我试图find一个在我们的内部networking上有一定IP地址的计算机 。 我已经确定了DNS的计算机名称,但在这种情况下,它并没有帮助我。
只是想知道如果我能以某种方式将IP绑定到交换机端口,并从那里跟踪? 如果是这样,怎么样?
给定一个IP地址,你应该能够find相应主机的MAC地址。
arp -a
在Windows和Linux上都会显示该主机的ARPcaching,将IP映射到MAC地址。 (请注意,这将需要在与您正在尝试查找的计算机位于同一个IP子网上的计算机上运行)。
一旦拥有MAC地址,请login到您怀疑恶意主机连接的交换机,然后在MAC地址表中search该地址。 (MAC地址表也称为桥接表或CAM表)。
例如,在基于Cisco IOS的交换机上,使用以下命令:
show mac-address-table address <MAC address>
将显示给定的MAC地址最后一次出现的端口。 如果生成的端口是另一台交换机的链接,请login到该交换机并再次运行该命令。 重复,直到你到达一个主机端口,你应该有你的罪魁祸首。
请注意,这种方法只有在pipe理交换机允许查询MAC地址表的情况下才有效。 否则,这将是一个手动消除的情况; find你知道的不是stream氓机器的每个端口,直到你留下一个你不能解释的端口。 祝你好运。
正如其他人所说,没有直接的方法来确定什么IP连接到某个交换机端口。 原因是以太网交换机在OSI模型的L2上工作,并且通常不检查更高级别的层(层3→IP地址)。 (在较新的硬件中有一些例外)
一个重要的注意事项,要使用ping / ARP技巧,您需要在与您正在search的设备相同的VLAN或子网上使用设备。 否则,只能在ARP表中看到默认网关的MAC地址。
如果可能,以下是我推荐的程序。
源和目的地在同一个VLAN上
源和目的地在不同的VLAN上
检查交换机上的ARPcaching以查找与该设备的IP关联的MAC和交换机端口 。 这篇文章应该可以帮助你:
您没有指定在networking上可以使用哪些操作系统,但其中大多数都有arp命令。 您可以使用arp命令找出具有给定主机名的主机的MAC地址(假设您与主机在同一networking中)。
然后,您必须检查交换机的ARPcaching以查找该MAC地址所在的端口。
物理接口和IP地址之间没有1:1映射。 一台交换机上的一个端口可以处理多台机器的stream量(如果另一台交换机是菊花链式的),一个交换机端口可以转发多个IP的stream量(如果该机器是多宿主的)。
如果您拥有足够先进的交换机,您可以查看交换机的pipe理屏幕,查看是否列出了在特定端口上收到的MAC地址。
或者,假设您希望find的计算机不是太远(逻辑上),您可以尝试向其发送大量stream量,例如ping -f
,通过查看应该允许您跟踪机器所在的端口活动灯。
如果交换机支持snmp,则可以远程获取mac表信息,该信息应该具有连接到该端口的物理端口和mac地址的映射。