IP eines Druckers anhand der Mac herausfinden

[El Criminale]

Hallo,

mit Wireshark habe ich mal unser Lan gescannt ( 600 Clients, 200 Lan Drucker) und einen Drucker gefunden, der Protokolle verwendet, die ich nicht möchte. Jetzt habe ich ja durch Wireshark nur die Mac Adresse, wie bekomme ich nun die passende IP Adresse hereaus. Der Druckername wird in Wireshark ja leider nicht angezeigt und die ganzen ARP Geschichten gehen bei Druckern ja nicht. Alle Drucker haben eine feste IP, die Clients stehen auf DHCP.

Danke für Eure Antworten.

Gruß El

[flashpixx]

Der Druckername wird in Wireshark ja leider nicht angezeigt und die ganzen ARP Geschichten gehen bei Druckern ja nicht. Alle Drucker haben eine feste IP, die Clients stehen auf DHCP.

Wieso geht Arp nicht? Du benötigst Arp immer wenn Du IP zu MAC Adresse auflösen willst.

[pruefer_gg]

Wieso geht Arp nicht? Du benötigst Arp immer wenn Du IP zu MAC Adresse auflösen willst.

Eben. ARP würde nur weiter helfen, wenn er die IP schon hätte bzw. kennen würde! ;-)

Aus den Datenpaketen, die Du per Wireshark mitgeschnitten hast, kannst Du keine Infos raus lesen. Zum Bsp. einen Druckernamen, den Typ oder so?

Was sind das denn für Protokolle, die Du nicht haben möchtest?

GG

[flashpixx]

Eben. ARP würde nur weiter helfen, wenn er die IP schon hätte bzw. kennen würde! ;-)

Unter BSD liefert "arp -a" eine Liste der Zuordnung IP <-> MAC. Sobald entsprechende Broadcast Pakete oder z.B. ein IP Scan durchgeführt wurde, sollte somit die Zuordnung möglich sein.

[pruefer_gg]

Unter BSD liefert "arp -a" eine Liste der Zuordnung IP <-> MAC. Sobald entsprechende Broadcast Pakete oder z.B. ein IP Scan durchgeführt wurde, sollte somit die Zuordnung möglich sein.

Aber nur, wenn es bereits eine Verbindung zwischen dem PC und dem Drucker gab - d.h. wenn ein ARP-Request vom PC in Richtung Drucker (u.U. auch umgekehrt) gesendet und beantwortet wurde. Und dann hätte er die Pakete vermutlich (inkl. IP-Adresse) bereits auf dem Netz gesehen!

Abgesehen davon, ist dieser Eintrag flüchtig, d.h. er steht nur wenige Minuten in der ARP-Tabelle.

BTW: Unter Windows gibt es diesen Befehl auch!

Einen Versuch ist's aber Wert!

GG

[flashpixx]

Im worst-case würde ich einfach mit nmap den kompletten IP Range einmal durchscannen und die ARP Tabelle einmal in eine Textdatei schießen und dann per Hand nachschauen.

Es sollte ja reichen, dass die entsprechenden Geräte auf den Ping antworten.

Andernfalls würde sich ja noch anbieten an den zentralen Switches die ARP Tabelle auszulesen, dann hätte man Port und dazu auch direkt den Anschluss des Gerätes

[Bkmzde]

Dieses Workaround hat gut funktioniert:

Quick workaround using built-in Windows tools (assuming you're using 192.168.1.* and xx-xx-xx-xx-xx-xx is the problem MAC address in lowercase):for /l %i in (1,1,254) do ping -n 1 -w 1 192.168.1.%i

arp -a | find "xx-xx-xx-xx-xx-xx"The top line sends out a bunch of pings but doesn't stop to wait for the responses (the response packets will still populate the ARP table). The second line prints the arp table (which should at that point contain all the active machines on your network) and finds the line you're interested in.

Allerdings würde ich -w auf 1000 setzen. Da sparst du dir das händische suchen.

for /l %i in (1,1,254) do ping -n 1 -w 1000 192.168.1.%i & arp -a | find "xx-xx-xx-xx-xx-xx"

LG

Bkmzde

Bearbeitet 13. September 2010 von Bkmzde
ein "&" zuviel

[schepp]

Ansonsten tuts auch ein Broadcast Ping mit anschließendem grep auf arp -a.

Gruß