防火墻檢測到某個IP存在病毒攻擊或者異常流量時,網管技術人員往往需要到電腦上面進行后續操作。而對于自動獲取IP的局域網來說,如何定位IP地址的電腦位置一直是一個技術難題。如果沒有好的工具,最笨的辦法就是一臺一臺電腦進行查看,通過比對IP地址和mac地址來定位。那么還有哪些聰明一些的辦法呢?
1. 在三層交換機上查看ARP表
有網管交換機時,可以在網管交換機上查看arp表找到該IP地址所在的端口,然后根據端口順藤摸瓜,從而定位電腦的物理位置。比如,在交換機上執行“disp arp”命令(不同型號的交換機命令不一樣),可以得到如下結果:
2. 通過上網行為管理的日志記錄來定位
如果局域網部署了上網行為管理產品,往往可以查詢到這個IP的上網信息,包括QQ號、訪問的網站、郵件等信息。根據這些蛛絲馬跡,往往可以判斷出對方的身份,從而定位電腦的位置。如圖:
通過QQ號或者郵箱賬號,都可以定位該電腦使用者的身份信息,從而找到該電腦。
3. 直接禁網,等使用者主動來找。
還有一個辦法,就是直接禁止該IP上網。從而等使用者主動來找網管。如圖,給該IP設置一個臨時策略,并發送通知。然后耐心等待即可。
為網絡管理員,在單位或者學校的局域網里,經常會遇見,知道IP卻找不到它位置的事情
比如內網里有一臺設備中了arp欺騙病毒,整個內網訪問internet速度明顯下降,用軟件抓包知道了中毒主機的IP地址,就需要找到它在哪里了,可以用以下的方法(針對思科交換機)
通過IP地址查端口
目標地址,例如192.168.3.48
在主干交換機上ping 192.168.3.48
確保能ping通
使用:
show arp | include 192.168.3.48 (在arp列表里查找到這個IP對應的mac地址)
顯示出:
Internet 192.168.3.48 0 000d.874a.0c52 ARPA Vlan30
得到所連接交換機接口的mac地址:000d.874a.0c52
再用:
show mac-address-table dynamic add 000d.874a.0c52 (在mac地址列表里找出mac來源端口)
顯示:
Unicast Entries
vlan mac address type protocols port
-------+---------------+--------+---------------------+--------------------
30 000d.874a.0c52 dynamic ip FastEthernet4/12
連接的是4/12端口,但是不能保證目標就是接在這個端口
用:
show cdp nei (查看跟這臺交換機相鏈接的網絡設備)
看到:
switch9 Fas 4/12 123 S I WS-C2950-2Fas 0/24
這個端口連接的是交換機
用:
show cdp ent * (查看跟這臺交換機鏈接設備的詳細信息)
得到該交換機的IP:192.168.3.214
telnet到192.168.3.214
重復上面動作,輸入:
show mac-address-table dynamic add 000d.874a.0c52
顯示:
Mac Address Table
------------------------------------------
Vlan Mac Address Type Ports
---- ----------- ---- -----
30 000d.874a.0c52 DYNAMIC Fa0/2
Total Mac Addresses for this criterion: 1
看到接口為Fa0/2,而且只有一個動態的mac地址,說明就是這個接口了
目標最后被確定接在一臺2950的2口上
這樣目標IP與交換機鏈接的位置就找到了,管理員可以采取相應的措施,比如關閉端口來隔絕病毒機
--------------------------------------------------------------------------------------------------------------------------------------------------
相反的,如果你去機房看到了某個服務器,鏈接在交換機的某個端口上,但是設備標簽上沒有任何信息,想知道服務器的IP,應該怎樣做呢?
看看下面的步驟:
先去機房確定機器連接在交換機的哪個端口上,例如0/2口
在那臺交換機上用命令:
show mac add
顯示出它的Mac Address Table
從列表里找到0/2口對應有哪些mac地址
例如:
000d.874a.0c52 DYNAMIC Fa0/2
0011.5be0.dd61 DYNAMIC Fa0/2
0015.c510.12a3 DYNAMIC Fa0/2
使用nmap軟件
輸入例如:
nmap -oX maclist.xml -sP 192.168.3.1/24
的命令
創建含有IP地址和mac地址的列表
在列表里搜索上面的三個mac地址就能找到相應的IP地址
查詢結果:
000d.874a.0c52 DYNAMIC Fa0/2 192.168.3.48
0011.5be0.dd61 DYNAMIC Fa0/2 192.168.3.84 / zhulei01.xxxx.com
0015.c510.12a3 DYNAMIC Fa0/2 192.168.3.49 / zhounianou.xxxxcom
另外在交換機上使用:show ip arp H.H.H
也可以看出內網IP,但是不總管用
以上方法不能查出外網IP,只使用于內網,所以在使用nmap這樣的軟件時,主機一定是要接在搜索網段里的,可以在交換機上用show vlan 看到目標服務器所在端口是在哪個網段里
要描述:
我們做完一個項目,配置好終端IP地址,連接上交換機上,設備就能夠使用,但我們在交付,需要繪制竣工圖紙的情況下,如何知道每一臺終端連接的端口信息呢?
解決方案:
我們先將計算機接入到當前的網絡當中。
1查看本地計算機MAC
在電腦運行命令窗口中,執行C:\ipconfig/all
2測試電腦與網絡設備的連通性。
3查詢有哪些終端設備在線
4三條命令解決問題
命令1:
打開電腦,輸入命令ping 10.54.13.5 ,ping一下目標計算機終端的IP地址。
命令2:
執行ARP -a命令,獲取目標計算機的MAC地址。
如上操作,即可獲取1個已知IP地址的電腦終端的MAC地址。
命令3:
再查詢這個MAC地址所在交換機上的端口,打開交換機,進入配置界面,輸入命令display mac-address,查看該MAC地址對應的端口號。
這里獲取的端口號,即目標IP地址所對應的終端在交換機上的連接端口。
如果你剛好參與到弱電智能化項目當中,如果我的文章你正好感興趣,關注我,我們一起交流,以后繼續跟大家分享!!