MAC-Adressen

[Vaimpír nan Deireath]

Hallöchen,

Frage... wie kann ich in der Eingabeaufforderung (cmd) unter Windows XP alle Mac-Adressen der Rechner im Netzwerk aufrufen. arp /a hab ich schon versucht, da zeigt er mir die Mac-Adresse des Gateways und die Netzwerkadresse... (??) und noch eine die ich nicht identifizieren kann..Wie weiß ich am besten ohne jemand anderen bitten zu müssen, welche IP zu welchem Rechner gehört?

Danke schonmal

[flashpixx]

Hallo,

nicht jeder Client kennt alle MAC Adressen. Zuverlässig würdest Du am Switch über SNMP Protokoll die Informationen erhalten. Was eine Quick'N'Dirty Lösung wäre, Du pingst den kompletten IP Range ab (alle Clients müssen natürlich auf ICMP antworten) und dann fragst Du die Arp Tabelle ab.

Phil

[Vaimpír nan Deireath]

Hmm.. kannst du oder sonstwer mir das ein bisschen leichter erklären? SO gut bin ich noch nicht dass ich das voll kapiere.. ^^

[clickme]

Hmm.. kannst du oder sonstwer mir das ein bisschen leichter erklären? SO gut bin ich noch nicht dass ich das voll kapiere.. ^^

Bitteschön:

Du schreibst dir eine Batch alá

ping -n 01 192.168.10.1

bis

ping -n 01 192.168.10.255

Wenn die Batch durchgelaufen ist gibst du arp /a ein und hast die MAC Adressen.

Ich halte das zwar auch nicht für die ultimative Lösung, aber besser als nix

[deano]

oder per gruppenrichtlinie ein neues script in den logon.

ipconfig /all > c:\mac.txt

und dann ein vb-script was alle zeilen nach "Physikalische Adresse" absucht, die adresse ausliest und dann auf ein netzlaufwerk schreibt.

[clickme]

oder per gruppenrichtlinie ein neues script in den logon.

ipconfig /all > c:\mac.txt

und dann ein vb-script was alle zeilen nach "Physikalische Adresse" absucht, die adresse ausliest und dann auf ein netzlaufwerk schreibt.

Genau, wenn er nicht weiß wie man eine Range via Script durch pingt, wird er Gruppenrichtlinien und vbs beherrschen....

Schöner Ansatz, wird Ihn aber so wie du das "vorschlägst" überhaupt nicht weiter bringen... -______-

[TheFinn]

Genau, wenn er nicht weiß wie man eine Range via Script durch pingt, wird er Gruppenrichtlinien und vbs beherrschen....

Würde ich nicht unbedingt schlußfolgern, Wissen in einem von Dir genannten Bereich setzt nicht unbedingt Wissen im anderen voraus. Das Problem an deanos Vorschlag ist auch eher, daß er mit ipconfig /all natürlich nicht die Adressen anderer Rechner im Netz findet...

Der OP möchte doch die MACs aller derzeit im eigenen Netz aktiven Rechner haben. Anstatt nun mit einem Range die Adressen einzeln durchzuscannen, kann man natürlich auch einfach ein ping auf die Broadcast-Adresse des eigenen Netzes loslassen. Danach stehen im ARP-Cache die MACs der Rechner, die momentan im Netz sind und bereit sind, auf pings zu antworten.

[clickme]

Würde ich nicht unbedingt schlußfolgern, Wissen in einem von Dir genannten Bereich setzt nicht unbedingt Wissen im anderen voraus. Das Problem an deanos Vorschlag ist auch eher, daß er mit ipconfig /all natürlich nicht die Adressen anderer Rechner im Netz findet...

Das ist natürlich richtig, allerdings würde er, wenn er vbs beherrschen würde, selbst eine Batch schreiben können die die Range durchpingt. Nachdem er das nicht kann, bin ich einfach davon ausgegangen das er auch kein vbs kann.

Der OP möchte doch die MACs aller derzeit im eigenen Netz aktiven Rechner haben. Anstatt nun mit einem Range die Adressen einzeln durchzuscannen, kann man natürlich auch einfach ein ping auf die Broadcast-Adresse des eigenen Netzes loslassen. Danach stehen im ARP-Cache die MACs der Rechner, die momentan im Netz sind und bereit sind, auf pings zu antworten.

Das ist richtig, vielleicht weniger Dirty als Quick aber damit bekommt er auch Antworten von Routern, Switches, Druckern, etc. die er evtl gar nicht will und bei meiner variante gleich auslassen kann.

Ich persönlich frage mich sowieso warum man so etwas wollen würde.

[TheFinn]

Das ist richtig, vielleicht weniger Dirty als Quick aber damit bekommt er auch Antworten von Routern, Switches, Druckern, etc. die er evtl gar nicht will und bei meiner variante gleich auslassen kann.

Ich persönlich frage mich sowieso warum man so etwas wollen würde.

1. zur Übung
   
2. in der MAC ist i.A. auch der Hersteller codiert (jedenfalls, wenn man nicht solche Schweinereien macht wie MACs von Hand zu faken...). Diese Information könnte man sich als sinnvoll in einem automatischen Asset Management vorstellen, z.B. um sehr alte NICs mit u.U. nicht mehr supporteten Treibern zu identifizieren.
   Oder auch, um MAC-basierte Paketfilterregeln automatisch anzupassen, die MACs von speziellen Knoten wie Server, Drucker, Switches kommen auf eine Ausnahmeliste, gegen die verglichen wird.
   

Übrigens frage ich mich, wieso bei solchen Aufgaben immer gleich nach VBscript gerufen wird. Findstr und cut reichen da ggfs auch (nur zum manuellen Auslesen, Weiterverarbeitung ist natürlich wieder eine andere Baustelle). Je öfter ich mal ein DOS-Fenster () aufmache, desto überraschter bin ich, daß es selbst bei meinem Lieblingsfeind ein paar brauchbare Kommandozeilentools gibt...

[deano]

ich glaube, dass es eine sie ist

erzähl mir mal, wieso man mit meinem tipp nicht weiterkommen soll?

und wieso "vorschlägst"?

[clickme]

ich glaube, dass es eine sie ist

erzähl mir mal, wieso man mit meinem tipp nicht weiterkommen soll?

und wieso "vorschlägst"?

Damit kommst du und ich weiter, aber der OP nicht.. Er/Sie ist ja schon bei einem simplen ping Befehl überfordert (nix für ungut, Vampir).

Je öfter ich mal ein DOS-Fenster () aufmache, desto überraschter bin ich, daß es selbst bei meinem Lieblingsfeind ein paar brauchbare Kommandozeilentools gibt...

Du hast dich in deinem eigenen Post korrigiert das "DOS Fenster" ist eine ganz normale Kommandozeile und hat, jedenfalls auf NT basierten Systemen, nicht viel mit DOS zu tun.

Und wieso Lieblingsfeind?

[TheFinn]

ich glaube, dass es eine sie ist

Spekulation, ist für mich auch aus dem Profil nicht erkennbar und spielt auch keine Rolle: wenn ich in solchen Fällen die (grammatikalisch) männliche Form benutze, stellt dies keinerlei Unterstellung oder gar Wertung dar, sondern dient einzig der Vermeidung stilistischer Scheußlichkeiten wie "er/sie" oder gar "Binnen-Is"...

erzähl mir mal, wieso man mit meinem tipp nicht weiterkommen soll?

Weil er Dir nur Deine eigene MAC liefert, nicht aber die der anderen Rechner im Netz.

und wieso "vorschlägst"?

Ich glaube, wir haben das alle als Lösungsvorschlag interpretiert, war es nicht so gemeint??? Wie war es denn dann gemeint?

[deano]

der post galt nicht dir.

wenn mir aber jeder pc seine eigene mac-adresse mitteilt, habe ich alle

[TheFinn]

Du hast dich in deinem eigenen Post korrigiert das "DOS Fenster" ist eine ganz normale Kommandozeile und hat, jedenfalls auf NT basierten Systemen, nicht viel mit DOS zu tun.

Schon klar, daher ja auch mein Smiley...

Und wieso Lieblingsfeind?

Weil ich einfach mehr mit Linux/Unix zu tun habe und (mangels eingehenderer Beschäftigung damit) mich gelegentlich dabei ertappe, an der Windows-Kommandozeile Fehlermeldungen zu produzieren, weil meine Finger auf die GNU-Tools unter Linux/Unix geeicht sind. Nimm eine solche Bemerkung nicht gar zu ernst, ich benutze Unix und Windows und sehe auch für beide eine Existenzberechtigung, meine "emotionale Heimat" liegt aber nunmal nicht im Windows-Bereich...

[TheFinn]

der post galt nicht dir.

Sorry!

wenn mir aber jeder pc seine eigene mac-adresse mitteilt, habe ich alle

OK, jetzt verstehe ich auch, wie Du's gemeint hast, ich habe Deinen Post nachlässig gelesen. Dann hast Du natürlich recht, setzt dabei allerdings eine Domäne voraus, die die Rechner "zwingen" kann, ihre Adresse zu verraten. Über ping geht's halt auch in Netzen ohne Domäne.

[clickme]

Weil ich einfach mehr mit Linux/Unix zu tun habe und (mangels eingehenderer Beschäftigung damit) mich gelegentlich dabei ertappe, an der Windows-Kommandozeile Fehlermeldungen zu produzieren, weil meine Finger auf die GNU-Tools unter Linux/Unix geeicht sind. Nimm eine solche Bemerkung nicht gar zu ernst, ich benutze Unix und Windows und sehe auch für beide eine Existenzberechtigung, meine "emotionale Heimat" liegt aber nunmal nicht im Windows-Bereich...

Ich wollte damit nicht trollen oder eine Windows/Linux Grundsatzdiskussion anstoßen. Bei mir ist es nämlich genau umgekehrt. Ich habe zu 99% mit Windows zu tun. Du hast natürlich recht das beide Systemen Ihre jeweiligen stärken und schwächen haben. Das eine mehr, das andere weniger. Auch wenn die Aussage meiner Meinung nach subjektiv ist

[Crash2001]

Hmmm.. du könntest natürlich auch einfach auf dem DHCP-Server nachschauen. Da siehst du, welche MAC-Adresse welcher IP zugeordnet ist und sogar noch, seit wann der Rechner mindestens schon an ist (wann er das Lease erhalten hat).

Voraussetzung dafür ist natürlich, dass keine statischen IP-Adressen festgelegt sind, sondern die REchner ihre IPs über den DHCP-Server bekommen.

Alternativ gibts auch Tools dafür, die einem alle Rechner im eigenen Netz anzeigen können.

[Vaimpír nan Deireath]

Sooooooo, dann beantworte ich mal 2 Dinge:

1. Rischtisch, ich bin ein Mädel !

2. Natürlich weiß ich wie man ping einsetzt. Wer sagt dass ich das nicht kann? Ich hab nur den Rest der Methode nicht verstanden. 'Tschuldigung.

Werd dann mal nach und nach alle Tipps abklappern.. aber erst nachm Mittag. :floet:

[aLeXL]

Wieso macht ihr es euch so umständlich ?

Schau einfach aufm DHCP nach, der zeigt dir wunderschön die IP Adressen und die dazugehörigen Mac Adressen an.

DHCP Server sollte deine Firma ja wohl haben ...

So findet der Op auch ganz ohne irgendwelche große Kenntnisse zum Ziel

[Vaimpír nan Deireath]

Klar, das werd ich auch machen, aber ich soll halt rausfinden wie ich über die Eingabeaufforderung alle MAC-Adressen anzeigen kann ..

[Vaimpír nan Deireath]

Irgendwie hab ichs immernoch nicht rausgefunden wie ich das schaffe

[TheFinn]

Irgendwie hab ichs immernoch nicht rausgefunden wie ich das schaffe

Nun, wie ich es machen würde, schrieb ich in #7: ein ping an die eigene Netzwerkadresse schicken und sofort danach den ARP-Cache anzeigen (arp -a). Das soll wohlgemerkt keine Kritik an den anderen Vorschlägen sein, macht aber im Gegensatz zu jenen keinerlei Annahmen über die vorhandene Infrastruktur (DHCP, Domäne, was auch immer). Damit erhältst Du die MACs aller derzeit aktiven Rechner, die bereit sind, auf ein ping zu antworten. Welches Problem hast Du denn damit, was klappt nicht?

[TheFinn]

die eigene Netzwerkadresse

Damit meine ich natürlich die Adresse des eigenen Netzwerkes, nicht die eigene Adresse im Netzwerk

[geloescht_Muchacho-Man]

Nun, wie ich es machen würde, schrieb ich in #7: ein ping an die eigene Netzwerkadresse schicken und sofort danach den ARP-Cache anzeigen (arp -a). Das soll wohlgemerkt keine Kritik an den anderen Vorschlägen sein, macht aber im Gegensatz zu jenen keinerlei Annahmen über die vorhandene Infrastruktur (DHCP, Domäne, was auch immer). Damit erhältst Du die MACs aller derzeit aktiven Rechner, die bereit sind, auf ein ping zu antworten. Welches Problem hast Du denn damit, was klappt nicht?

Ich hab hab mir die Mühe gemacht eine Batch datei zu schreiben um zu schaun welche IP's im Netzwerk vergeben sind. Hab mir dann im Namen der wissenschaft deinen Rat befolgt und die ARP Tabelle anzeigen lassen... doof is nur das die Liste auf gar keinen Fall vollständig sein kann.

Der Code pingt das Subnetz ab (Subnetzmaske 255.255.255.0) und schreibt das dann in eine Textdatei im Standard Verzeichnis. Die ARP Tabelle hab ich unten drunter angehängt. Das ganze wird wenns fertig ist automatisch geöffnet.

Hier zum Spielen

@echo off

echo 192.168.##.255  (Gilt nur für Subnetmask 255.255.255.0)

set /p lastip=Subnetz eingeben:

echo  Subnetz:  %lastip%

echo  Es wird 192.168.%lastip%.255 gepingt

REM set a=1

For %%a IN (

1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93,94,95,96,97,98,99,100,101,102,103,104,105,106,107,108,109,110,111,112,113,114,115,116,117,118,119,120,121,122,123,124,125,126,127,128,129,130,131,132,133,134,135,136,137,138,139,140,141,142,143,144,145,146,147,148,149,150,151,152,153,154,155,156,157,158,159,160,161,162,163,164,165,166,167,168,169,170,171,172,173,174,175,176,177,178,179,180,181,182,183,184,185,186,187,188,189,190,191,192,193,194,195,196,197,198,199,200,201,202,203,204,205,206,207,208,209,210,211,212,213,214,215,216,217,218,219,220,221,222,223,224,225,226,227,228,229,230,231,232,233,234,235,236,237,238,239,240,241,242,243,244,245,246,247,248,249,250,251,252,253,254

) DO ping 192.168.%lastip%.%%a -n 1 | Find "von" >> IP-Liste_Subnet_%lastip%.txt


echo Die ARP Liste

echo =============

arp -a >> IP-Liste_Subnet_%lastip%.txt

IP-Liste_Subnet_%lastip%.txt

3 Möglichkeiten: 1. Deine These stimmt nicht 2. ich hab einen Denkfehler reingebracht 3. Das kann so nicht funktionieren

[TheFinn]

3 Möglichkeiten: 1. Deine These stimmt nicht 2. ich hab einen Denkfehler reingebracht 3. Das kann so nicht funktionieren

Hmm, in der Tat eigenartig...

Zunächst: Was ich in Beitrag #23 meinte, war natürlich die Broadcast-Adresse, aber das ist nur ein Flüchtigkeitsfehler...

Entscheidender ist: Der ARP-Cache hat eine Vorhaltezeit und die liegt wohl bei gerade mal zwei Minuten, falls keine weitere Datenübertragung erfolgt. Dies betrifft auch Dein Skript. Als ich es bei mir ausgeführt habe, hatte ich anschließend nur die MACs der 'spät' angepingten IPs in der Liste, ich vermute mal, daß das bei Dir ähnlich aussieht?

Die Vorhaltezeit des ARP-Cache läßt sich einstellen (ARP-Tuning über die Windows Registry | ARP-Grundlagen und Spoofing)

Dann irritiert es mich aber eigentlich nur umso mehr, daß ich bei einem Ping auf meine Broadcast-Adresse in der Tat auch nicht alle IPs sehe, die ich sehen müßte. Eigentlich würde ich dann ja vermuten, daß alle 'gleichzeitig' antworten und daher die Vorhaltezeit sich weniger stark bemerkbar macht.

Ich habe daraufhin gerade nochmal mehr als nur einen ping auf die Broadcast-Adresse gegeben, danach den arp-Cache gelesen und die ganze Prozedur sofort danach wiederholt. Beim zweiten Durchlauf standen mehr Adressen im Cache als beim ersten. Es scheint da also auch eine gewisse Latenz zu geben bzw. evtl. werden Pakete verworfen, wenn zuviele Rechner gleichzeitig auf ARP-Requests zu antworten versuchen und der Switch nicht mehr so ganz nachkommt? (Spekulation)

Übrigens habe ich eben mal kurz unseren Netzwerk-Guru nebenan gefragt und der meinte dann, daß es auch durchaus möglich sei, daß eine Adresse auf Broadcast-Pings nicht antwortet, auf direkt an sie gerichtete aber sehr wohl...

Es scheint also tatsächlich am zuverlässigsten zu sein, die Adressen einzeln abzugrasen, also nach dem erfolgreichen Anpingen einer IP sofort deren MAC abzufragen und sich erst danach die nächste vorzunehmen.

I stand corrected, vielen Dank für den interessanten Hinweis!