Estou tentando encontrar um computador que tenha um determinado endereço IP em nossa rede interna. Eu identifiquei o nome do computador pelo DNS, mas, neste caso, não me ajuda.
Basta saber se de alguma forma posso amarrar o IP a uma porta do switch e rastreá-lo a partir daí? Se sim, como?
Respostas:
Dado um endereço IP, você deve conseguir encontrar o endereço MAC do host correspondente.
arp -a
No Windows e no Linux, será mostrado o cache arp desse host, mapeando IPs para endereços MAC. (Observe que isso precisará ser executado em uma máquina que esteja na mesma sub-rede IP que a máquina que você está tentando encontrar).
Depois de ter o endereço MAC, faça logon no switch em que você suspeita que o host não autorizado esteja conectado e procure na tabela de endereços MAC por esse endereço. (A tabela de endereços MAC também é chamada de tabela de ponte ou tabela CAM).
Por exemplo, nos switches baseados no Cisco IOS, o seguinte comando:
show mac-address-table address <MAC address>
Mostrará a porta em que um determinado endereço MAC foi visto pela última vez. Se a porta resultante for um link para outro comutador, efetue logon nesse comutador e execute o comando novamente. Repita até você terminar com uma porta host e você deve ser o culpado.
Observe que essa abordagem só funcionará se você tiver um comutador gerenciado que permita que sua tabela de endereços MAC seja consultada. Caso contrário, será um caso de eliminação manual; encontre cada porta que você sabe que não é a máquina desonesta, até que você fique com uma porta que não pode ser considerada. Boa sorte.
Como outros já mencionaram, não há maneira direta de determinar qual IP está conectado a uma determinada porta do switch. O motivo é que um comutador Ethernet funciona em L2 do modelo OSI e normalmente não inspeciona camadas de nível superior (Camada 3 -> Endereço IP). (Existem algumas exceções no hardware mais recente)
Uma observação importante: para usar o truque ping / ARP, você precisará usar um dispositivo na mesma VLAN ou sub-rede que o dispositivo que você está procurando. Caso contrário, você verá apenas o endereço MAC do gateway padrão na tabela ARP.
Aqui está o procedimento que eu recomendo, se possível.
Origem e destino na mesma VLAN
Origem e destino em diferentes VLANs
Verifique o cache do ARP no (s) seu (s) switch (s) para encontrar o MAC e a porta do switch associados a esse IP do dispositivo. Este artigo deve ajudá-lo a:
Você não especificou quais sistemas operacionais você tem disponível na rede, mas a maioria deles possui um comando arp. Você pode usar o comando arp para descobrir qual é o endereço MAC de um host com um nome de host especificado (supondo que você esteja na mesma rede que o host).
Então você deve verificar os caches ARP dos seus switches para descobrir em qual porta esse endereço MAC está.
Não há mapeamento 1: 1 entre interfaces físicas e endereços IP. Uma porta de um comutador pode manipular o tráfego para muitas máquinas (se outro comutador estiver encadeado) e uma porta de comutador pode encaminhar o tráfego para mais de um IP (se a máquina for multi-homed).
Se você possui um comutador suficientemente avançado, pode procurar nas telas de gerenciamento do comutador para ver se ele lista os endereços MAC que ouviu em uma porta específica.
Como alternativa, supondo que o computador que você deseja encontrar não esteja muito longe (logicamente), você pode tentar enviar uma grande quantidade de tráfego para ele, por exemplo ping -f, o que deve permitir rastrear a porta em que a máquina está, observando as luzes de atividade .
Se o switch suportar snmp, você poderá obter informações da tabela mac remotamente, o que deve ter o mapeamento da porta física e do endereço mac conectado à porta.