Итак, я поигрался с nmap и обнаружил любопытную проблему: два устройства в одной подсети имеют одинаковый MAC-адрес. Я хотел бы разыскать второй макинтош, так как первый - это звуковая стена, которая имеет некоторые тревожные последствия.
Если я прав, либо у меня есть nic, который был выдан с незаконным MAC-адресом, либо кто-то подделывает мой sonic wall mac, получая, по крайней мере, все широковещательные пакеты.
Я надеюсь, что кто-то может дать мне несколько подсказок о том, как отследить другой MAC-адрес. У меня есть доступ к Linux-серверу, а также к звуковой стене и патч-панели. Если дело доходит до отключения каждого устройства одно за другим, я могу, но другие решения будут оценены.
Спасибо, Сидни
Предполагается, что вы знаете хотя бы один IP-адрес одного из пользователей MAC-адресов, в идеале вам необходимо знать оба. Вы уверены, что вас не смущает то, что один и тот же MAC-адрес используется для двух разных IP-адресов, когда фактически это одно и то же физическое устройство и порт Ethernet с несколькими настройками IP-адресов на этом одном устройстве (это нормально и часто называется многосетевым).
Обычно люди знают, какое устройство находится на каждом IP-адресе, поэтому, если вы знаете один из IP-адресов, найдите способ проверить, что оба IP-адреса находятся в сети (с вашего компьютера), затем отключите известное устройство и посмотрите, исчезнут ли оба IP-адреса. Это также указывает на использование многосетевого IP-адреса на этом устройстве.
Также следует сказать, что если два устройства обычно настроены и имеют одинаковый MAC, ни одно устройство не будет работать правильно. Это также может помочь отследить, два независимых устройства работают некорректно.
Они не будут работать правильно, потому что другие станции в сети, которые с ними разговаривают, например, данные, поступающие через маршрутизатор, будут мигать между двумя устройствами, в зависимости от того, кто использовал / объявил ARP последним, переключатели между ними также могут регулировать их шаблоны переключения в соответствии с тем, какое устройство использовало / объявило ARP последним). Когда запросы ARP отправляются, оба ответят, и обычно самая медленная станция, возвращающаяся к слушателю, побеждает, так как они объявили ARP последней (самой последней).
Иногда этот сценарий может быть настолько предсказуемым, что одно устройство имеет контроль в течение 99% времени, но время от времени вы получаете несколько минут простоя (в соответствии с фактическим 3-минутным таймаутом ARP для многих станций перед повторной проверкой).
Расстояние (например, количество взаимосвязанных коммутаторов и скорость Ethernet-каналов) влияет на то, какое ARP-объявление может быть видно последним каждой станцией в сети. Из-за этого вид каждой станции может быть разным, поскольку наблюдаемые пакеты ответа ARP (с их точки зрения) упорядочены по-разному.
Другое дело, если у вас есть какое-то гнусное / скрытое устройство, поскольку его цель - позволить реальному владельцу MAC работать как можно дольше, не будучи обнаруженным.
...
Есть инструмент Linux arping, который позволяет вам узнать MAC-адрес, зная IP-адрес, без необходимости реагировать на ICMP PING (что часто не работает для устройств).
Альтернативно; вы можете использовать обычные arp -a чтобы проверить, что MAC не указан, тогда ping 1.2.3.4 (который может не ответить), а затем arp -a как команды, чтобы вручную увидеть, появилось ли устройство с IP. Это показывает, что устройство находится в сети, отвечая на запросы ARP, даже если оно не отвечает на запросы ICMP PING. Это бедный мужчина arping.
...
Используйте коммутаторы вашего предприятия для поиска MAC-адреса и порта, к которому он подключен, и проследите его до тех пор, пока не найдете порт доступа. Выключите этот порт (или отключите устройство самостоятельно).
Это включает в себя подключение к консоли (или веб-интерфейсу) коммутатора предприятия, просмотр «Таблицы MAC-адресов» и просмотр идентификатора порта. Затем выясните, какое следующее устройство в цепочке будет на этом идентификаторе порта. В конце концов вы перейдете к порту доступа (вместо другого коммутатора).
Таким образом, обнаружив одного пользователя MAC-адреса, как только он будет отключен, повторно подтвердите MAC-адрес другого пользователя. Посмотрите, находится ли он по-прежнему в сети или также исчез (указывая, что это может быть то же физическое устройство).
Теперь продолжайте arping для другого устройства и следуйте той же процедуре, пока не отследите MAC-адрес до порта другого пользователя.
Если у вас нет корпоративных коммутаторов, этот процесс окажется утомительным, так как вам нужно физически отключить межсоединения коммутатора, чтобы разделить сеть пополам, проверить одну сторону, затем другую, чтобы сузить круг задействованных коммутаторов и станций.
...
Некоторые коммутаторы в режиме безопасности будут отвечать ARP на блокировку неавторизованного устройства в сети. Но обычно используется MAC-адрес коммутатора, но вы утверждаете, что у вас есть два устройства с одним и тем же MAC.
Устройство, которое может подделывать MAC, может быть оборудованием для клонирования MAC, но это необычно, оно использовалось для DSL и других продуктов для подключения к Интернету, потому что некоторые интернет-провайдеры аутентифицируют вашего пользователя через MAC-адрес, видимый в DHCP.
Другие виды оборудования, которые взаимодействуют с MAC-адресами, - это балансировщики нагрузки и системы высокой доступности, обычно два устройства с физическим портом могут перемещать MAC-адреса между собой для балансировки нагрузки трафика. Это позволяет системе, отправляющей им трафик, не учитывать, какое устройство получает трафик.