IP-Adresse unbekannt, wie vorgehen?

[Herakles]

Moin!

Angenommen, ich hätte ein Gerät vor mir stehen, das mit einem schicken Aufkleber versehen wäre auf dem ich eine MAC-Adresse fände. Von der IP-Adresse dieses Gerätes hätte ich aber keinerlei Ahnung. Auf was das Gerät bei einem "Reset" zurückgesetzt würde, wüsste ich auch nicht, weil ich das Handbuch verloren hätte.

Wie bekäme ich nun die IP-Adresse (mal vorausgesetzt, dass eine eingestellt sei) dieses Gerätes heraus? Mir ist bekannt, dass ich mit nmap so einiges erreichen könnte, etwa so:

nmap -nsP 192.168.1.0/24

Nur, woher wüsste ich, dass der Rechner, den ich untersuchen wollte, im 192.168.1.0/24-Netz läge? Er könnte auch im 192.168.2.0/24-er liegen. Na klar, ziehe ich die Netzmaske weiter auf. Aber das dauert erstens wesentlich länger und was, wenn das Zielgerät im 10.0.0.0/8-er Netz läge, oder sonstwo?

Worauf ich hinaus will: könnte ich etwas über das Gerät erfahren, wenn ich nur die MAC kennen würde?

Danke für Eure Gedanken dazu,
Herakles

 

[tom81]

Hi,

wie wäre es denn mit der arp Tabelle des Servers (wenn möglich des Routers) im Netz, das Gerät wird doch darauf zugegriffen haben?

Viele Grüße
Tom

 

[mousaka]

arp -s hostname MAC-Adresse oder mit -S um einen allfälligen Eintrag zu überschreiben.

Geht sogar ähnlich unter Windows

mousaka

 

[Herakles]

Mahlzeit!

Also, sagen wir mal bei einem Server im Netz könnte ich mal nicht nachsehen, weil ich nur das Gerät hätte und einen Rechner, mit dem ich zugreifen wollte.

Was mousakas Vorschlag angeht: funktioniert nicht. Wie auch, wenn MAC-Adresse und IP-Adresse im Anfragepaket nicht übereinstimmen.

So long, Herakles

 

[tom81]

Wenn du einen Zweitrechner hast, der darauf Zugreift, dann nimm doch dessen arp-cache... einfach arp -a dann bekommst du alle Mac-Adressen mit den dazugehörigen IPs raus... da es zwei sind, wird es wohl nicht soviele Möglichkeiten geben. Ansonsten ein wenig grep-Magie

--> Du musst nur sicherstellen, dass der Rechner (Unbekannte IP) im arp-cache des anderen ist...
ein Ping dürfte da schon reichen.

 

[martin]

Hi

also ich hab das immer über einen ping an das gesamte Subnetz gemacht. Netzmaske dementsprechend verändert (ok dauert dementsprechend lange dann). Damit ist dann früher oder später die gewünschte IP Adresse im Arp Cache aufgetaucht und konnte mit dem erwähnten arp Befehl ermittelt werden.
Wie gesagt...ist sehr Zeitaufwändig, aber ich wüsste keinen schnelleren Weg.

edit: achso.... ich hab natürlich nur meinen Laptop und das entsprechende Gerät ins Netz gehängt, sonst kommen da viel zu viele Adressen raus

 

[mousaka]

Führt den arp -a die gesuchte MAC-Adresse auf?

Auf welchem System probierst du das den? Hast du die MAC-Adresse durch Doppelpunkte getrennt (arp -s 10.0.0.2 00:90:27:bb:cc:dd)?

Hat bei mir letzte Woche unter FreeBSD und einer alten JetDirect-Karte funktioniert.

mousaka

 

[dettus]

guck dir mal das tool thcrut an.
das kann in extrem kurzer zeit grosse netzwerkbloecke durchsuchen.

http://freeworld.thc.org/thc-rut/

ansonsten wuerde ich dir den tip geben einfach mal auf einem anderen rechner tcpdump laufen zu lassen.
vielleicht hast du ja glueck, und das device sendet irgendwas. da steht dann auch die ip-addresse mit dabei.

 

[tom81]

arp -a geht sogar unter Windows... ich habs grad auf einem FBSD 6.2 auch nochmal gemacht... ausserdem zeigt arp -a den gesamten arp-cache an mit allen mac und ip Adressen, die auf den Host zugegriffen haben.

 

[Bummibaer]

Hoi,

wenn Du die MAC kennst kannst Du auch ARPING nehmen. URL: http://www.habets.pp.se/synscan/programs.php - das ist dann die einfachste Lösung.

An sonsten ist der alte "Trick" mit dem ARP-Cache die einfachste Lösung. Damit das geht reicht ein Ping-Scan auf das betroffene Netz aus, da dann jede IP die möglich wäre angesprochen wird - wenn ein Host antwortet steht er dann auch mit IP und MAC im ARP-Cache.

Gruß Bummibaer

 

[morph]

Kann mich dettus und Bummibaer nur anschließen. Arp-ping und tcpdump sind die schnellste Lösung die auch mir einfallen würde.

Arp -a ohne weitere Hilfsmittel kann nicht funktionieren, da sich beide Geräte mit sehr hoher Wahrscheinlichkeit nicht im gleichen Subnetz befinden und die MAC-Adressen deshalb auch nicht im Cache landen.

 

[cla]

Ping auf die Broadcastadresse (ping 255.255.255.255), damit das Gerät angesprochen wurde und im arp-cache landet, und dann ein arp -a hat es bei mir bisher eigentlich immer getan

 

[morph]

@cla

Muss ich bei Gelegenheit mal probieren. Der Ping funzt zwar, aber ich war immer der Meinung dass nur IPs und MACs aus dem gleichen Subnetz im Arp-Cache vorgehalten werden.

 

[CommanderZed]

arp -s hostname MAC-Adresse oder mit -S um einen allfälligen Eintrag zu überschreiben.

Geht sogar ähnlich unter Windows

mousaka

Das ist abslut korrekt und funktioniert, sofern die MAC-Adresse bekannt ist, mit den meisten geräten, in vielen anleitungen zu Printservern und Routern ist das auch genauso beschrieben, hab ich auch schon öfters gemacht, meist allerdings unter windows

 

[d4mi4n]

Nur so, was isn das fürn Gerät?

 

[Herakles]

Es handelt sich um einen WLAN-Router bei einem Kumpel zu Hause.

Ich sitze hier gerade in der Firma und habe da "nur" ein Linux zu Verfügung, ich denke, die Handhabe von ping und arp sollte aber vergleichbar sein. Und wenn ich mich hier mit einem Kabel direkt an einen Accesspoint verbinde und der Vorschlag mit dem "arp -s ..." durchführe, kommt kein ping zurück. Also, hier bei mir habe ich den Vorschlag noch nicht verifizieren können.

Herakles

 

[d4mi4n]

Normalerweise bieten die Hersteller die Möglichkeit das Handbuch online herunterzuladen, war bisher bei allen Accesspoints/Routern/etc. der Fall, dass da dann auch die Default IP drinsteht.

Notfalls kannst ja googlen, ob man da an die Serielle Console rankommt, notfalls mit nem selbstgebastelten Port

Welcher Hersteller ist es denn bzw wie lautet die Bezeichnung des Gerätes?

 

[walt]

Wenn wirklich gar nichts funktioniert (warum auch immer), dann hilft es
einen Rechner mit Wireshark (laeuft unter Unix und Windows) per Cross-Over-Kabel
(muss nicht unbedingt sein, die meisten Geraete haben heutzutage MDI-X ports)
mit dem zu untersuchenden Geraet zu verbinden, Wireshark zu starten und
das zu untersuchende Geraet aus- und wieder einzuschalten.

Falls das zu untersuchende Geraet bereits eine IP-Adresse besitzt,
sieht man das ueber kurz oder lang im Wireshark.

 

[Herakles]

Also, was genau das für ein Gerät ist, weiß ich so nicht, weil es eben bei dem Kollegen zu Hause steht. Es geht mir in diesem Thread auch nicht primär darum, das Problem bei ihm zu lösen, sondern eine generelle Vorgehensweise für ein solches Problem zu finden. Genügend Vorschläge hab ich ja schon bekommen, die mir eigentlich alle zeigen, dass ich zumindest nicht vollkommen unwissend davor stand. Eine Art "Layer 2 Zugriff" wurde nämlich bislang nicht beschrieben.

@walt: was die wireshark-Idee angeht: schon probiert. Habe sogar eine halbe-Liter-Bierlänge lang tcpdump laufen lassen und nichts ist angekommen, auch nicht bei einem Neustart des Gerätes. Dafür war das Bier lecker und kühl.

Herakles

 

[d4mi4n]

Ich nehme mal an auf dem Teil läuft nach dem Reset auf Werkseinstellungen auch kein DHCP?
Hört sich doof an, aber wir wollen ja nichts unversucht lassen

 

[Herakles]

Kein DHCP, nein :-(

Spannend, wie ihr mir helfen wollt, hehe. Also, der Reset bewirkte bisher nichts... Keine default IP gefunden, nichts. Aber ich war ja auch erst einmal an dem Gerät dran und da auch noch mit Bierchen. Ich werde den zweiten Anlauf starten :-)

 

[d4mi4n]

Hersteller anrufen, geht schneller, als das Problem irgendwie anderst zu lösen