Discussion :

[ALT]

Bonjour à tous

Je cherche en vain une commande (que j'ai déjà utilisée jadis) me listant les machines connectées sur le réseau local avec leur adresse IP &/ou leur nom DNS, leur adresse MAC...

Quelqu'un a-t-il une idée ?

D'avance, merci de votre aide.

[gorgonite]

en consultant la table arp, tu auras toutes les machines branchées sur ton switch
sinon un ping broadcast si les machines l'acceptent

[ggnore]

Si les points de suspension ont une importance, tu peux aller beaucoup plus loin et installer ocs-ng et glpi.

ça t'offrira l'opportunité :

• de connaître tous le matériel dont sont composées tes machines
• tous les programmes qui y sont installés
• de référencer tes interventions pour chaque machine
• d'obtenir des statistiques sur toute ton activité
• bien d'autres choses ...

[Arnaud F.]

Ca ne te les listera peut etre pas tous, mais c'est pas

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

w

ou

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

who

?

[Maillon]

GLPI est bien je trouve pour gérer le matériel du parc informatique.

Sinon pour la commande j'arrive pas à la retrouver. C'était un dig quelque chose et arp à la fin ^^

Et non c'est pas la commande who. Elle te donne les utilisateurs connectés à la machine. ^^

[ALT]

Si les points de suspension ont une importance, tu peux aller beaucoup plus loin et installer ocs-ng et glpi.

GLPI & OCS on a déjà, mais ça suppose un inventaire préalable.
Ce que je cherche, c'est de pouvoir recenser en temps réel les machines connectées sur le réseau, afin de chercher d'éventuels intrus (quand plusieurs machines ont la même adresse IP, par exemple).

gorgonite : Un ping -b sur le réseau me donne toutes les adresses IP qui répondent, pas les adresses MAC qui correspondent.
Quant aux tables ARP, je n'ai pas accès aux routeurs qui sont gérés à un autre niveau.
Mais c'est sûrement une commande de ce genre, qu'il me faut.

[ggnore]

Si tu passes sur toutes les machines et que tu installes glpi/ocsng, tu n'as pas d'inventaire préalable à faire. Il faut juste passer physiquement sur toutes les machines, ou déployer l'agent à coups de

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

psexec

ou rsh/ssh si ce sont des machines linux.

Sinon, pour ma part, j'utilise une contrôleur de domaine sous linux avec samba. Un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

smbstatus

me permet de savoir toutes personnes authentifiées et donc nécessairement connectées au réseau.
En tripatouillant légèrement la sortie de smbstatus, je peux récupérer la liste des IP des gens connectés.

ça ne permettra effectivement pas de détecter une machine intruse.
Ceci dit, si 2 machines on la même IP, cela ne désactive t il pas le réseau pour les 2 machines ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

arp -a

renvoie l'adresse mac associée à une ip

[ALT]

Oui, mais encore une fois GLPI+OCS ne résoud pas mon problème.

Oui, si deux machines ont la même adresse, ça perturbe leurs communications réseau.
Mais connaissant les adresses MAC des machines autorisées je peux en déduire celle qui a été installée sauvagement.
C'est pour ça que d'avoir seulement les adresses IP ne m'intéresse pas : comment je ferais sinon pour détecter une intrusion ?

arp -a ne m'a souvent retourné qu'une ou deux adresses, alors qu'il y en a au minimum 4 : la passerelle, deux serveurs & mon poste. Au précédent essai, il ne voyait ni la passerelle ni les serveurs...
Pourtant, cette fois-ci il a bien réagi.


Je vais donc persévérer avec arp -a

Merci à tous

Depuis l'essai fructueux de

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

arp -a

, la commande ne me retourne que trois machines dont aucun des serveurs, ni mon propre PC (une vingtaine d'essais successifs)...

Y a-t-il une précaution particulière à prendre ?


D'avance, merci encore de votre aide.

[Arnaud F.]

Je ne sais pas si c'est ça, mais les caches ARP sont temporaires et s'effacent toutes les 20 minutes (enfin c'est configurable), mais il est probable que ton cache soit vide et donc c'est "normal" qu'il ne trouve aucune entrée

++

[gorgonite]

Quant aux tables ARP, je n'ai pas accès aux routeurs qui sont gérés à un autre niveau.
Mais c'est sûrement une commande de ce genre, qu'il me faut.

et les admins de ton réseau ne peuvent pas te fournir un droit d'exécution sur un petit script qui calcule tout cela ?


sinon en filtrant les résultats renvoyées par tcpdump, tu devrais aussi pouvoir tenir à jour la liste des machines utilisant ton réseau

[ALT]

Peut-être.

Simplement, j'ai souvenir d'avoir créé jadis (moins d'un an, a priori), un petit script qui faisait ça sans droits supplémentaires.
Était-ce arp qui me fournissait les renseignements au prix d'un grand nombre d'itérations ? C'est possible.

Je suis d'ailleurs en train d'essayer cette possibilité :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
#!/bin/bash
 
while true #*** toujours vrai ! ***
do
    arp -a >> arp.texte #*** remplit un fichier, à vider de temps en temps ***
 
    clear #*** libère l'écran des écritures précédentes ***
    cat arp.texte | sort | uniq | nl #*** liste, trie, supprime les doublons & numérote ***
    sleep 10 #*** pause 10 s ***
done

Je précise que la commande que j'utilisais alors me donnait

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
Adresse                             HWtype      Adresse MAC              Flags  Mask             iface
xx9.xx5.xx2.1                       ether       00:11:56:nn:nn:nn        C                       eth0
crabe.abc.fr                        ether       00:50:D0:nn:nn:nn        C                       eth0
...

Ce que ne fait pas tout-à-fait arp...

[ALT]

Suite des essais : au bout de 24 h environ (à raison de 360 itérations par heure), arp -a me liste six machines en tout & pour tout, alors qu'il y en a plus en fonctionnement.
En conséquence, je ne pense pas que ce soit la solution.

Je regarde du côté de tcpdump

À plus