| 0
- 23.01.2015 - 15:30
|
Есть некое устройство - без конкретики(не потому что секрет, а просто-не важно..), железка имеет свой ip, который неизвестен... Какими средствами можно определить ip устройства ? Жесткие условия - возможности сброса на дефолтные настройки нет, мануала к железке нет, консоли-нет, DHCP не умеет, какие порты открыты - не известно, но они точно есть... Всё что известно - железка имеет свой IP. Это не конкретная железяка, это просто теоретический вопрос. на который хотелось бы найти решение. Не раз мне уже задавали такой вопрос, это были и промышленные устройства, и роутеры с отключенным DHCP(настроеные под VPN конторы, а потому вариант со стандартными ip отпадает и т.д.) а я так и не нашел решения, вот решил с людьми умными посоветоваться... Может кто что подскажет толковое, только внимательно читайте условия !!! Создал макет-на роутере отключил DHCP, сменил ip на сетевухе на любой-отличный от диапазона роутера, и смотрел wireshark`ом - нифига не увидел...может не туда смотрел ? Какие будут варианты ?     | | |
| 1
- 23.01.2015 - 15:35
| arp -a? | | |
| 2
- 23.01.2015 - 15:48
| 1 - отразит имеющуюся информацию о соответствии ip-mac, в нашем случае ip на сетевухе может не соответствовать сети устройства (мы же,типа, его не знаем) - а потому вообще ничего не выдаёт.. ((( | | |
| 3
- 23.01.2015 - 16:20
|
0-vano_kns > с такими условиями никак! Надо хоть что-то знать о железке, а так получается ищу то не знаю что да еще и не знама где. | | |
| 4
- 23.01.2015 - 16:26
| Да если честно, я и сам сколняюсь к тому, что задача решения не имеет, единственное решение, на мой взгял, сканить все возможные диапазоны, но вот делать это прийдется до следующего пришествия....)) | | |
| 5
- 23.01.2015 - 16:35
|
0 - а когда включаешь/перезагружаешь железяку, она не шлет какой-нибудь самообращенный арп, который можно было бы подсмотреть в снифере, подключившись к ее порту? Я так выяснял адрес коммутатора и влан управления. Он правда активно что-то слал (не помню уже что). | | |
| 6
- 23.01.2015 - 16:46
| 5 - если честно, я не силён в разборе пакетов, при моделировании ситуации(описано в топике) там валится куча пакетов, только вот искомого адреса я там не увидел, хотя я и не знал что именно смотреть...потому и задал вопрос...посещают же эту ветку серьёзные специалисты, может кто не пожалеет 10-15 минут на моделирование задачи и поглядит опытным взглядом в снифер ))) | | |
| 7
- 23.01.2015 - 16:52
| могу в понедельник скинуть лог wireshark`а - при включении устройства - может посмотрит кто, если нет возможности смоделировать..... | | |
| 8
- 23.01.2015 - 17:45
|
А что, железка, типа, на луне? Или она в конкретной сети? Или как? Если в конкретной сети, то мапь всю сеть и смотри. Если железка просто в руках, то сбрасывай все настройки и делай тот ИП, который нужен. | | |
| 9
- 23.01.2015 - 17:46
| Если же железка в удаленке, тогда никак не узнаешь. | | |
| 10
- 23.01.2015 - 17:47
|
Сетей, отданных под lan, не так уж много. Можно забить их в сетевуху и пробрутить. Конечно, если производитель не совсем упоротый. Маркировок никаких нет? Производитель неизвестен? | | |
| 11
- 23.01.2015 - 17:49
| 8 - спасибо за желание помочь, только была одна просьба - учитывать ЖЕСТКИЕ условия, указанные в топике !!! Железка-в руках! В какой она сети, и какой у неё адрес - это и нужно найти ! | | |
| Модератор 12
- 23.01.2015 - 18:00
| Если устройство в руках но неизвестен IP и нет возможности сбросить на дефолтные настройки, я пользуюсь Wireshark. | | |
| 13
- 23.01.2015 - 18:18
| согласен с арсенидом галлия, если железка в руках, подключить ее в отдельный интерфейс, запустить снифер и перезагрузить, правильная железка при старте пошлет arp-запрос - не использует-ли кто-нибудь ее адрес, если железка неправильная, подождать когда она выйдет на передачу чего-нибудь, если железка тупая и молчит сутки, натравить на нее fping или nmap, для начала на 3 приватных диапазона, если все равно молчит - на весь диапазон, если опять молчит, то варианта два, либо закрыта наглухо, либо у нее нет ipv4 | | |
| 14
- 23.01.2015 - 19:46
|
Напомню-речь идет не о какой-то конкретной железке, а о способе получения необходимой информации - в принципе, но с оговорками указанными в топике. Фанат NASCAR - ну я не сказал бы что их мало - 10.0.0.0 — 10.255.255.255 172.16.0.0 — 172.31.255.255 192.168.0.0 — 192.168.255.255 Сканить до японской пасхи... SERGIUSF - на что именно смотреть? какие типы пакетов ? Смотрел я Wireshark`ом при моделировании ситуации (выше описывал), но ничего не увидел - подскажете на что именно обратить внимание ? gloomymen - во первых - не понял хто такой ваш арсенид ))), во вторых - что даст fping или nmap, если, к примеру, адрес железки будет находиться в подсети, отличной от той, что прописана на сетевухе ? Каждый раз менять ip интерфейса? Но тогда это то-же самое что и вариант со сканированием всех частных сетей - ОЧЕНЬ долго Может я ошибаюсь на счет длительности сканирования такого количества подсетей? Если не трудно - укажите как и каким софтом это можно сделать. Или что касается Wireshark - может есть конкретный тип пакетов, на которые стоит обратить внимание? Я конечно работаю с сетями намного более чем простой пользователь, но в тонкостях разбора содержимого и структуры пакетов, к сожалению не силен (( | | |
| 15
- 23.01.2015 - 19:50
| если на словах трудно описать - может кому будет не трудно, в понедельник, посмотреть логи Wireshark и ткнуть меня носом - кде я его проглядел при моделировании задачи ))) | | |
| Модератор 16
- 23.01.2015 - 20:00
|
Ищи who has [IP]. Если сам не видишь, выкладывай логи, может кто откроет посмотрит. | | |
| 17
- 23.01.2015 - 20:18
| vano_kns, нужно шлюзом указать свой адрес, и тогда fping и nmap дадут нужный результат, классика жанра) а если указать таймаут и количество пакетов, то ждать долго не придется | | |
| 18
- 23.01.2015 - 20:20
|
оффтоп, кстати, домен kuban.ru как-то плохо стал резольвится еле дырку нашел, откуда зайти) готовьтесь помахать ручкой | | |
| 19
- 23.01.2015 - 20:47
| весело, а если железка ещё и привязана к VLAN?) | | |
| 20
- 23.01.2015 - 20:47
|
мой пров одичал настолько, что в порыве лизнуть стал проксировать dns запросы) # host forums.kuban.ru ns.kuban.ru Using domain server: Name: ns.kuban.ru Address: 92.255.241.100#53 forums.kuban.ru has address 92.255.241.100 Host forums.kuban.ru not found: 5(REFUSED) Host forums.kuban.ru not found: 5(REFUSED) на самом деле ns.kuban.ru has address 62.183.1.244 а # host 92.255.241.100 100.241.255.92.in-addr.arpa domain name pointer law.filter.ertelecom.ru. вот такие пироги, уйду к волгателекому))) надоел произвол | | |
| 21
- 23.01.2015 - 20:51
| 20-gloomymen > ютк так баловался тож и одним тёплым кубанским летом он пожалел об этом ;) | | |
| 22
- 23.01.2015 - 20:59
|
ну, дом.ру оно же ertelecom.ru, порося пожирнее будет вашего вшивого ютк) так просто его не запинаешь, оккупировали почти весь город, завтра буду звонить, если общий язык не найдем, уйду в ненавистный ростелеком, хоть там качество хуже на порядок, но не люблю когда лезут грязными ручонками в мой частный трафик!) благо utp уже в сентябре затащили | | |
| 23
- 23.01.2015 - 21:34
|
16-SERGIUSF - спасибо за подсказку, в понедельник посмотрю(макет на работе собирал), если не найду - залью логи на яндекс-диск 17-gloomymen - шлюзом указать адрес где? на том же сетевом адаптере, который подключен к железке ? и ip и gw одинаковые ? я вас правильно понял ? | | |
| 24
- 23.01.2015 - 21:39
| к оффтопу - на форум тоже сейчас попал по прямому адресу (http://forums.kuban.ru/), сам www.kuban.ru молчали не резолвился по nslookup, затем сменил гугловские dns ростелекомовские - всё нормуль...странно всё это.... | | |
| 25
- 23.01.2015 - 22:07
| 16 - SERGIUSF сейчас по удаленке посмотрел - при включении устройства первые три пакета(идентичные) who has, но искомого адреса там нет...только ip и mac сетевого интерфейса моего... | | |
| 26
- 24.01.2015 - 11:41
| наверное стоит вспомнить про такой анахронизм как кроссоверный кабель | | |
| 27
- 24.01.2015 - 11:43
| droidman, а что сделали с ютк? | | |
| 28
- 24.01.2015 - 14:47
| 26-gloomymen - а смысл в кросоверном кабеле? я же говорю - сейчас просто провожу эксперимент, дабы найти возможность решения такой задачи в будущем. Смысл эксперимента - взял роутер, если точнее - ADSL модем, настроенный в режим роутера(естественно я знаю его ip),отключил на нём DHCP, сменил IP на свой сетевухе, чтобы он не совпадал с подсетью роутера(ведь в теории мы адреса его не знаем, а потому ip можем прописать совершенно левый) и теперь ищу средства, которыми адрес этого роутера можно обнаружить. | | |
| 29
- 24.01.2015 - 15:32
| 28-vano_kns >для этого сначала устройство должно работать с этой сетью и маска обеспечивать весь диапазон ip адресов, и после этого можно направлять Wireshark. А если все от балды, то нереально. | | |
| 30
- 24.01.2015 - 20:43
|
vano_kns, рекомендую: http://www.atraining.ru/arp-inarp-ra...icky-and-more/ В части "Что такое и как работает Gratuitous ARP" В Ваершарке настраиваете неразборчивый режим (В Capture Options поставить галочку на "Use promiscuous mode on all interfaces"). Перезагрузить устройство и надеяться, что его разработчики любят стандарты. Если они (разработчики) нормальные ребята, то вы увидите тот самый gratuitous arp. Не имеет значение можете ли вы общаться с исследуемой железкой на L3. | | |
| 31
- 25.01.2015 - 20:10
|
Решение задачи: 1. Берешь кроссовер кабель 2. Подключаешь железку кроссом к компьютеру 3. Ставишь любой снифер который может показывать пакеты (wireshark тоже пойдет) 3.1. То, что все пропустилипереводишь программу в режим отображения только заголовков пакетов, в wireshark с настройками по умолчанию это верхнее окно. 4. Включаешь неразборчивый режим сетевого интерфейса (он будет ловить все пакеты в сети) 5. Запускаешь прогу 6. Смотришь списки IP, берешь любой пакет в котором нет твоего IPшника. Пингуешь оба IP - один будет удаленным (и недоступным), второй - искомая железка. Если же железка пакеты не шлет - никак ты не узнаешь. | | |
| 32
- 25.01.2015 - 21:25
|
31-lisadmin> В заголовке arp-пакета, например, не содержится IP-адреса. 2all> Второй раз читаю в этой теме про кроссовер-кабель. Объясните зачем? Все современные устройства поддерживают MDI-auto. И поднимется ли линк, если не поддерживают? | | |
| 33
- 25.01.2015 - 21:57
|
30-I_Eugene - Gratuitous ARP нашел, есть такие акеты, но кроме адреса моего интерфейса больше там ничего толкового нет... 31-1isadmin - по пункту 3.1 пока ничего не понял, завтра посмотрю что там за окно такое....по пункту 6 - до этого когда экспереентировал - кроме ip моего сетевого интерфейса и широковещательного адреса сети, ипшников не фигурировало.... | | |
| 34
- 25.01.2015 - 22:00
|
32-I_Eugene если честно, сам не понимаю таких предложений, сказать бы что линка нет или пакетов, но и с обычным кабелем пакеты отлавливаются...другое дело что нужной информации там нет.... Кстати сказать, за время эксперимента, даже mac адрес железки нигде не засветился ((( только mac и ip моего сетевого интерфейса ((( | | |
| 35
- 25.01.2015 - 23:20
| 34-vano_kns > воткни его в управляемый свитч, у которого cam таблицу можно посмотреть, и отправлять че-нить на FF:FF:FF:FF:FF:FF, можно arp-scan-м попробовать и смотреть чего на порту, но мож он ток в тэгах откликается(решаемо скриптами по-идее) или там ipv6 чистый например - не сталкивался, но там свой механизм обнаружения... в общем проще распотрошить железку на предмет не распаяной консоли или ещё чего для дебага ))) | | |
| 36
- 25.01.2015 - 23:40
| Цитата:
| | |
| 37
- 26.01.2015 - 00:53
|
:) [admin@RB800] > tool ip-scan interface=ether1 | | |
| 38
- 26.01.2015 - 21:21
|
зачем нужен кроссовер? ну, мы же, по условию, обсуждаем некую виртуальную железку, которые бывают разные, в том числе и без авто-MDI И если автор, сделал все так, как ему подсказывали, т.е. воткнул свою шелезяку в отдельный интерфейс, запустил снифер, перезагрузил шелезяку и не увидел запросов arp что-то вроде Код: 00:15:17:fd:13:71 > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has 192.168.7.9 tell 192.168.7.10, length 46 это может означать, что 1. трансмиттер передает в трансмиттер, это лечится кроссовером 2. шелезяка тупая, вернее ее родители не соблюдают стандарты 3. автор слепой 4. автор вообще ничего не делал, и тупо издевается над нами, это я могу понять) | | |
| 39
- 26.01.2015 - 21:31
| 37-Inside Out > +100500 за Микротик :) Подключаешь железяку к любому свободному порту Микротика и запускаешь "IP Scan" из Tools. В настройках устанавливаешь этот Ethernet порт и получаешь список всех IP на этом порту. Я так не раз вылавливал кучу чужих "соседей" на WAN порту от МТС и Билайна :) | |
Интернет-форум Краснодарского края и Краснодара |
