所以我一直在玩nmap,发现了一个奇怪的问题,同一子网中的两个设备具有相同的mac地址。我想追踪第二个 mac,因为第一个是声波墙,它有一些令人不安的影响。
如果我是正确的,要么我有一个带有非法 MAC 地址的网卡,要么有人在欺骗我的声波墙 mac,从而至少接收到所有广播数据包。
我希望有人能给我一些关于如何追踪其他mac地址的线索。我可以使用 linux 机器,也可以使用声波墙和接线板。如果归结为我可以一个一个地拔掉每个设备,但其他解决方案将不胜感激。
谢谢你,西德尼
AskOverflow.Dev
假设您知道其中一个 MAC 地址用户的至少一个 IP,理想情况下您需要知道两者。当事实上这是同一物理设备和以太网端口在同一设备上设置了多个 IP(这是正常的,通常称为多宿主)时,您确定您不会因为看到两个不同的 IP 使用相同的 MAC 而感到困惑。
通常人们知道每个 IP 上的每个设备是什么,因此如果您知道其中一个 IP,请找到一种方法检查两个 IP 是否在网络上(从您的计算机),然后拔下已知设备并查看两个 IP 是否消失。这也表明该设备上使用了多宿主 IP。
还应该说,如果两个设备通常配置并具有相同的 MAC,则这两个设备都不会正常运行。这也可能有助于追踪两个独立的设备无法正常运行。
它们将无法正常运行,因为网络上与它们通信的其他站点,例如通过路由器传入的数据,将在两个设备之间闪烁,基于最后使用/宣布 ARP 的人,中间的交换机也可能会调整它们的切换模式以同情最后使用/宣布 ARP 的设备)。当 ARP 请求发出时,两者都会回复,并且通常返回侦听器的最慢站获胜,因为它们最后(最近)宣布了 ARP。
有时这种情况是可以预测的,以至于一个设备可以控制 99% 的时间,但每隔一段时间就会出现几分钟的中断(与事实上的 3 分钟 ARP 在重新验证发生之前许多站点超时表示同情)。
距离(如互连交换机的数量和以太网链路的速度)会影响网络上每个站点最后看到的 ARP 公告。由于这个原因,每个站点的视图可能不同,因为可观察的 ARP 回复数据包(从它们的角度来看)的顺序不同。
现在,如果您有一些邪恶/隐蔽的设备,那就另当别论了,因为它的目标是让 MAC 的真正所有者尽可能多地操作而不被发现。
...
有一个 Linux 工具
arping,可以让您通过知道 IP 找出 MAC 地址,而无需系统响应 ICMP PING(这通常不适用于设备)。或者; 你可以用普通
arp -a的检查MAC没有列出,然后ping 1.2.3.4(可能没有回复)再arp -alike命令手动查看设备是否出现了IP。这表明设备在网络上响应 ARP 请求,即使它没有响应 ICMP PING 请求。这是一个可怜的男人arping。...
使用您的企业交换机查找 MAC 地址和它所连接的端口,然后返回,直到找到访问端口。关闭该端口(或自己拔下设备)。
这涉及连接到企业交换机的控制台(或 Web UI)并查看“MAC 地址表”并查看端口 ID。然后计算出该端口 ID 上链中的下一个设备是什么。最终,您将到达一个访问端口(而不是另一个交换机)。
因此,在找到一个 MAC 地址用户后,一旦它被拔掉,重新验证 MAC 的另一个用户。查看它是否仍在网络上或也已消失(表明它可能是同一物理设备)。
现在继续对
arping其他设备执行相同的步骤,直到您将 MAC 跟踪回其他用户的端口。如果您没有企业交换机,那么这个过程会变得乏味,因为您需要物理地拔下交换机互连以将网络分成两半,检查一侧,然后检查另一侧,以缩小所涉及的交换机和站点的范围。
...
一些处于安全模式的交换机会通过 ARP 回复来锁定网络上未经授权的设备。但通常使用交换机 MAC 地址,但您声称您有两个具有相同 MAC 地址的设备。
可能伪造 MAC 的设备可能是 MAC 克隆设备,但这并不常见,它已用于 DSL 和其他 Internet 连接产品,因为某些 ISP 通过 DHCP 上看到的 MAC 地址对您的用户进行身份验证。
与 MAC 混淆的其他类型的设备是负载平衡器和高可用性系统,通常两个具有物理端口的设备可能会在它们之间移动一个 MAC 来负载平衡流量。这允许系统向他们发送流量,而不是判断哪个设备正在接收流量。