所以我一直在玩nmap,发现一个奇怪的问题,在同一子网中的两个设备具有相同的mac地址。 我想跟踪第二个mac,因为第一个是声波墙,这有一些令人不安的影响。
如果我是正确的,要么我有一个非法的MAC地址,或有人欺骗我的声波墙mac,从而接收至less所有的广播数据包。
我希望有人能给我一些关于如何追踪其他mac地址的线索。 我可以访问一个Linux的盒子,以及访问声波墙和接线板。 如果涉及拔掉每一个设备我可以,但其他解决scheme,将不胜感激。
谢谢,西德尼
假设你知道一个MAC地址用户至less有一个IP,理想情况下你需要知道两者。 你确定在看到两个不同的IP使用相同的MAC时,你并不感到困惑,事实上,这是一个物理设备和一个设备上的多个IP设置的以太网端口(这是正常的,通常称为多宿主)。
通常人们知道每个IP上的每个设备,所以如果知道其中一个IP,find一种方法来检查networking上的两个IP(从您的计算机),然后拔掉已知设备,看看两个IP是否消失。 这也表示在该设备上使用多宿主IP。
还应该说,如果两个设备通常configuration并且具有相同的MAC,那么两个设备都不能正确操作。 这也可能有助于追踪,两个独立的设备无法正常工作。
它们将无法正常工作,因为networking上与其通信的其他站点(如经由路由器进入的数据)将在两个设备之间闪烁,基于谁最后使用/通告了ARP,两者之间的交换机也可以调整它们切换模式与哪个设备使用/宣布ARP最后一致)。 当ARP请求出去的时候,两个都会回复,而且通常最慢的站返回给听众,因为他们最后(最近)宣布了ARP。
有时候这种情况可以预见,一个设备可以控制99%的时间,但是每隔一段时间你会得到几分钟的停机时间(同情事实上,在重新validation发生之前,许多站的ARP超时是3分钟)。
距离(如连接交换机的数量和以太网链路的速度)会影响networking上每个站点最后可能看到哪个ARP宣告。 由于可观察的ARP应答包(从他们的观点来看)被sorting不同,所以每个站点视图可能不同。
现在如果你有一些邪恶的秘密装置是另一回事,因为它的目标是允许MAC的真正的主人尽可能多的操作而不被发现。
…
有一个Linux工具arping ,允许你知道IP地址findMAC地址,而系统不需要响应ICMP PING(这通常不适用于设备)。
另外; 你可以使用普通的arp -a来检查MAC是否没有列出,然后ping 1.2.3.4 (可能不会回复),然后用arp -a命令手动查看是否有IP出现了设备。 这表明设备在networking上响应ARP请求,即使它不响应ICMP PING请求。 这是一个可怜的男人arping 。
…
使用您的企业交换机来查找MAC地址及其所连接的端口,然后按照它,直到您访问端口。 closures该端口(或者自己拔下设备)。
这涉及连接到企业交换机的控制台(或Web UI)并查看“MAC地址表”并查看端口ID。 然后弄清楚链路上的下一个设备在端口ID上。 最终你会到达一个访问端口(而不是另一个交换机)。
所以一旦find一个MAC地址的用户,一旦被拔掉,就重新validationMAC的另一个用户。 看看它是否仍然在networking上,或者已经消失(表明它可能是相同的物理设备)。
现在继续对其他设备进行arping ,并按照相同的步骤进行操作,直到您将MAC跟踪回到其他用户的端口。
如果您没有企业交换机,那么这个过程就非常繁琐,因为您需要物理拔掉交换机互连,将networking分成两半,然后检查另一侧,以缩小所涉及的交换机和工作站的范围。
…
在安全模式下的一些交换机将ARP答复locking在networking上的未经授权的设备。 但通常使用交换机MAC地址,但是您声称您有两台具有相同MAC的设备。
可能伪造MAC的设备可能是MAC克隆设备,但这种情况并不常见,因此已被用于DSL和其他Internet连接产品,因为有些ISP通过DHCP上的MAC地址对用户进行身份validation。
与MAC混杂的其他types的设备是负载平衡器和高可用性系统,通常两个具有物理端口的设备每个都可能在它们之间移动MAC以平衡stream量。 这允许系统向他们发送stream量,以防止哪个设备正在接收stream量。