Как получить больше информации о потенциальном сетевом загрузчике?

1128
Dov

У меня настроена домашняя сеть с относительно хорошим паролем. Я нахожусь в Mac OS X 10.6 (Snow Leopard) и иногда замечаю, что в общей папке моего Finder появляется компьютер, который не является моим собственным (поле «pe-xpjalle», изображенное ниже). У него есть тенденция приходить и уходить.

нахлебник

Как я могу узнать его MAC-адрес или что-то, чтобы я мог заблокировать его? Я проверил свои «Журналы и статистику» в утилите аэропорта и не увидел этот компьютер под клиентами DHCP. Я бы не хотел менять свой пароль, так как у меня довольно много устройств, которые мне нужно обновить. Есть ли еще какая-то причина, по которой он появился в моей сети, кроме как угадать мой пароль?

Обновление : я исправил URL-адрес Dropbox выше (как неловко, я новичок в Dropbox. Спасибо за внимание, Даг.)

Обновление 2 : я попытался нажать «Подключиться как ...» просто так, и получил диалоговое окно ниже. Теперь я еще меньше понимаю, что происходит, чем раньше. У меня не работает Parallels VMware, только следующее: Transmission, NetNewsWire, Mail, Things, Safari, iTunes, Photoshop, Pages, Yojimbo, Preferences, AppleScript Editor, Обновление программного обеспечения, Airport Utility и Terminal. Я не думаю, что кто-то из них создает виртуальную сетевую машину, верно? И ни у одной машины VMware никогда не было названия, напоминающего «pe-xpjalle».

диалог

Обновление 3 : Я только что изменил свои пароли в обеих сетях N и G, и я все еще вижу это, поэтому я сильно сомневаюсь, что это кто-то, кто узнал мой пароль (теперь уже дважды). Я действительно в тупике.

7
Если он не отображается в таблице DHCP-клиентов, я сомневаюсь, что он в вашей сети. rodey 14 лет назад 0
@rodey Довольно просто определить пригодные для использования адреса по анализу трафика, а затем просто статически назначить. Я ожидал бы, что кто-то пытается быть хитрым, чтобы сделать это, а не принимать DHCP (чтобы они не отображались в таблице). Если вы взломаете ключ, это тоже очень просто. Не то, чтобы компьютер ничего не понимал Джо, случайный сосед по загрузке, как правило, делал бы все же. Brian Knoblauch 14 лет назад 1

7 ответов на вопрос

9
Russ Warren

Если он уже сломал ваше шифрование, фильтрация MAC-адресов никуда вас не приведет. Самый простой и безопасный способ защитить вашу сеть - это изменить пароль к вашей сети и включить шифрование WPA2.

Подумайте о том, чтобы полностью сбросить беспроводную связь Очевидно, что если вы передвигаетесь с ноутбуком, он вам понадобится, но если это просто ситуация «я не чувствую, что вам нужно установить проводку» на стационарных машинах, вы, возможно, захотите пересмотреть это! Brian Knoblauch 14 лет назад 0
Думаю, мне трудно представить, что кто-то сломал мое шифрование. Я живу в пригороде, и, вероятно, у меня меньше полудюжины соседей, даже в пределах досягаемости моей сети. Моя сеть G обслуживается одним Airport Express, а моя сеть 2-Airport-Extreme - только N, что делает потенциальных клиентов еще более дефицитными. Dov 14 лет назад 0
Как уже упоминалось в моем последнем обновлении, я изменил свои пароли и всегда включал WPA2. Похоже, что это не фактический человек в моей сети. Есть идеи? Dov 14 лет назад 0
1
Doug Harris

Если он не отображается под клиентами DHCP, вы уверены, что он находится в вашей локальной сети?

Я заметил, что кэш в разделе общего доступа Finder обновляется не слишком часто. Если ваш компьютер - ноутбук, я думаю, что этот pe-xpjalle был найден в другой сети, а затем все еще обнаружился, когда вы вернулись домой.

С другой стороны, возможно, ваша машина переместилась в другую сеть.

Возможный?

Я не думаю, что это было бы так, поскольку машина, на которой я это замечаю, - это Mac Pro, и чужой компьютер будет появляться и исчезать неоднократно. Я подключен через Ethernet, и в настройках сети мой Аэропорт отключен, поэтому я вообще не должен быть в роуминге. Dov 14 лет назад 0
1
Christopher Karel

Относительно примечания, вы можете использовать arpкоманду для определения MAC-адреса любого IP-адреса, с которым ваша машина недавно установила связь.

arp -a покажет вам всю вашу таблицу MAC.

Дополнительную информацию можно найти здесь: http://developer.apple.com/mac/library/documentation/Darwin/Reference/ManPages/man8/arp.8.html.

Я выполнил эту команду, и я получил 6 ответов. 5 находятся в моей локальной подсети 192.168.0. *, Другая - в 169.254.255.255, что совсем не выглядит знакомым. Из 5 адресов 192.168.0. * 192.168.0.1 - мой маршрутизатор, и я могу учесть все остальные в списке DHCP, кроме одного. 192.168.0.255 нет в моем списке DHCP-клиентов и фактически находится за пределами моего диапазона DHCP, так как конечный адрес установлен на 192.168.0.200. Это выглядит подозрительно ... Dov 14 лет назад 0
Обычно это широковещательный адрес. Это не реальное устройство, а IP-адрес, предоставленный маршрутизатором, который пересылает свои пакеты всем другим подключенным устройствам. Это нормально и не должно изменяться, так как это требуется для работы клиентов DHCP. marcusw 14 лет назад 0
Тогда как насчет этого адреса 169.254.255.255, который полностью выходит за пределы моей локальной сети? Dov 14 лет назад 0
169.254.xx - это IP-адреса автоконфигурации. А именно, когда мой клиент не может получить IP-адрес через DHCP, он выдает себя из этого диапазона. 169.254.255.255 - широковещательный адрес для этой сети. Christopher Karel 14 лет назад 0
Хорошо, тогда результат «arp -a» не дал мне никакой информации о моем потенциальном нарушителе. В любом случае, спасибо, это приятно знать. Dov 14 лет назад 0
1
Gordon Davisson

Из обновлений 2 и 3 действительно звучит так, будто на вашем компьютере работает что-то странное. Вот несколько приемов, чтобы изучить эту возможность: во-первых, вы можете получить IP-адрес фантома с помощью команды findsmb:

$ findsmb  *=DMB +=LMB IP ADDR NETBIOS NAME WORKGROUP/OS/VERSION  --------------------------------------------------------------------- 192.168.0.12 PE-XPJALLE [ WORKGROUP ]

Если это не соответствует IP-адресу вашего Mac (как предлагает обновление 2), попробуйте запустить, lsofчтобы увидеть, какая программа работает в сети netbios / microsoft на вашем компьютере:

$ sudo lsof -i | egrep "netbios|microsoft" Password: [enter your admin password here] launchd 1 root 103u IPv4 0x07af52d4 0t0 TCP *:microsoft-ds (LISTEN) launchd 1 root 105u IPv4 0x05914740 0t0 TCP *:netbios-ssn (LISTEN) nmbd 11168 root 6u IPv4 0x0755b370 0t0 UDP *:netbios-ns nmbd 11168 root 7u IPv4 0x064f8054 0t0 UDP *:netbios-dgm nmbd 11168 root 8u IPv4 0x05a48e14 0t0 UDP 192.168.0.12:netbios- ns nmbd 11168 root 9u IPv4 0x056f3810 0t0 UDP 192.168.0.12:netbios-dgm smbd 11175 root 19u IPv4 0x05914740 0t0 TCP *:netbios-ssn (LISTEN) smbd 11175 root 20u IPv4 0x07af52d4 0t0 TCP *:microsoft-ds (LISTEN)

В приведенном выше примере у меня включен общий доступ к файлам Samba, поэтому я вижу его smbd (демон SMB) и nmbd (демон привязки имен), а также активную систему launchd (запускающий smbd при необходимости) в соответствующей сети порты. Обратите внимание, что если у вас есть какая-то виртуальная машина, работающая на вашем Mac, я не думаю, что это lsofбудет показано, поскольку они подключаются к сети на более низком уровне.

Я давно перестал использовать Parallels Desktop, но, видимо, я не удалил его полностью, поэтому пара его демонов все еще работала. У меня не было возможности сначала запустить findmb, но это, вероятно, помогло бы указать на это. С момента его удаления я еще не увидел pe-xpjalle на своей боковой панели. Я до сих пор не знаю, откуда появилось это имя, но, похоже, это было сделано. Dov 14 лет назад 0
1
Dov

На данный момент кажется убедительным, что все это было вызвано остатками моей установки Parallels Desktop (в частности, некоторым сетевым демоном), которые не были удалены должным образом, когда я переключился на VMware Fusion. После полного удаления Parallels, как описано здесь, я не видел «pe-xpjalle» на своей боковой панели. Спасибо за помощь.

Для тех, кто следит, он появился сейчас впервые с декабря. И я вообще не переустанавливал Parallels и даже недавно не запускал (или не обновлял) VMWare. Dov 14 лет назад 0
0
mpeterson

Часть «PE-XP» этого названия заставляет меня думать о WinPE, например, на компакт-дисках загрузки / восстановления Windows. Вы не запускали ни одного из тех в последнее время? Может быть, это просто спящая запись из этого? (Выстрел в темноте..)

Кроме того, что происходит, когда вы перезагружаете маршрутизатор? Этот жулик воссоединяется сразу? Вы отключили столько устройств в своей сети, сколько сможете (сетевое хранилище, другие ноутбуки, принтеры и т. Д.), Чтобы убедиться, что это не что-то в одной из ваших систем?

Нет, я давно ничего не запускал, связанный с Windows. Что касается других устройств, все мои устройства подключаются через DHCP, и все они отображаются в списке клиентов DHCP в утилите аэропорта. Мое единственное сетевое хранилище - это USB-накопитель, подключенный к моей утилите аэропорта, а мой единственный принтер подключен через USB к моему компьютеру. Dov 14 лет назад 0
0
nhinkle

Если пользователь действительно подключен к вашей сети (что, по мнению некоторых здесь, может вызывать сомнения), вы сможете увидеть трафик, исходящий от него, если вы некоторое время запускаете анализатор пакетов. Просто ищите любой трафик, исходящий от IP-адреса, кроме тех, которые вы назначили компьютерам в вашем доме. Или, если у вас нет каких-либо устройств в течение определенных частей дня, попробуйте запустить захват. Любой трафик, который появляется, вероятно, является вашим нарушителем. Как только вы захватите некоторый трафик, вы получите их MAC-адрес и сможете принять соответствующие меры.

Я никогда раньше не использовал анализатор пакетов - есть ли какие-нибудь простые в использовании для OS X (желательно с каким-то графическим интерфейсом)? Dov 14 лет назад 0
Больше всего я использую WireShark. Вы можете скачать его бесплатно с их сайта . Он имеет графический интерфейс и достаточно прост в использовании, если вы читаете документацию. nhinkle 14 лет назад 0
Извините за это - очевидно, HTML ссылки не работают в комментариях. Позвольте мне попробовать еще раз ... http://www.wireshark.org/download.html nhinkle 14 лет назад 0

Похожие вопросы