Hi, 13.12.2008 13:41, Ralf Prengel wrote:
Arno Lehmann schrieb:
oder auch arpwatch:
Könnte evetuelle helfen wenn man Zeit hat sich auf die Lauer zu legen.
Das klingt als wäre die Situation so dass das Gerät normalerweise nicht im Netzwerk auftaucht, und wenn es das tut willst du möglichst schnell darüber Bescheid wissen. Wie wäre folgendes: arpwatch erst mal einige Zeit im Normalbetrieb mitlaufen lassen um die normalerweise vorhandenen Geräte zu lernen. Wenn danach eine neue MAC-adresse aus dem Bereich des betroffenen Herstellers auftaucht dann die zugehörige IP-Adresse probieren.
Der Hersteller selber ist bekannt.
Dann tut's viellicht auch ein simples script das periodisch nach ARP-Adressen aus dem entsprechenden Bereich Ausschau hält, und wenn es eine findet dich alarmiert, oder automatisch irgendetwas anderes tut. Das ganze kombiniert mit einem ebenfalls periodisch laufenden 'nmap -sT -p 80 192.168.0.1-254' (Adressbereich anpassen!) sollte ziemlich schnell alles finden was einen http-Zugang anbietet. Natürlich lassen sich auch andere Ports angeben... Damit finde ich hier auch Geräte die nicht auf Broadcast-Pings antworten - und heutzutage sind ja die meisten Sachen per Webinterface konfigurierbar. Wenn du dann noch die Ports für die gängigen Dienste dazunimmst, die die Geräte, die du fangen willst, anbieten, solltest du das gewünschte Ergebnis schnell erreicht haben. awk '($4~"00:1C:C4") && ($3=="0x2") {print $1};' /proc/net/arp zeigt mir hier z.B. an wenn die MAC-Adresse eines der Management-Interfaces eines Servers hier auftaucht. Da eine Schleife drum, die Ausgabe (hier direkt die IP-Adresse) einfangen, und sofort an nmap verfüttern ist nicht besonders schwer... # while true; do ADR=`awk '($4~"00:1C:C4") && ($3=="0x2") {print $1};' /proc/net/arp`; if [ -z $ADR ] ; then echo "Not found"; else /usr/bin/nmap -sT -O $ADR; fi; sleep 2; done Not found Not found Not found Not found <hier in anderem Terminal ein ping an die Adresse abgesetzt> Starting Nmap 4.20 ( http://insecure.org ) at 2008-12-13 16:25 CET Interesting ports on hpserv1-ilom.privat.lehleute.de (192.168.0.39): Not shown: 1694 closed ports PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 443/tcp open https MAC Address: 00:1C:C4:58:00:6E (Unknown) No exact OS matches for host (If you know what OS is running on it, see http://insecure.org/nmap/submit/ ). TCP/IP fingerprint: Geht also :-)
Es geht darum aktiv und zeitnah über die Mac das Gerät soweit zu identifizieren (IP) um dann einen Zugriff versuchen zu können. Sozusagen nmap nicht auf IP sonder auf eine MAC.
Gelöst, scheint mir :-) Arno
Gruß und Dank
-- Arno Lehmann IT-Service Lehmann Sandstr. 6, 49080 Osnabrück www.its-lehmann.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org