Узнать айпишник по сетевому имени
 

Люди, подскажите как узнать айпишник по сетевому имени? (комп не пингуеться)


Ситуация такая, какойто хитрец в нашей организации грузиться с winxpe и соответственно в сети у него такое имя. Хотелось бы узнать что это за компьютер и для начала узнать айпишник.

нет ответа или не разрешается имя?

Не разрешаеться имя. Он наверное уже вышел и загрузился с нормальной винды. Но на будущее, может он зайдёт снова.

Непонятно, а откуда тогда вы взяли это - winxpe ?
Я так понял, вы увидели левый winxpe в сетевом окружении и пингом хотели узнать его IP. Наверняка прикрыт ICMP брандмауэром. Но IP вам наверняка ничего не даст. Злоумышленник мог взять любой свободный ( и даже несвободный). MAC - немного ближе к вашему поиску. Хотя тоже подменить можно.

Вот во всех этих предложениях ты полностью прав. Но вопрос стоит в том что "хотелось бы узнать что за компьютер". Если есть у кого какие мысли по этому поводу, помогите.

Ну, для начала посмотреть MAC
arp -a
Если левый комп включен и виден в сетевом окружении, то в результатах arp будет его IP и MAC.
По MAC'у можно определить производителя сетевой карточки. Может что-то подскажет. Можно попробовать просканировать полученный по arp'у IP, и что-то возможно всплывет еще.
Но сканирование может заметить хозяин.
Можно попробовать вычислить местонахождение злоумышленника по свичам, если они "умные", то несложно. Если неуправляемые, то сложнее.
Поскольку комп виден в сетевом окружении, на нем работает служба сервера, возможно не прикрыт доступ к скрытым системным папкам, возможно доступно что-то еще.
Можно попробовать искусственно создать интенсивный трафик между вами и искомым компом и пройтись по индикации свичей, может и удастся вычислить. Есть такая утилитка netcat, с ее помощью можно сконструировать какой-нибудь, пусть и некорректный пакет TCP или UDP, заставляющий отзываться хотя бы руганью искомый комп, зациклить это обращение, поставить анализатор трафика и поочередно отключать шнурки на свиче (варварство конечно), пока ответ не пропадет. Возможно, удастся обойтись и без отключения, только индикацией.

Извини, но немного не понял что такое arp несталкивался с этим. Можешь объяснить подробно что к чему и куда.

На счёт того что заподозрит он или нет мне пофиг, это как бы не важно. Тут идёт дело такое, что у наша организация имеет достаточно секретные документы и в связи с этим закрыты все юсб и дисководы. Он (теоретически) поставил в биосе загрузку либо с сидюка либо с юсб на которых стояла winxpe. Мак адрес и производитель ничего не дадут, у нас больше 100 компов и все они крафтвэи с одинаковымим внутренностями.

Свечи вроде умные.

ARP - задает соответствие IP физическому (MAC) адресу сетевой карты. По arp -a получишь список
вроде этого:
Адрес IP Физический адрес Тип
192.168.0.7 00-02-44-05-0a-85 динамический
192.168.0.8 00-02-44-0c-06-5a динамический
.....

192.168.0.7 - IP-адрес компа, 00-02-44-05-0a-85 MAC-адрес его карты.

Если компы одинаковые (и с одинаковыми сетевыми картами), а в сетке, например появился левый ноутбук, его MAC может сильно отличаться от остальных старшей частью адреса. Что-то мне кажется, что это именно левый ноутбук, который подключили к сетке.
Если это так, то к ним можно подключиться соответствующим софтом (должен быть в комплекте поставки) и найти к какому порту данного свича подключена сетевая карточка с левым MAC'ом.
И еще одно, если есть сервер DHCP, то в его оснастке легко найти в арендованных адресах, какой IP и MAC у winxpe. А MAC - это уже конкретный компьютер, Вычислить легко. Умные свичи позволяют отключить порт - и сам прибежит.

Это вот я на любом компе в рабочей групе наберу эту команду и он у меня выдаст айпишники с соответствиями их макам ?

DHCP то есть, но он на серваке, который в домене и не имеет отношения к той рабочке, в которой был замечен нарушитель.


Если это ноутбук, то какой смысл ему грузиться с winxpe. Если это нашь комп, то значит мак у него будет идентичен сотне таких же компов и значит злоумышленик не будет найден?


Есть ещё варианты?

Это как? Рабочая группа не входит в локальную сеть, где находится сервер с DHCP? Какие адреса в рабочей группе: динамические или статические?

Чушь. mac адрес конечно можно изменить, но это вещь уникальная, однозначно идентифицирующая сетевую карту.
ip адрес он виртуален, т.е. не имеет четкой привязки.
МАС адрес

Вот к чему ты мне это написал??? Спасибо конечно, но это к теме не имеет никакого отношения. извини.

Ultrix, я к тому что не может в сети существовать 100 одинаковых MAC адреса. Сеть просто окажется неработоспособной.
Если свичи умные, то контролировать по их таблицам.
Из этого следует, что имя у него все-таки есть, и он где-то "засветился"
Можно посмотреть в сторону сетевых сканеров.
nmap, wireshark, nping(не по одному адресу, а в несколько потоков.)

если комп виден в сетевом окружении, то его МАС адрес не будет в таблице МАС адресов.
Пример:
Доменная сеть. 300 компов. По 100 на этаж. На каждом этаже своя подсеть. Все 300 видны в сетевом окружении.
вводим arp -a, и видим только несколько соответствий IP\MAC - это те машины, к которым я напримую обащлся: почта, ДНС и прочее.
+ находясь на первом этаже, я никогда не увижу МАС двух других этажей. (вы пингуете www.ya.ru но вы не видите МАС сервера)

Чтобы узнать МАС адреса всех компов по подсетям, можно использовать снифиры. Их полно, к примеру XSharez.

Как бы никто это и не оспаривал, мне кажеться это всем известно. Если ты зацепился за слово "идентично" то я имел ввиду похоже, а не одинаково.


А вот тут можно пожалуйста поподробней, я с этим не сталкивался и не зная с чего начать.

ping /? не помогает??? :)
например, ping -a <namecomp> выдает IP-адрес ПК, но это поможет только в том случае, если IP-статический...
вот только что даст знание IP нарушителя?

Какие симптомы? Т.е. где и на чем он засветился?

Как к ним организован доступ? Хотя, если не входя в домен использовать для подключения к шарам доменный аккаунт, можно снять любую информацию... и пофиг политики. Можно попробовать включить аудит на доступ к проблемной информации и посмотреть с каким именем её смотрят.

я пользовался ipscan.

Ultrix, сегодня отсутствовал, поэтому продолжу.
Ваш левый комп, похоже получает адрес по DHCP. Рабочая группа, домен, ОС, - все это не играет никакой роли. В сетях Ethernet данные (протокол IP, ICMP, UDP и т.п.) передаются кадрами, адресуемыми физическим адресом сетевой карты - MAC-адресом отправителя и MAC-адресом получателя. И никак иначе. Именно по MAC и найдете этот комп. Вы данные DHCP-сервера смотрели ?
exo, MAC вы не видите в 2-х случаях:
- arp-кэш не актуален (по таймауту, принудительном удалении)
- компьютер находится в другой подсети, тогда обмен с ним выполняется через маршрутизатор, и в кэше вы получите MAC маршрутизатора.

exo, это не совсем по теме, но в частном случае вы правы, наличие имени компа в сетевом окружении означает, как минимум, общение с главным обозревателем сети. Если ваш комп таковым не является, то для актуальности arp-кэша нужно инициировать обмен с ним по IP-протоколу.
Ultrix, т.е. попытка входа, а затем arp -a.
Когда вы будете знать MAC, найти злоумышленника не составит особого труда. Даже если он будет работать на этом компьютере в легальной ОС, его MAC останется прежним (если он, конечно, не кул-хацкер и занимался подменой). Если у вас используется программная инвентаризация, (а для сети из 100 компов очень не мешало бы) - MAC как правило можно взять из ее данных. Если инвентаризации нет - масса вариантов. Например, скриптом входа в домен выполнять ipconfig /all с записью результатов в файл.

Тему можно закрыть. Это сетевое имя больше не появлялось в рабочке.

В диашсипи ничего нет.