¿Packet Sniffer? Cómo saber quien tiene definida un IP Virtual...

[Neftali [Germán.Estévez]]

Se trata de una red con bastantes ordenadores. Todos ellos tienen direcciones 192.168.80.20, 192.168.80.21, 192.168.80.23,....
Al instalar un dispositivo nuevo en la red en una dirección 192.168.31.55(*) nos hemos dado cuenta de que está dando conflictos de Red por IP. Debe haber algun equipo que tiene definida una IP virtual que coincide con esta (*).

Si haces ping funciona a esta IP (*). Y esa IP sólo tiene abierto un puerto (el 8081), donde se va grabando un LOG; Si accedes por HTTP a la dirección: 192.168.31.55:8081 obtienes esto:

-------------------------------------------------------------
ePolicy Orchestrator Agent Version - 2.5.0.168

20030129083257: Agent: Generating Agent private key...
20030129083258: Agent: Generating Agent public key...
20030129083258: Agent: Updating plug-in DLLs
20030129083258: Agent: Agent service is now running
20030129083258: Agent: Checking MAC address...
20030129083258: Agent: Checking computer name...
20030129083258: Agent: Generating Agent ID...
........ continua

-------------------------------------------------------------

Se trata de un programita de la casa McAfree (no es nada malo), el problema es que no sabemos qué ordenador está grabando ese log en esa dirección. Todos los ordenadores tienben McAfee y alguno debe tener esta característica activada.

EL PROBLEMA: Nos gustaría saber qué ordenador es el que tiene definida esa IP virtual (para cambiarla o desactivar esta característica y que desaparezcan los conflictos). ¿Alguna idea?
He puesto en el título lo de "Packet Sniffer", porque no he usado ninguno y no se si algun programa de este tipo nos podría dar la solución (quien está enviando pauqtes a esa dirección) ¿Es así?
¿Hay alguna otra cosa más sencilla?

Como véis no "domino" mucho el tema de redes, así que a ver si me podéis echar un cable.

Gracias.

[[white_zombie]]

Si he entendido bien consigues hacer un ping al ordenador que no sabes donde esta no?

Si esto es asi tal vez te sirva saber el nombre de ese ordenador, hay escaneadores de puertos y sniffers que ademas de la IP te dan el nombre del equipo.

Un escaneador de puertos sencillo es el superscan, uno muy potente es el http://insecure.org/nmap/download.html y el mejor sniffer que conozco es el wireshark (antes llamado ethereal) http://www.wireshark.org/download.html.

Con wireshark si tu red esta hecha con hubs y no con switch puede ver todo el trafico de la red, es una buena forma de espiar lo que hacen los trabajadores.

[Neftali [Germán.Estévez]]

Cita:

Empezado por white_zombie

Si esto es asi tal vez te sirva saber el nombre de ese ordenador, hay escaneadores de puertos y sniffers que ademas de la IP te dan el nombre del equipo.

Estoy con alguno de ellos, pero ni los que revisan los equipos de la red, ni los que escanean puertos ni demás me dan respuesta.
Parece que sólo tenga activo el puerto 8081 que por donde se accede a esa especie de Log.

Sin nombre y sin nada más...

Gracias.

[[seoane]]

¿De cuantos ordenadores estamos hablando? ¿se podría ir mirando uno por uno, o son demasiados?

Yo en redes no estoy mucho mas preparado que tu Neftali, así que solo se me ocurren soluciones muy simples. Por ejemplo, ir equipo por equipo haciendo "ipconfig /all" hasta encontrar el que esta usando esa ip.

Por otro lado se me ocurre usar un script, pero entonces habría que saber como esta montada la red, y si existe la posibilidad de ejecutar un script en todos los equipos de forma automatica.

También se me ocurre obtener la MAC a partir de la ip, pero si no conoces la MAC de todos los equipos de poco nos va a valer , además si esta es "virtual" vete a saber cual nos devuelve.

Lo que si no entiendo muy bien, es como piensas usar el sniffer, si los ordenadores están conectados a través de un switch y no de un hub, algo de lo mas logico, el sniffer te servirá de poco porque solo veras los paquetes que entran y salen de tu propia maquina

[[fjcg02]]

Si tienes un hub sólo te queda hacer lo que ha dicho seoane: ipconfig de cada equipo hasta dar con el que tenga definida la dirección.
Si tienes un swith/varios switches, prueba esto:
ejecuta desde una ventana de comandos
tracert 192.168.31.55 --> Editado para poner la ip

te dará las direcciones de los dispositivos por los que pasa.

Alguna de las direcciones será un switch
ejecuta
telnet dirección_switch --> Editado para aclara la ip

en teoría y si no es un switch de chichinabo, tendrías que abrir una sesión en el mismo. Ahí, tirando de manula deberías encontrar los comandos que visualicen el tráfico del mismo, y creo que encontrarías la boca del switch en la que estaría conectado el 'parato' en cuestión.

Si no es así, me dices para que pregunte a los boys de Comunicaciones del currelo.

Ya nos dirás.

Saludos
PD: Te recomiendo el mitico INVENTARIO de la red, en la que registres los datos mínimos de los equipos. Otra opción es poner un servidor DHCP para no volverte loco, o definir rangos de ip's para distintas zonas del edificio. Por lo menos los disparos serían aproximados.

[sinalocarlos]

perdon por insistir

http://img513.imageshack.us/my.php?image=pingsy4.png

no se si este entendiendo lo que se pretende hacer?

[Neftali [Germán.Estévez]]

Cita:

Empezado por sinalocarlos

perdon por insistir

Gracias, pero el -a no devuelve el nombre.

[Neftali [Germán.Estévez]]

Cita:

Empezado por fjcg02

...te dará las direcciones de los dispositivos por los que pasa.
...telnet

Gracias por los comentarios.
El tracert da dos pasos; El servidor de la red y el equipo en cuestión.
El telnet nada.

El resto de cosas que he intentado por ahora me dan "Port unreachable".
Parece como si fuera un equipo con sólo el puerto 8081 abierto y nada más presente; De ahí que nos llevó a pensar que fuera una IP virtual. Cualquier otra cosas que se intenta no funciona. Además de que sabemos que no hay ningun equipo así...

[Neftali [Germán.Estévez]]

He estado haciendo algunas pruebecillas con WireShark, pero ya os he dicho, que esto no es lo mío y hay cosas que me "suenan a chino"...

El ping bien, pero el resto (Tracert, ping -a,...) dan como respuesta, error, puerto no accesible y similares...

[Neftali [Germán.Estévez]]

Cita:

Empezado por seoane

¿De cuantos ordenadores estamos hablando? ¿se podría ir mirando uno por uno, o son demasiados?

Demasiados.
Y de distintas delegaciones.
Digamos que esa opción es la última de las últimas...

Cita:

Empezado por seoane

...además si esta es "virtual" vete a saber cual nos devuelve.

todo ceros...