Идентифицирайте мрежово устройство, което не е компютър?

В момента работя върху програма, която сканира моята мрежа и открива компютри и устройства в мрежата. Използвам различни операции, за да намеря данни за устройствата, които откривам, но искам да разгранича мрежовите устройства от компютрите. И се чудя дали някой знае как мога да направя това?

Погледнах малко SNMP и се опитах да се свържа с моя мрежов принтер, рутер и модем. Но изглежда мога да се свържа само с принтера, нито рутерът, нито модемът отговарят.

Има ли друг начин да се определи към какъв тип устройство принадлежи даден IP адрес?


networking packet-sniffers discovery snmp raw-ethernet
person Avilan    schedule 23.06.2011    source източник
comment
Нямам много опит с откриването/каталогизирането, но вярвам, че WBEM или свързана технология има начин за откриване и каталогизиране на устройства.   -  person Merlyn Morgan-Graham    schedule 13.11.2011

Отговори (4)


arrow_upward
9
arrow_downward

С помощта на инструмент за команден ред като nmap можете да отпечатате пръстовия отпечатък на устройството, което може да ви даде всякакъв вид информация.

Може би можете да извикате nmap чрез c# и да прочетете отговора.

Друга алтернатива е да потърсите доставчика на мрежови чипове за даден MAC адрес. Но не съм сигурен колко подробности ще ви даде това.

Ето пример от сайта на nmap:

# nmap -O -v scanme.nmap.org

Starting Nmap ( http://nmap.org )
Nmap scan report for scanme.nmap.org (64.13.134.52)
Not shown: 994 filtered ports
PORT    STATE  SERVICE
22/tcp  open   ssh
25/tcp  closed smtp
53/tcp  open   domain
70/tcp  closed gopher
80/tcp  open   http
113/tcp closed auth
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.20-1 (Fedora Core 5)
Uptime guess: 11.433 days (since Thu Sep 18 13:13:01 2008)
TCP Sequence Prediction: Difficulty=204 (Good luck!)
IP ID Sequence Generation: All zeros

Nmap done: 1 IP address (1 host up) scanned in 6.21 seconds
           Raw packets sent: 2021 (90.526KB) | Rcvd: 23 (1326B)
person Alex KeySmith    schedule 23.06.2011
comment
MAC адресът няма да ви каже нищо - person John Saunders; 23.06.2011
comment
Здравейте, @John Saunders. Ще ви даде доставчика, така че може би част от пъзела за идентифициране на тип устройство. Но съм съгласен, че няма да помогне много. - person Alex KeySmith; 23.06.2011
comment
Искам да кажа, че доставчикът на мрежовия чип няма да ви каже нищо за устройството, съдържащо чипа. - person John Saunders; 23.06.2011
comment
Добра точка @John Saunders, ще добавя още подробности към отговора си. Прав си, доставчикът на мрежови чипове не ти дава много поводи. Но предполагам, че NMAP използва тази информация (заедно с всичко останало, което получава), за да помогне с пръстовия отпечатък на устройството. Като каза това, NMAP има много повече информация, с която да работи. - person Alex KeySmith; 23.06.2011
comment
@Alex : nmap ви дава всякаква размита информация. Отгатването на операционната система от tcpip сондиране не е достъпно; Опитах го. Също така резултатът от сканирането на портове е неясен, често в средата седи hw или sw защитна стена. - person Massimo; 13.11.2011
comment
@John: продавач от MAC адрес: безполезен е за компютри и евтини уреди. Полезно за управлявани комутатори и рутери: доставчиците използват частни MAC адреси, изградени от техния регистриран пул. Ммм, това също е размито, но имхо по-надеждно и по-просто. Пробването на Nmap tcpip се преструва, че отгатва доставчика и модела. От MAC адреса се опитваме само да познаем доставчика. - person Massimo; 13.11.2011

arrow_upward
8
arrow_downward

Първо, този отговор е предубеден по отношение на Ethernet мрежите. Идеите могат да бъдат съвети и за други сценарии.

Има много начини да постигнете това, например:

  • сканиране
  • целенасочено откриване
  • пасивен мониторинг на трафика

сканиране

Възможно е например с nmap.

Професионалист:

  1. Може да открива неизвестни устройства и услуги. забравен от мързеливи системни администратори или инсталиран от ненадеждни потребители.
  2. Може да бъде полезен инструмент за откриване на услуги и одит на сигурността.
  3. За начинаещи звучи най-добрият начин: започнете от нулата, намерете ги всички. Лоши новини: прочетете минусите.

Минуси:

  1. Много е неефективно. Ако започнете от нулата - не знаете нищо за LAN - и искате да намерите всяка възможна услуга, трябва да сканирате почти всички tcp и udp портове за всеки възможен хост.
  2. Резултатите не са 100% достъпни: hw или sw защитни стени; и т.н... Следващият старт може да доведе до съвсем различен резултат.
  3. Резултатите не са просто i_got_it / null, а размити: имате нужда от експерт, който да оцени резултатите.
  4. Понякога трябва да имате администраторски акаунт на вашия компютър, за да стартирате това сканиране.
  5. Някои IDS могат да регистрират тази дейност като лоша.

целенасочено откриване

Ако целта ви е да картографирате вашата мрежа, официалните услуги, можете да помислите за техните официални възможности за откриване. Например CDP, SSDP, srvloc, snmp get broadcast и т.н... Трябва да знаете какви услуги търсите.

Професионалист:

  1. Това е най-ефективният начин както за максимална скорост, така и за минимална честотна лента на мрежата.
  2. Резултатът е надежден: следващото изпълнение трябва да върне същия резултат (очевидно, ако услугите и мрежата останат живи).
  3. Това е начинът да проверите наличността на услугите и да отчетете SLA.
  4. Нямате нужда от експерт: напр. ако дадено устройство отговори на snmp get SysDescr, вие знаете вашите данни. Получавате точния отговор или го пропускате.

Минуси:

  1. Трябва да знаете какви услуги търсите.
  2. Не можете да използвате това, за да сте сигурни, че сте намерили устройства / услуги. Това не е нито одит на сигурността, нито инструмент за откриване. Например: променям порта за слушане на моя http сървър на 81, как ме намирате?

пасивен мониторинг на трафик

Имало едно време можете да намерите Ethernet хостове, свързани с медни кабели (CAT3 / CAT5) към хъбове. Можете да стартирате на който и да е от тези хостове програма за улавяне на целия трафик, като поставите ethernet картата в режим promiscous, така че NIC да предаде на операционната система всички пакети, също и пакетите с MAC дестинация, различна от MAC адреса на NIC.

Вашата програма може да анализира тези необработени данни и да анализира протоколите и пакетите вътре.

В днешно време използвате Ethernet комутатори, а не хъбове. Мрежовата карта на вашия компютър в промисциален режим не получава целия трафик в мрежата, тъй като превключвателят препраща към вас само пакетите за вашия хост или за всички (излъчване и - ако е регистрирано - мултикаст).

Трябва да използвате управлявани комутатори и да конфигурирате един порт да бъде повторител или порт за монитор, за да свържете хоста за наблюдение.

Професионалист:

  1. Това е пасивно наблюдение - ако се направи правилно. Това може да бъде полезно за конкретна оценка, когато не можете да изпращате никакви пакети в мрежата, която се тества, и спазвате силно SLA.
  2. За да съберете nw трафик, не трябва да знаете протоколите и конфигурацията на услугите. Например, можете да премахнете от вашия хост tcp/ip стека, да оставите драйвера на вашата Ethernet карта и да събирате трафика.
  3. Използвайки управляван превключвател с порт за монитор, не е нужно да поставяте NIC в промисциален режим/настройвате TCP/IP стека.
  4. libpcap / winpcap е де факто стандартът за улавяне на пакети и работи. Можете да играете с някои GUI интерфейси, като Analyzer или Wireshark, преди да разработите свое собствено приложение.
  5. Това забрана също е полезен инструмент за откриване на услуги и одит на сигурността.

Минуси:

  1. Трябва ли да сте сигурни, че не изпращате пакети в мрежата, която се тества? Използвайте управляван превключвател с порт за повторител, също ако имате концентратори. Портът на повторителя може да получава само мрежов трафик.
  2. За да заснемете данни с висока производителност, като например при 1 Gbit, трябва да промените конфигурацията на вашата операционна система, в противен случай процесорът се повишава до пълно натоварване и пак ще губите пакети. Забравих ms windows за тези неща.
  3. Очевидно виждате само трафика на живо, нищо за услугите, които не предават.
  4. Вижте минусите 3, 4 на сканирането. Това е близо, за да наблюдавате битовете на проводниците, това е като осцилоскоп за електронни инженери. Вие улавяте всички данни, по-късно имате нужда от експерт^2, който да ги оцени. Да, по-късно, тъй като подробното анализиране на грешките и пропуските отнема много време.

Това е просто откритие за манекени въведение. Инструментите за откриване могат да комбинират и двата начина за търсене на устройства и услуги в мрежата.

Например откриването на HP JetAdmin използва различни методи само за търсене на мрежови принтери и скенери на HP не за всички устройства във вашата LAN.

person Massimo    schedule 13.11.2011

arrow_upward
0
arrow_downward

По принцип не можете да разберете много за дадено устройство от неговия IP. Използвайки MAC адреса на хоста, можете да определите производителя на мрежовия адаптер. Първата половина от MAC адресите се присвояват от производителя.

Можете да опитате да използвате nmap.

Nmap ("Network Mapper") е безплатна помощна програма с отворен код за изследване на мрежата или одит на сигурността. Той е проектиран да сканира бързо големи мрежи, въпреки че работи добре срещу единични хостове. Nmap използва необработени IP пакети по нови начини, за да определи какви хостове са налични в мрежата, какви услуги (име на приложението и версия) предлагат тези хостове, какви операционни системи (и версии на ОС) изпълняват, какъв тип пакетни филтри/защитни стени се използват и десетки други характеристики. Nmap работи на повечето видове компютри и са налични както конзолна, така и графична версия. Nmap е безплатен софтуер, достъпен с пълен изходен код съгласно условията на GNU GPL.

person Bibhu    schedule 23.06.2011

arrow_upward
0
arrow_downward

Забележката ми може да изглежда проста. Но повечето от устройствата, които прилагат SNMP, прилагат MIB-II. Както можете да видите тук, под него съществува в „Система“ запис, наречен „sysDescr“, който можете да използвате през повечето време, за да идентифицирате устройството.

въведете описание на изображението тук

person JPBlanc    schedule 27.06.2011