网络包含20个客户端。我分配的IP范围10.0.0.1来10.0.0.20给他们。当我进行IP扫描时，我看到有人10.0.0.131在VMware中使用。我如何找出该IP与哪个IP桥接？即我如何找出哪个系统具有2个IP？（即该系统的另一个IP）

更新：

我在网络中的系统IP是10.0.0.81：

IP扫描仪的输出显示有人10.0.0.131在VMware中使用：

tracert命令的结果在我们之间什么也没显示：

C:\Users>tracert -j 10.0.0.131 10.0.0.81

Tracing route to ghasemi3.it.com [10.0.0.81]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  ghasemi3.it.com [10.0.0.81]

Trace complete.
C:\Users>

我无法提供全球问题的解决方案，只是一个局部的一个。您可以将其添加到转换技术中，以扩大您的机会范围。

如果运行VM的用户通过wifi连接到您的LAN，则可以通过traceroute识别他/她。原因是您向我们显示了VM在LAN网络上具有IP，因此它处于桥接配置。出于技术原因，wifi连接无法桥接，因此所有虚拟机管理程序都使用巧妙的技巧而不是真正的桥接配置：它们使用proxy_arp，例如，请参见Bodhi Zazen的博客条目，以了解有关KVM的工作原理的解释，以及此页面对于VMWare。

由于有一台PC代替了VM，因此routeroute会在VM之前标识该节点。例如，这是我的LAN中另一台PC发出的traceroute的输出：

My traceroute  [v0.85]
asusdb (0.0.0.0)                                                                                               Mon Jun  1 11:45:03 2015
                        Keys:  Help   Display mode   Restart statistics   Order of fields   quit
                                                                                           Packets               Pings
 Host                                                                                       Loss%   Snt   Last   Avg  Best  Wrst StDev
  1. rasal.z.lan                                                                           0.0%     1    6.0   6.0   6.0   6.0   0.0
  2. FB.z.lan                       

rasal是主机，FB是来宾，我是从第三台pc（asusdb）发出此文件的。

在Windows中，正确的命令是

 tracert 10.0.0.131

在Linux上，您可以使用非常方便的实用程序mtr进行相同操作：

 mtr 10.0.0.131

这是对开关技术的补充，而不是取代。如果您的traceroute显示您的PC和VM之间没有中间跃点，那么至少您会知道您可以排除通过wifi连接的所有LAN PC，从而限制了可能性范围，并使交换技术成为一种有效的可能性，如果您拥有管理型交换机，或者您愿意一一拔出交换机中的电缆。

另外，您可能会伪造技术问题并断开所有以太网连接，从而迫使用户使用wifi，直到罪魁祸首将其诱骗为止。

我假设20个客户端已连接到交换机：

每个交换机都会维护一张表，其中包含表中每个已知的MAC地址，并且该表的格式如下：

    Port               Address
     1              fa:23:65:XX:XX:XX:XX
     2              87:4a:12:d2:xx:XX:xx

其中“ 端口”是交换机上的物理端口，“ 地址”是在端口上检测到的MAC地址。

您必须在交换机控制台上检查注册了多个端口 MAC地址，现在您知道了VM主机所连接的交换机端口。

只是要确定：

ping 10.0.0.123然后从Windows设备发出arp -a。

检查与之对应的MAC地址10.0.0.123是否与在交换机表上检测到的MAC地址相同。

我过去有时做过这样的事情。令我感到困惑的是：您正在VMware中使用工具吗？所以我假设10.0.0.0/24是您的物理网络，而不是虚拟网络？您还应该知道，由于额外的网络层（vmware虚拟网络），某些工具可能会显示一些奇怪的内容。

您可以进行分析的第一件事：

• 对主机执行ping操作，然后执行此操作arp -a（可能有点错误，我使用的是Linux）。查找MAC地址，并使用在线服务（例如http://aruljohn.com/mac.pl）查找该地址的前三对。您将看到设备的制造商。

• 在arp列表中，您还可以检查两个不同IP是否使用了相同的MAC地址。这意味着该设备有两个。

• ping时间也很有趣。将其与已知的PC以及网络中的打印机进行比较。通常，PC的应答速度比Internet路由器的打印机快。不幸的是，Windows的时间精度不是很好。

• 最后但并非最不重要的一点是，我建议运行nmap -A 10.0.0.131或nmap -A 10.0.0.0/24显示有关特定主机或整个网络的更多信息。（谢谢pabouk）

跟踪不受管理的网络上的未知计算机非常困难。我已经为此任务了几次，按照优先顺序，这就是我的处理方式：

1. 尝试浏览服务器（如果您担心安全性（如果它是某种蜜罐的话，请从一次性VM中进行操作））。您永远不会知道-在Web浏览器中浏览该机器很可能只是揭示其PC名称或用途。如果它具有一个自签名的SSL证书，那么它通常也将泄漏内部服务器名称。

   如果它没有运行Web服务，并且您认为它是Windows PC，请尝试连接到其管理共享（例如\\example\c$）-您可能会幸运地猜到了管理员用户名。或者，如果您认为它是Windows Server（或Windows Professional版本），请尝试将其远程桌面化。

   进行某种操作后，您就可以搜索有关机器用途的信息，从而可以找到谁创建了机器并将其首先放置在网络上。然后追踪他们。

   其中一些信息（例如PC名称，并且它是Windows框）已由扫描仪显示，因此这里可能没有太多要学习的信息。

2. 查看交换机的ARP表。这将为您提供该MAC地址与物理端口和VLAN之间的映射。由于您没有受管的交换机，因此在您的情况下这是不可能的。

3. 将该IP地址的MAC地址与本地ARP表进行比较。也许那里有一个重复的MAC地址，它表示同一物理接口上有两个IP地址。如果知道其他IP地址，那就是您的罪魁祸首。

4. 对计算机启动ping操作。如果它响应ping，请一一拔下交换机的电缆，直到ping失败。您拔出的最后一根电缆是您的罪魁祸首。

同样不是一个完整的解决方案-实际上，根据您的设置，可能会没有一个完整的问题解决方案，而忽略了拔下设备的电源-但可能会有帮助。

如果您获得设备的MAC地址（即查看arp表），则该地址的前3个八位字节通常可以告诉您有关该地址的信息-只需将它们打入诸如http://www.coffer.com之类的mac查找器中即可/ mac_find /

诸如NMAP之类的程序提供了指纹检测功能，该功能还可以通过查看其TCP堆栈的构建方式来帮助解决有问题的设备。同样，虽然不是完全验证，但通常可以提供帮助。

另一种方法（假设您使用的是有线网络）可能是向不适当的地址发送大量流量，并寻找交换机上哪个端口受到冲击-然后跟踪电缆。在WIFI网络上，事情要困难得多（您可以将设备强制到伪造的接入点上，然后开始移动设备并查看信号如何对设备进行三角测量-但我没有尝试过这种操作）。

将打印机连接到本地网络的某些方法为打印机提供的IP地址超出了网络上计算机可能使用的范围，因此您可能需要检查这种打印机。

您只有大约20个客户。您正在使用转储开关。

我将其读为“您只有一个便宜的交换机”，所有20台PC都连接到该单个设备。交换机上的每个活动端口通常都有一个或多个LED，以指示链接速度和活动。

最后一个给我们一个简单的解决方案。为您的VM创建大量流量，并查看哪个端口亮起。根据您的操作系统，您可能希望将一个或多个cmd提示与一起使用ping -t 10.0.0.81。在类似Unix的系统中，您可以使用ping -f 10.0.0.81该IP。（警告，泛洪ping将以您的PC可以处理的最大速度运行。这将减慢整个网络的运行速度。这还将使LED永久点亮。