[sladaloose]

Hallo,

ich steh gerade total auf dem Schlauch.

Hier in dem Netzwerk 192.168.220.0 gibt es einen DHCP Server. Dieser DHCP verteilt von *.1-*.32 und von *.37-*.254 IP-Adressen. Die ausgesparten Adressen sind Verwaltungs-IP-Adressen vom Provider der mir ein paar Router darüber bereitstellt und pflegt.

Soweit so gut.

Die Adresse 192.168.220.44 ist nicht vergeben, ergo dürfte da auch kein Ping zurück kommen. Kommt aber. Es gibt keinen Rechner im Netzwerk, der eine feste IP mit dieser Adresse hat.
Diesen Rechner kann man nicht per RDP noch sonst wie ansprechen.

Keine Ahnung was das ist.

Kennt jemand von euch ein Programm womit man sowas auf die Schliche kommen kann? Da wär mir echt geholfen.

Gruß,
sladaloose

[puppet]

Welche MAC Adresse verbirgt sich denn hinter der .44? Mal mit anderen Geräten verglichen? Welches Resultat ergibt ein Port-Scan? Welche IP hat denn der DHCP Server?

[sladaloose]

MAC-Adresse finde ich irgendwie nicht heraus.

DHCP hat die *.57 als IP.

Port-Scan läuft noch...

[flo]

Zitat

MAC-Adresse finde ich irgendwie nicht heraus.

mal

arp -a {IP}

versucht?

[sladaloose]

Ach das geht? cool. Kannte nur "arp -a".

Naja, das krieg ich zurück:

Interface: 192.168.220.43 --- 0x10006
Internet Address Physical Address Type
192.168.220.44 00-30-05-92-42-ab dynamic


Weiß noch nicht, was ich damit anfangen könnte... aber das Type dynamic macht mich stutzig.

Der Port Scan hat ergeben, dass der Port 23 (Telnet) offen ist.

Evtl. ist das ein Router, der vom Provider administriert wird, der aber nicht auf die richtige IP-Adresse horcht... aber wieso dann "dynamic"?

Jetzt bin ich verwirrt

[puppet]

Zitat (sladaloose: 26.07.2006, 12:39)

192.168.220.44 00-30-05-92-42-ab dynamic

Vermutlich ein Siemens-Gerät wenn nichts an der MAC Adresse geändert wurde und der Eintrag in der DB richtig ist.

Zitat (sladaloose: 26.07.2006, 12:39)

Weiß noch nicht, was ich damit anfangen könnte...

Jetzt vergleichst du einfach diese MAC Adresse mit allen anderen Geräten in deinem Netzwerk.
Diese kannst du dir relativ schnell mit nmap besorgen:
nmap -PR -sP 192.168.220.0/24

Zitat (sladaloose: 26.07.2006, 12:39)

aber das Type dynamic macht mich stutzig.

Dies bedeutet nur, dass du den Eintrag in der ARP-Tabelle nicht selbst erstellt hast (mit arp -s), sondern der Eintrag durch ARP (o.a.) in den Cache geschrieben wurde (z.B. durch deine PING-Anfrage - wozu es ja erstmal die MAC Adresse zu der IP Adresse benötigt, welche es sich vermutlich mittels ARP Anfrage geholt hat).

Zitat (sladaloose: 26.07.2006, 12:39)

Der Port Scan hat ergeben, dass der Port 23 (Telnet) offen ist.

Und was für Banner erscheint beim Verbindungsaufbau?

Zitat (sladaloose: 26.07.2006, 12:39)

Evtl. ist das ein Router, der vom Provider administriert wird, der aber nicht auf die richtige IP-Adresse horcht... aber wieso dann "dynamic"?

Was sagt denn der "Provider" zu dieser IP Adresse?

Dieser Beitrag wurde von puppet bearbeitet: 26. Juli 2006 - 11:51

[sladaloose]

Nmap hab ich gerade gestartet... der brauch wohl etwas...


Beim Verbindungsaufbau über Telnet krieg ich gleich einen Refuse... werde also gleich wieder herausgeschmissen "Connection Lost".


Dem Provider hab ich angemailt, die Antwort lässt sicherlich noch etwas auf sich warten.

[puppet]

Zitat (sladaloose: 26.07.2006, 12:56)

Nmap hab ich gerade gestartet... der brauch wohl etwas...

Wo klemmts denn? Bei mir dauert das bei einem /24-Netz i.d.R. nie länger als 10 Sekunden.
Hast du auch einen DNS Server eingetragen der in der Lage ist die lokalen Adresse aufzulösen?Wenn nich hängt mal das -n mit rein und damits etwas schneller geht noch das -T5:
nmap -PR -sP -T5 -n 192.168.220.0/24

Was für NW Hardware setzt du eigentlich ein? Kannst du am Switch checken an welchem Port eine speziefische MAC Adresse arbeitet?

[sladaloose]

WARNING: Could not import all necessary WinPcap functions. You may need to upgr
ade to version 3.1 or higher from http://www.winpcap.org. Resorting to connect(
) mode -- Nmap may not function completely

Starting Nmap 4.11 ( http://www.insecure.org/nmap ) at 2006-07-26 13:18 W. Europ
e Daylight Time
WARNING: getconnecttcpscanresults is taking way too long, skipping
WARNING: getconnecttcpscanresults is taking way too long, skipping


gibt Nmap zurück.

Der Switch ist nur ein "billiger" 16-Port Netgear. Da kann ich nichts mit MAC-Adressen herauslesen, leider. Das Netz ist nur das Testnetz, deswegen diese bedürftige Ausstattung.

[puppet]

Zitat (sladaloose: 26.07.2006, 13:07)

WARNING: Could not import all necessary WinPcap functions. You may need to upgr
ade to version 3.1 or higher from http://www.winpcap.org. Resorting to connect(
) mode -- Nmap may not function completely

Hast du denn WinPcap überhaupt installiert?

[sladaloose]

Ah. okay... wer lesen kann ist klar im Vorteil.

Der macht grad.. ich analysier dann gleich mal.

Zitat

Host 192.168.220.44 appears to be up.
MAC Address: 00:30:05:92:42:AB (Fujitsu Siemens Computers)

Hab noch einen ähnlichen gefunden:

Zitat

Host x64.domain.pg-l3.test (192.168.220.41) appears to be up.
MAC Address: 00:30:05:82:42:AB (Fujitsu Siemens Computers)

Aber das dürfte ja nichts zu sagen haben, oder?
Naja, Fakt ist, dass der x64-Rechner 4 Netzwerkkarten gesteckt hat, wobei 3 angeschlossen sind. Aber kein MAC ist identisch mit der von der 44.

[puppet]

Zitat (sladaloose: 26.07.2006, 13:20)

Ah. okay... wer lesen kann ist klar im Vorteil.

Der macht grad.. ich analysier dann gleich mal.
Hab noch einen ähnlichen gefunden:
Aber das dürfte ja nichts zu sagen haben, oder?
Naja, Fakt ist, dass der x64-Rechner 4 Netzwerkkarten gesteckt hat, wobei 3 angeschlossen sind. Aber kein MAC ist identisch mit der von der 44.

Wenn es 3 verschiedene Netzwerkkarten sind sollte auch keine doppelt sein, aber wenn der Rechner 4 NICs hat und davon 3 mit dem Netzwerk verbunden sind hat der Rechner als 3 IP Adressen, gehe also mal an den Rechner und checke mal dessen MAC Adressen:
ipconfig /all

[sladaloose]

Zitat

C:\Documents and Settings\Administrator>ipconfig -all

Windows IP Configuration

Host Name . . . . . . . . . . . . : x64
Primary Dns Suffix . . . . . . . : --unkenntlich gemacht--
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : --unkenntlich gemacht--
--unkenntlich gemacht--

Ethernet adapter Local Area Connection 4:

Media State . . . . . . . . . . . : Media disconnected
Description . . . . . . . . . . . : Intel® PRO/1000 MT Dual Port Network Co
nnection #4
Physical Address. . . . . . . . . : 00-0E-0C-6E-E9-B5

Ethernet adapter Local Area Connection 3:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel® PRO/1000 MT Dual Port Network Co
nnection #3
Physical Address. . . . . . . . . : 00-0E-0C-6E-E9-B4
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 192.168.220.2
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.220.33
DHCP Server . . . . . . . . . . . : 192.168.220.57
DNS Servers . . . . . . . . . . . : 192.168.220.57
192.168.220.50
146.254.33.70
146.254.33.71
Lease Obtained. . . . . . . . . . : Mittwoch, 26. Juli 2006 13:21:19
Lease Expires . . . . . . . . . . : Mittwoch, 26. Juli 2006 14:21:19

Ethernet adapter Local Area Connection:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet #2
Physical Address. . . . . . . . . : 00-30-05-91-9B-5C
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 192.168.220.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.220.33
DHCP Server . . . . . . . . . . . : 192.168.220.57
DNS Servers . . . . . . . . . . . : 192.168.220.57
192.168.220.50
146.254.33.70
146.254.33.71
Lease Obtained. . . . . . . . . . : Mittwoch, 26. Juli 2006 13:21:54
Lease Expires . . . . . . . . . . : Mittwoch, 26. Juli 2006 14:21:54

Ethernet adapter Local Area Connection 2:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
Physical Address. . . . . . . . . : 00-30-05-82-42-AB
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
IP Address. . . . . . . . . . . . : 192.168.220.41
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.220.33
DHCP Server . . . . . . . . . . . : 192.168.220.57
DNS Servers . . . . . . . . . . . : 192.168.220.57
192.168.220.50
146.254.33.70
146.254.33.71
Lease Obtained. . . . . . . . . . : Mittwoch, 26. Juli 2006 13:21:25
Lease Expires . . . . . . . . . . : Mittwoch, 26. Juli 2006 14:21:25

Hm.

Mir gehen die Ideen aus. Aber trotzdem schonmal vielen vielen Dank für deine Mühe.

[puppet]

Also wenn du keinen Switch hast wo du eine MAC<->Port Zuordnung anschauen kannst und auch von Anfang an keine Liste dazu geführt hast musst du entweder jedes angeschlossene Gerät überprüfen oder einfach immer jeweils ein Gerät nach dem anderen vom Netzwerk trennen und schauen wann die MAC Adresse verschwindet.

[sladaloose]

Zitat (puppet: 26.07.2006, 13:45)

Also wenn du keinen Switch hast wo du eine MAC<->Port Zuordnung anschauen kannst und auch von Anfang an keine Liste dazu geführt hast musst du entweder jedes angeschlossene Gerät überprüfen oder einfach immer jeweils ein Gerät nach dem anderen vom Netzwerk trennen und schauen wann die MAC Adresse verschwindet.

Da bin ich gerade dabei. Mir bleibt ja wohl jetzt nichts mehr anderes übrig

Ich meld mich nochmal, wenn ich was gefunden habe.