Недавно мы отключили DHCP в пользу фиксированных IP-адресов, и в середине старого диапазона DHCP для устаревшего сетевого сегмента мы обнаружили устройство, отвечающее на ping, но без каких-либо наших обычных служб удаленного доступа (SSH, RDP, SMB /и т.д).
Идентификация версии NMap ничего не может найти, и мы получаем следующие результаты:
PROTOCOL STATE SERVICE
1 open icmp
4 open|filtered ip
6 open tcp
17 open udp
66 open|filtered rvd
96 open|filtered scc-sp
136 open|filtered unknown
157 open|filtered unknown
214 open|filtered unknown
235 open|filtered unknown
251 open|filtered unknown
MAC Address: B8:AC:6F:95:06:64 (Dell)
Мы ничего не получаем при подключении к любому из этих открытых портов, и нет документации о том, что какое-либо устройство должно быть там. Все известные нам устройства задокументированы, поэтому существование этого устройства остается загадкой.
Не люблю загадочные устройства.
Кто-нибудь знает, на каком устройстве могут быть открыты все эти странные порты?
У нас есть много рабочих станций и серверов DELL, но мы проверили все известные активы.
Кто-нибудь может предложить способ доступа к устройству?
Или кто-нибудь может предложить, как его физически найти, кроме как выдергивать кабели из различных сегментов концентратора, пока он не станет недоступным и сужается оттуда?
Вот почему я не беспокоюсь о неуправляемых коммутаторах в наши дни ... чертовски удобно иметь возможность спрашивать мою карту сети, созданную с помощью SMNP, «от какого порта какого коммутатора исходит этот MAC-адрес?».
Поскольку это звучит так, как будто вы находитесь в офисе, я бы просто дождался, пока все разойдутся по домам, а затем начал тянуть кабели - это действительно самый простой вариант. Если это действительно не подходит, запустите флуд-пинг на устройство и преследуйте путь, ища, какие индикаторы соединения портов гаснут, и преследуйте его оттуда.
Что касается «что это?», Вы действительно не дали никакой полезной информации, чтобы продолжить. То, что nmap говорит, что он отвечает на ICMP, UDP и TCP, вряд ли новость - не так много IP-совместимых устройств, которые бы этого не сделали. Вы хотите сопоставить открытые порты TCP и UDP, а не протоколы.
Показанные номера не являются открытыми портами, а представляют собой идентификаторы семейств протоколов. Ваше устройство передает все пакеты icmp / tcp / udp и блокирует некоторые IP-пакеты (возможно, ARP).
Это может быть точка доступа Wi-Fi, работающая в режиме тупого беспроводного коммутатора - без IP-адреса, без запущенных сервисов.