探测方法步骤:
1、未知设备接入交换机的某个被双向镜像的端口;
2、监听镜像端口获取arp广播包
3、屏蔽已知的ip和ip段
如(屏蔽已知IP:192.168.1.100、屏蔽已知IP段:192.168.5.0/24):
tcpdump -i eth2 -p arp and host not 192.168.1.100 and net not 192.168.5.0/24
“tcpdump监听的期间需要调整使尽可能的屏蔽所有已知IP,且需要关闭再启动未知设备”
发现如下的陌生IP:
14:41:10.068809 arp who-has 10.1.1.2 tell 10.1.1.1
14:41:11.068768 arp who-has 10.1.1.2 tell 10.1.1.1
14:41:12.068752 arp who-has 10.1.1.2 tell 10.1.1.1
大致可以判定此设备的IP为10.1.1.1。
再进一步的测试:如已知此设备有web服务,可以连接确定是否为此设备。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。