Gerät über MAC-ID identifizieren
![](https://seccdn.libravatar.org/avatar/d8f80cfe82b1e886c689256ed208caed.jpg?s=120&d=mm&r=g)
Hallo, ich habe hier ein Gerät von dem nur die MAC-ID bekannt ist. Wie kann ich Informationen über das Gerät erhalten? Der Weg über arp-Mechanismen funktioniert nicht und ipsu von Ciso unter Windows meldet nur das das Gerät nicht antwortet. Gruß und Dank -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
![](https://seccdn.libravatar.org/avatar/b616838ebed8ad5a698e5ba205f7571a.jpg?s=120&d=mm&r=g)
Hi, 13.12.2008 08:04, Ralf Prengel wrote:
Hallo,
ich habe hier ein Gerät von dem nur die MAC-ID bekannt ist. Wie kann ich Informationen über das Gerät erhalten? Der Weg über arp-Mechanismen funktioniert nicht und ipsu von Ciso unter Windows meldet nur das das Gerät nicht antwortet.
Wenn die Situation die ist dass du irgendwo die MAC-Adresse aufgeschrieben hast und wissen willst welche Hardware das ist (z.B. um hinzugehen und zu gucken ob's kaputt ist) dann hilft u.U. schon weiter zu wissen, wer der Hersteller (des Netzwerk-Chips) ist: z.B. http://www.heise.de/netze/tools/mac-adressen kurz probiert: Den OUI 00:C0:B7 hat die IEEE vergeben an AMERICAN POWER CONVERSION CORP AMERICAN POWER CONVERSION CORP 267 BOSTON ROAD #2 NORTH BILLERICA MA 01862 UNITED STATES oder auch arpwatch: From: arpwatch (Arpwatch) To: root Subject: new station (balrog.xxx.yyy.de) hostname: balrog.xxx.yyy.de ip address: 192.168.0.22 mac address: 0:e0:81:56:e3:37 mac vendor: TYAN COMPUTER CORP. timestamp: Saturday, December 13, 2008 12:36:35 +0100
Gruß und Dank
Hilft's? Arno -- Arno Lehmann IT-Service Lehmann Sandstr. 6, 49080 Osnabrück www.its-lehmann.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
![](https://seccdn.libravatar.org/avatar/d8f80cfe82b1e886c689256ed208caed.jpg?s=120&d=mm&r=g)
Arno Lehmann schrieb:
oder auch arpwatch:
Könnte evetuelle helfen wenn man Zeit hat sich auf die Lauer zu legen. Der Hersteller selber ist bekannt. Es geht darum aktiv und zeitnah über die Mac das Gerät soweit zu identifizieren (IP) um dann einen Zugriff versuchen zu können. Sozusagen nmap nicht auf IP sonder auf eine MAC. Gruß und Dank -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
![](https://seccdn.libravatar.org/avatar/b616838ebed8ad5a698e5ba205f7571a.jpg?s=120&d=mm&r=g)
Hi, 13.12.2008 13:41, Ralf Prengel wrote:
Arno Lehmann schrieb:
oder auch arpwatch:
Könnte evetuelle helfen wenn man Zeit hat sich auf die Lauer zu legen.
Das klingt als wäre die Situation so dass das Gerät normalerweise nicht im Netzwerk auftaucht, und wenn es das tut willst du möglichst schnell darüber Bescheid wissen. Wie wäre folgendes: arpwatch erst mal einige Zeit im Normalbetrieb mitlaufen lassen um die normalerweise vorhandenen Geräte zu lernen. Wenn danach eine neue MAC-adresse aus dem Bereich des betroffenen Herstellers auftaucht dann die zugehörige IP-Adresse probieren.
Der Hersteller selber ist bekannt.
Dann tut's viellicht auch ein simples script das periodisch nach ARP-Adressen aus dem entsprechenden Bereich Ausschau hält, und wenn es eine findet dich alarmiert, oder automatisch irgendetwas anderes tut. Das ganze kombiniert mit einem ebenfalls periodisch laufenden 'nmap -sT -p 80 192.168.0.1-254' (Adressbereich anpassen!) sollte ziemlich schnell alles finden was einen http-Zugang anbietet. Natürlich lassen sich auch andere Ports angeben... Damit finde ich hier auch Geräte die nicht auf Broadcast-Pings antworten - und heutzutage sind ja die meisten Sachen per Webinterface konfigurierbar. Wenn du dann noch die Ports für die gängigen Dienste dazunimmst, die die Geräte, die du fangen willst, anbieten, solltest du das gewünschte Ergebnis schnell erreicht haben. awk '($4~"00:1C:C4") && ($3=="0x2") {print $1};' /proc/net/arp zeigt mir hier z.B. an wenn die MAC-Adresse eines der Management-Interfaces eines Servers hier auftaucht. Da eine Schleife drum, die Ausgabe (hier direkt die IP-Adresse) einfangen, und sofort an nmap verfüttern ist nicht besonders schwer... # while true; do ADR=`awk '($4~"00:1C:C4") && ($3=="0x2") {print $1};' /proc/net/arp`; if [ -z $ADR ] ; then echo "Not found"; else /usr/bin/nmap -sT -O $ADR; fi; sleep 2; done Not found Not found Not found Not found <hier in anderem Terminal ein ping an die Adresse abgesetzt> Starting Nmap 4.20 ( http://insecure.org ) at 2008-12-13 16:25 CET Interesting ports on hpserv1-ilom.privat.lehleute.de (192.168.0.39): Not shown: 1694 closed ports PORT STATE SERVICE 22/tcp open ssh 80/tcp open http 443/tcp open https MAC Address: 00:1C:C4:58:00:6E (Unknown) No exact OS matches for host (If you know what OS is running on it, see http://insecure.org/nmap/submit/ ). TCP/IP fingerprint: Geht also :-)
Es geht darum aktiv und zeitnah über die Mac das Gerät soweit zu identifizieren (IP) um dann einen Zugriff versuchen zu können. Sozusagen nmap nicht auf IP sonder auf eine MAC.
Gelöst, scheint mir :-) Arno
Gruß und Dank
-- Arno Lehmann IT-Service Lehmann Sandstr. 6, 49080 Osnabrück www.its-lehmann.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
![](https://seccdn.libravatar.org/avatar/d8f80cfe82b1e886c689256ed208caed.jpg?s=120&d=mm&r=g)
Arno Lehmann schrieb:
Es geht darum aktiv und zeitnah über die Mac das Gerät soweit zu identifizieren (IP) um dann einen Zugriff versuchen zu können. Sozusagen nmap nicht auf IP sonder auf eine MAC.
Gelöst, scheint mir :-)
Leider nicht. Stell dir vor du hängst seit 3 Minuten in einem fremden Netz und sollst das System innerhalb der nächsten 2 Minuten identifizieren. In einem gepflegten Netz stellt sie die Aufgabenstellung so auch nicht da Tools wie arpwatch dann eh mitlaufen. Gruß -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
![](https://seccdn.libravatar.org/avatar/b616838ebed8ad5a698e5ba205f7571a.jpg?s=120&d=mm&r=g)
Hallo, 13.12.2008 19:44, Ralf Prengel wrote:
Arno Lehmann schrieb:
Es geht darum aktiv und zeitnah über die Mac das Gerät soweit zu identifizieren (IP) um dann einen Zugriff versuchen zu können. Sozusagen nmap nicht auf IP sonder auf eine MAC.
Gelöst, scheint mir :-)
Leider nicht. Stell dir vor du hängst seit 3 Minuten in einem fremden Netz und sollst das System innerhalb der nächsten 2 Minuten identifizieren. In einem gepflegten Netz stellt sie die Aufgabenstellung so auch nicht da Tools wie arpwatch dann eh mitlaufen.
Also dann brauche ich mehr Details um das Problem korrekt zu verstehen :-) Läuft es darauf hinaus dass Du z.B. mit 'nem Notebook ankommst, das beim Kunden ans Netz hängst, und dann quasi sofort die IPs der Geräte eines bestimmten Herstellers wissen willst? Wenn das der Fall ist, wo ist mein Ansatz mit pings an alle Adressen plus Beobachten der ARP-Tabelle nicht ausreichend? Arno
Gruß
-- Arno Lehmann IT-Service Lehmann Sandstr. 6, 49080 Osnabrück www.its-lehmann.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
![](https://seccdn.libravatar.org/avatar/d8f80cfe82b1e886c689256ed208caed.jpg?s=120&d=mm&r=g)
Arno Lehmann schrieb:
Läuft es darauf hinaus dass Du z.B. mit 'nem Notebook ankommst, das beim Kunden ans Netz hängst, und dann quasi sofort die IPs der Geräte eines bestimmten Herstellers wissen willst?
Wenn das der Fall ist, wo ist mein Ansatz mit pings an alle Adressen plus Beobachten der ARP-Tabelle nicht ausreichend?
Genau das ist die Aufgabe. Wenn das Gerät auf einen Ping reagiert kann das funktionieren aber was ist wenn nein? Gruß -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
![](https://seccdn.libravatar.org/avatar/b616838ebed8ad5a698e5ba205f7571a.jpg?s=120&d=mm&r=g)
Hi, 14.12.2008 06:43, Ralf Prengel wrote:
Arno Lehmann schrieb:
Läuft es darauf hinaus dass Du z.B. mit 'nem Notebook ankommst, das beim Kunden ans Netz hängst, und dann quasi sofort die IPs der Geräte eines bestimmten Herstellers wissen willst?
Wenn das der Fall ist, wo ist mein Ansatz mit pings an alle Adressen plus Beobachten der ARP-Tabelle nicht ausreichend?
Genau das ist die Aufgabe. Wenn das Gerät auf einen Ping reagiert kann das funktionieren aber was ist wenn nein?
Das ist egal. Der ping löst nur die Zuordnung MAC-IP aus, sprich den arp-request. Solange das Gerät IP spricht wird es darauf korrekt antworten. Dafür muss nicht auf den ping reagiert werden. Arno
Gruß
-- Arno Lehmann IT-Service Lehmann Sandstr. 6, 49080 Osnabrück www.its-lehmann.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
![](https://seccdn.libravatar.org/avatar/d8f80cfe82b1e886c689256ed208caed.jpg?s=120&d=mm&r=g)
Arno Lehmann schrieb:
Das ist egal.
Der ping löst nur die Zuordnung MAC-IP aus, sprich den arp-request. Solange das Gerät IP spricht wird es darauf korrekt antworten. Dafür muss nicht auf den ping reagiert werden.
ok. Ich werde mir dazu mal eine Testumgebung aufsetzten. das wäre dann eine Lösung. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (2)
-
Arno Lehmann
-
Ralf Prengel