探测方法步骤:
1、未知设备接入交换机的某个被双向镜像的端口;
2、监听镜像端口获取arp广播包
3、屏蔽已知的ip和ip段
如(屏蔽已知IP:192.168.1.100、屏蔽已知IP段:192.168.5.0/24):
tcpdump -i eth1 -p arp and host not 192.168.1.100 and net not 192.168.5.0/24
“tcpdump监听的期间需要调整使尽可能的屏蔽所有已知IP,且需要关闭再启动未知设备”
发现如下的陌生IP:
14:41:10.068809 arp who-has 10.1.1.2 tell 10.1.1.1
14:41:11.068768 arp who-has 10.1.1.2 tell 10.1.1.1
14:41:12.068752 arp who-has 10.1.1.2 tell 10.1.1.1
大致可以判定此设备的IP为10.1.1.1。
再进一步的测试:如已知此设备有web服务,可以连接确定是否为此设备。
