Estoy tratando de encontrar una computadora que tenga una determinada dirección IP en nuestra red interna. He identificado el nombre de la computadora de DNS, pero en este caso no me ayuda.
¿Me pregunto si de alguna manera puedo vincular la IP a un puerto de conmutador y rastrearlo desde allí? ¿Si es así, cómo?
Respuestas:
Dada una dirección IP, debería poder encontrar la dirección MAC del host correspondiente.
arp -a
Tanto en Windows como en Linux le mostrará la caché de arp de ese host, asignando direcciones IP a direcciones MAC. (Tenga en cuenta que esto deberá ejecutarse en una máquina que esté en la misma subred IP que la máquina que está tratando de encontrar).
Una vez que tenga la dirección MAC, inicie sesión en el conmutador al que sospecha que está conectado el host no autorizado y busque esa dirección en la tabla de direcciones MAC. (La tabla de direcciones MAC también se denomina tabla puente o tabla CAM).
Por ejemplo, en los switches basados en Cisco IOS, el siguiente comando:
show mac-address-table address <MAC address>
Le mostrará el puerto en el que se vio por última vez una dirección MAC determinada. Si el puerto resultante es un enlace a otro conmutador, inicie sesión en ese conmutador y ejecute el comando nuevamente. Repita hasta que termine con un puerto host, y debería tener su culpable.
Tenga en cuenta que este enfoque solo funcionará si tiene un conmutador administrado que permita consultar su tabla de direcciones MAC. De lo contrario, será un caso de eliminación manual; encuentre cada puerto que sepa que no es la máquina maliciosa, hasta que se quede con un puerto que no puede tener en cuenta. Buena suerte.
Como otros han mencionado, no hay una forma directa de determinar qué IP está conectada a un determinado puerto del conmutador. La razón es que un conmutador Ethernet funciona en L2 del modelo OSI y, por lo general, no inspecciona las capas de nivel superior (Capa 3 -> Dirección IP). (Hay algunas excepciones en el hardware más nuevo)
Una nota importante, para usar el truco ping / ARP, deberá usar un dispositivo en la misma VLAN o subred que el dispositivo que está buscando. De lo contrario, solo verá la dirección MAC de la puerta de enlace predeterminada en la tabla ARP.
Este es el procedimiento que recomiendo, si es posible.
Origen y destino en la misma VLAN
Origen y destino en diferentes VLAN
Verifique el caché ARP en su (s) conmutador (es) para encontrar el MAC y el puerto del conmutador asociados con esa IP del dispositivo. Estos artículos deberían ayudarte:
No especificó qué sistemas operativos tiene disponibles en la red, pero la mayoría de ellos tienen un comando arp. Puede usar el comando arp para averiguar cuál es la dirección MAC de un host con un nombre de host dado (suponiendo que esté en la misma red que el host).
Luego, debe verificar los cachés ARP de sus conmutadores para encontrar en qué puerto se encuentra esa dirección MAC.
No hay mapeo 1: 1 entre interfaces físicas y direcciones IP. Un puerto en un conmutador puede manejar el tráfico de muchas máquinas (si otro conmutador está conectado en cadena), y un puerto del conmutador puede reenviar el tráfico para más de una IP (si la máquina es multihome).
Si tiene un conmutador suficientemente avanzado, puede mirar en las pantallas de administración del conmutador para ver si enumera las direcciones MAC que ha escuchado en un puerto en particular.
Alternativamente, suponiendo que la computadora que desea encontrar no esté demasiado lejos (lógicamente), puede intentar enviarle una gran cantidad de tráfico ping -f, lo que debería permitirle rastrear el puerto en el que está la máquina mirando las luces de actividad .
Si el conmutador admite snmp, puede obtener información de la tabla de Mac de forma remota, que debería tener la asignación del puerto físico y la dirección de Mac conectados al puerto.