Retrouver une machine a partir de sa mac-adress
Suite a un conflit d’IP (perte de paquet 3/5), j’ai eu besoin de trouver la machine qui utilisait cette adresse.
Tout d’abord sur la machine source j’ai change l’adresse ip provisoirement pour qu’il puisse retrouver du réseau, puis je ping l’ip incriminé pour voir si elle répond sur le réseau (ce qui fut le cas).
j’ai besoin de sa mac-adress, pour cela je fais une requête arp
1 |
$ arp -a 192.168.3.100 |
qui me répond
1 |
(192.168.3.100) à 5e:00:63:2a:c9:1b |
Pour en savoir un peu plus sur cet machine,j’ai besoin de connaître les ports ouverts.
Avec Nmap je devrais avoir l’information, installer le paquet si besoin.
1 |
$ sudo apt install nmap |
puis lancer un scan.
1 |
$ sudo nmap -sT 192.168.3.100 |
1 2 3 4 5 6 7 8 9 |
Starting Nmap 7.01 ( https://nmap.org ) at 2017-05-22 23:29 CEST Nmap scan report for 192.168.3.100 Host is up (0.034s latency). Not shown: 999 closed ports PORT STATE SERVICE 22 ssh filtred 443/tcp open https MAC Address: 5e:00:63:2a:c9:1b |
Accès SSH ne passe pas et une connexion sur https://192.168.3.100 me donne rien.
j’ai vérifié sur le site https://macvendors.com pour voir a quel constructeur appartenait cette adresse.
En retour j’ai eu “fournisseur introuvable”, de la il y avait une très grande probabilité qu’il s’agisse d’une VM.
Me reste plus qu’a me connecter sur les switchs pour traquer cette mac-adress.
Il s’agit de Swith Dell Powerconnect, environ une quinzaine + un Arista.
Sur chaque Switch je lance un show mac address-tables. jusqu’à trouvé le port sur lequel la mac-adress répond
Les switchs sont “trunkés” entre eux pour arriver sur le cœur de réseau, un Arista.
Une fois identifié le switch, puis le port, (G14/0/1), il y a 2 solutions
1) Couper tout le trafic sur ce port et attendre que la personne se manifeste.
2) Suivre le câble réseau pour identifier la machine, j’ai bien fait il s’agissait d’un serveur Proxmox avec une 30taine de VM’s en marche ..
Il m’a suffit ensuite de me connecter sur le Proxmox pour retrouver la mac-adresse, donc la vm puis le propriétaire de la vm 🙂
temps passé 1h mais un très bon TP