同一區域網路上的兩個相同的 MAC 地址 - 跟踪一個?
所以我一直在玩nmap,發現了一個奇怪的問題,同一子網中的兩個設備具有相同的mac地址。我想追踪第二個 mac,因為第一個是聲波牆,它有一些令人不安的影響。
如果我是正確的,要麼我有一個帶有非法 MAC 地址的網卡,要麼有人在欺騙我的聲波牆 mac,從而至少接收到所有廣播數據包。
我希望有人能給我一些關於如何追踪其他mac地址的線索。我可以使用 linux 機器,也可以使用聲波牆和接線板。如果歸結為我可以一個一個地拔掉每個設備,但其他解決方案將不勝感激。
謝謝你,西德尼
假設您知道其中一個 MAC 地址使用者的至少一個 IP,理想情況下您需要知道兩者。您確定您不會因為看到兩個不同的 IP 使用相同的 MAC 而感到困惑,而事實上這是同一物理設備和乙太網埠,並且在該設備上設置了多個 IP(這是正常的,通常稱為多宿主)。
通常人們知道每個 IP 上的每個設備是什麼,因此如果您知道其中一個 IP,請找到一種方法來檢查兩個 IP 都在網路上(從您的電腦上),然後拔下已知設備並查看兩個 IP 是否都消失了。這也表明該設備上使用了多宿主 IP。
還應該說,如果兩個設備通常配置並具有相同的 MAC,則這兩個設備都不會正常執行。這也可能有助於追踪兩個獨立的設備無法正常執行。
它們將無法正常執行,因為網路上與它們通信的其他站點,例如通過路由器傳入的數據,將在兩個設備之間閃爍,基於最後使用/宣布 ARP 的人,中間的交換機也可能調整它們的切換模式以同情哪個設備最後使用/宣布 ARP)。當 ARP 請求發出時,兩者都會回复,並且通常返回偵聽器的最慢站獲勝,因為它們最後(最近)宣布了 ARP。
有時這種情況是可以預測的,以至於一台設備可以控制 99% 的時間,但每隔一段時間就會出現幾分鐘的中斷(與事實上的 3 分鐘 ARP 在重新驗證發生之前使許多站點超時)表示同情。
距離(如互連交換機的數量和乙太網鏈路的速度)會影響網路上每個站點最後看到的 ARP 公告。由於這個原因,每個站點的視圖可能不同,因為可觀察的 ARP 回複數據包(從它們的角度來看)的順序不同。
現在,如果您有一些邪惡/隱蔽的設備,那就另當別論了,因為它的目標是讓 MAC 的真正所有者盡可能多地操作而不被發現。
…
有一個 Linux 工具
arping
,可以讓您通過知道 IP 找出 MAC 地址,而無需系統響應 ICMP PING(這通常不適用於設備)。或者; 你可以用普通
arp -a
的來檢查MAC沒有列出,然後ping 1.2.3.4
(可能沒有回复)再arp -a
like命令手動查看是否有設備出現了IP。這表明設備在網路上響應 ARP 請求,即使它沒有響應 ICMP PING 請求。這是一個可憐的男人arping
。…
使用您的企業交換機查找 MAC 地址和它所連接的埠,然後返回,直到找到訪問埠。關閉該埠(或自己拔下設備)。
這涉及連接到企業交換機的控制台(或 Web UI)並查看“MAC 地址表”並查看埠 ID。然後計算出該埠 ID 上鍊中的下一個設備是什麼。最終,您將到達一個訪問埠(而不是另一個交換機)。
因此,在找到一個 MAC 地址使用者後,一旦它被拔掉,重新驗證 MAC 的另一個使用者。查看它是否仍在網路上或也已消失(表明它可能是同一物理設備)。
現在繼續對
arping
其他設備執行相同的步驟,直到您將 MAC 跟踪回其他使用者的埠。如果您沒有企業交換機,那麼這個過程會變得乏味,因為您需要物理地拔下交換機互連以將網路分成兩半,檢查一側,然後檢查另一側,以縮小所涉及的交換機和站點的範圍。
…
一些處於安全模式的交換機會通過 ARP 回復來鎖定網路上未經授權的設備。但通常使用交換機 MAC 地址,但您聲稱您有兩個具有相同 MAC 地址的設備。
可能偽造 MAC 的設備可能是 MAC 複製設備,但這並不常見,它已用於 DSL 和其他 Internet 連接產品,因為某些 ISP 通過 DHCP 上看到的 MAC 地址對您的使用者進行身份驗證。
與 MAC 混淆的其他類型的設備是負載平衡器和高可用性系統,通常兩個具有物理埠的設備可能會在它們之間移動一個 MAC 來負載平衡流量。這允許系統向他們發送流量,而不是判斷哪個設備正在接收流量。