探測方法步驟:
1、未知設備接入交換機的某個被雙向鏡像的端口;
2、監聽鏡像端口獲取arp廣播包
3、屏蔽已知的ip和ip段
如(屏蔽已知IP:192.168.1.100、屏蔽已知IP段:192.168.5.0/24):
tcpdump -i eth1 -p arp and host not 192.168.1.100 and net not 192.168.5.0/24
“tcpdump監聽的期間需要調整使儘可能的屏蔽所有已知IP,且需要關閉再啓動未知設備”
發現如下的陌生IP:
14:41:10.068809 arp who-has 10.1.1.2 tell 10.1.1.1
14:41:11.068768 arp who-has 10.1.1.2 tell 10.1.1.1
14:41:12.068752 arp who-has 10.1.1.2 tell 10.1.1.1
大致可以判定此設備的IP爲10.1.1.1。
再進一步的測試:如已知此設備有web服務,可以連接確定是否爲此設備。