我们最近closures了DHCP,转而使用固定IP地址,而在传统网段的旧DHCP范围的中间,我们发现一台设备响应ping,但没有运行任何正常的远程访问服务(SSH,RDP,SMB /等等)。
NMap版本识别无法find任何东西,我们得到以下结果:
PROTOCOL STATE SERVICE 1 open icmp 4 open|filtered ip 6 open tcp 17 open udp 66 open|filtered rvd 96 open|filtered scc-sp 136 open|filtered unknown 157 open|filtered unknown 214 open|filtered unknown 235 open|filtered unknown 251 open|filtered unknown MAC Address: B8:AC:6F:95:06:64 (Dell) 我们没有得到任何回应连接到任何这些开放的端口,没有任何设备应该在那里的文档。 我们所有已知的设备都有logging,所以这个设备的存在是一个谜。
我不喜欢神秘的设备。
有人知道什么设备可能会打开所有这些奇怪的端口?
我们有很多DELL工作站和服务器,但是我们已经检查过每一个已知的资产。
任何人都可以build议一种方法来访问设备?
或者,任何人都可以build议,除了从各个枢纽段拉出来的电缆以外,如何find它,直到它从那里变得无法到达并缩小为止?
这就是为什么我今天不用pipe理不可用的交换机……能够问我的SMNP生成的networking地图“哪个交换机的哪个端口来自这个MAC地址?”,这太方便了。
由于听起来就像是在办公室里,所以我就等到大家回家过一天,然后开始拉电缆 – 这真的是最简单的select。 如果真的不适合,请启动一个泛洪设备,然后追踪path,找出哪个端口的连接指示灯熄灭,然后从那里追赶。
至于“这是什么?”,你还没有提供任何有用的信息继续下去。 那nmap说,它响应ICMP,UDP和TCP几乎不是什么新闻 – 没有太多的IPfunction的设备不会。 您想要映射打开的TCP和UDP端口,而不是协议。
显示的数字不是开放的端口,这是协议家庭ID。 您的设备传递所有icmp / tcp / udp数据包并阻止一些ip数据包(可能是ARP)。
这可能是一个WiFi接入点,采用哑无线交换模式 – 没有IP地址,没有启动服务。