Når jeg arbejder “remote” på et netværk har jeg ofte brug for at vide hvor en klient sidder i netværket.
Det er normalt meget nemt, specielt hvis du kender IP adresse eller MAC adresse på klienten. Når man ikke kender IP adresse eller MAC adresse, så kan men jo bruge Nmap, Superscan eller ligende værktøjer, men disse værktøjer kræver at man har layer 3 adgang til det netværk hvor klienten tilsluttet.
Consol adgang
Hvad gør man så hvis man “kun” har consol adgang til netværket f.eks. via f.eks. en switchen ? Der er faktisk stadig flere muligheder til rådighed.
Jeg bruger her et eksempel hvor jeg skal finde en klient i Bruger VLAN i IP netværket 192.168.10.0/24.
Først skal man finde en switch der har en IP adresse i det VLAN hvor man skal finde en klient.
HP E-series# show ip
Internet (IP) Service
Default Gateway : 192.168.10.1
Default TTL : 64
Arp Age : 20
VLAN | IP Config IP Address Subnet Mask Proxy ARP
———— + ———- ————— ————— ———
Bruger | Manual 192.168.10.6 255.255.255.0 No
Så den viste switch har en IP adresse i 192.168.10.0/24 netværket.
Hvis jeg kender IP adresse på klienten jeg ønsker at finde kan jeg nu “pinge” klienten og lave show arp:
HP E-series# ping 192.168.10.204
192.168.10.204 is alive, time = 1 ms
HP E-series# show arp
IP ARP table
IP Address MAC Address Type Port
————— —————– ——- —-
192.168.10.204 000352-08b103 dynamic 17
HP E-series#
Ud fra dette ved jeg nu hvilken MAC adresse klienten har og på hvilken port switchen ser klienten, i dette tilfælde port 17.
Kender jeg ikke IP adresse, så kan jeg prøve at pinge broadcast addressen i netværket.
HP E-series# ping 192.168.10.255
Target did not respond.
Selv om switchen meddeler at “Target did not respond”, så vil den ofte allige vel have fået svar fra de klienter der vil svare på arp.
HP E-series# show arp
IP ARP table
IP Address MAC Address Type Port
————— —————– ——- —-
192.168.10.204 000352-08b103 dynamic 17
HP E-series#
Andre gange kan du også få et hint fra loggen, se blot her:
HP E-series# sh log
Keys: W=Warning I=Information M=Major D=Debug
—- Event Log listing: Events Since Boot —-
I 28/05/11 15:55:51 mgr: Log cleared as a result of ‘clear logging’ command
W 28/05/11 15:55:58 ip: icmp: Unsolicited Echo Reply from 192.168.10.204
—- Bottom of Log : Events Listed = 2 —-
HP E-series#
Det interessandte er “Unsolicited Echo Reply from 192.168.10.204″, hviket på almindelig dansk blot betyder at switchen meddeler at den har fået et svar på en ping som den ikke har bedt om. Jeg lavede en ping af 192.168.10.255 og der kommer svar fra 192.168.10.204.
Med den information har jeg så lært en IP adresse som jeg kan arbejde videre med.
/Jakob Stærk
