Comment lister les machines sur le réseau ?

ALT · 27/06/2007, 18h43

Bonjour à tous

Je cherche en vain une commande (que j'ai déjà utilisée jadis) me listant les machines connectées sur le réseau local avec leur adresse IP &/ou leur nom DNS, leur adresse MAC...

Quelqu'un a-t-il une idée ?

D'avance, merci de votre aide.

gorgonite · 27/06/2007, 18h46

en consultant la table arp, tu auras toutes les machines branchées sur ton switch

sinon un ping broadcast si les machines l'acceptent

ggnore · 27/06/2007, 19h30

Si les points de suspension ont une importance, tu peux aller beaucoup plus loin et installer ocs-ng et glpi.

ça t'offrira l'opportunité :

de connaître tous le matériel dont sont composées tes machines
tous les programmes qui y sont installés
de référencer tes interventions pour chaque machine
d'obtenir des statistiques sur toute ton activité
bien d'autres choses ...

Arnaud F. · 27/06/2007, 19h58

Ca ne te les listera peut etre pas tous, mais c'est pas

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ou

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

who

?

Maillon · 28/06/2007, 09h26

GLPI est bien je trouve pour gérer le matériel du parc informatique.

Sinon pour la commande j'arrive pas à la retrouver. C'était un dig quelque chose et arp à la fin ^^

Et non c'est pas la commande who. Elle te donne les utilisateurs connectés à la machine. ^^

ALT · 28/06/2007, 11h45

Citation:

Envoyé par ggnore

Si les points de suspension ont une importance, tu peux aller beaucoup plus loin et installer ocs-ng et glpi.

GLPI & OCS on a déjà, mais ça suppose un inventaire préalable.
Ce que je cherche, c'est de pouvoir recenser en temps réel les machines connectées sur le réseau, afin de chercher d'éventuels intrus (quand plusieurs machines ont la même adresse IP, par exemple).

gorgonite : Un ping -b sur le réseau me donne toutes les adresses IP qui répondent, pas les adresses MAC qui correspondent.
Quant aux tables ARP, je n'ai pas accès aux routeurs qui sont gérés à un autre niveau.
Mais c'est sûrement une commande de ce genre, qu'il me faut.

ggnore · 28/06/2007, 12h22

Si tu passes sur toutes les machines et que tu installes glpi/ocsng, tu n'as pas d'inventaire préalable à faire. Il faut juste passer physiquement sur toutes les machines, ou déployer l'agent à coups de

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

psexec

ou rsh/ssh si ce sont des machines linux.

Sinon, pour ma part, j'utilise une contrôleur de domaine sous linux avec samba. Un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

smbstatus

me permet de savoir toutes personnes authentifiées et donc nécessairement connectées au réseau.
En tripatouillant légèrement la sortie de smbstatus, je peux récupérer la liste des IP des gens connectés.

ça ne permettra effectivement pas de détecter une machine intruse.
Ceci dit, si 2 machines on la même IP, cela ne désactive t il pas le réseau pour les 2 machines ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

arp -a

renvoie l'adresse mac associée à une ip

ALT · 28/06/2007, 13h31

Oui, mais encore une fois GLPI+OCS ne résoud pas mon problème.

Oui, si deux machines ont la même adresse, ça perturbe leurs communications réseau.
Mais connaissant les adresses MAC des machines autorisées je peux en déduire celle qui a été installée sauvagement.
C'est pour ça que d'avoir seulement les adresses IP ne m'intéresse pas : comment je ferais sinon pour détecter une intrusion ?

arp -a ne m'a souvent retourné qu'une ou deux adresses, alors qu'il y en a au minimum 4 : la passerelle, deux serveurs & mon poste. Au précédent essai, il ne voyait ni la passerelle ni les serveurs...
Pourtant, cette fois-ci il a bien réagi.

Je vais donc persévérer avec arp -a

Merci à tous

Depuis l'essai fructueux de

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

arp -a

, la commande ne me retourne que trois machines dont aucun des serveurs, ni mon propre PC (une vingtaine d'essais successifs)...

Y a-t-il une précaution particulière à prendre ?

D'avance, merci encore de votre aide.

Arnaud F. · 28/06/2007, 13h43

Je ne sais pas si c'est ça, mais les caches ARP sont temporaires et s'effacent toutes les 20 minutes (enfin c'est configurable), mais il est probable que ton cache soit vide et donc c'est "normal" qu'il ne trouve aucune entrée

++

gorgonite · 28/06/2007, 13h51

Citation:

Envoyé par ALT

Quant aux tables ARP, je n'ai pas accès aux routeurs qui sont gérés à un autre niveau.
Mais c'est sûrement une commande de ce genre, qu'il me faut.

et les admins de ton réseau ne peuvent pas te fournir un droit d'exécution sur un petit script qui calcule tout cela ?

sinon en filtrant les résultats renvoyées par tcpdump, tu devrais aussi pouvoir tenir à jour la liste des machines utilisant ton réseau

ALT · 28/06/2007, 13h57

Peut-être.

Simplement, j'ai souvenir d'avoir créé jadis (moins d'un an, a priori), un petit script qui faisait ça sans droits supplémentaires.
Était-ce arp qui me fournissait les renseignements au prix d'un grand nombre d'itérations ? C'est possible.

Je suis d'ailleurs en train d'essayer cette possibilité :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
#!/bin/bash
 
while true #*** toujours vrai ! ***
do
    arp -a >> arp.texte #*** remplit un fichier, à vider de temps en temps ***
 
    clear #*** libère l'écran des écritures précédentes ***
    cat arp.texte | sort | uniq | nl #*** liste, trie, supprime les doublons & numérote ***
    sleep 10 #*** pause 10 s ***
done

Je précise que la commande que j'utilisais alors me donnait

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
Adresse                             HWtype      Adresse MAC              Flags  Mask             iface
xx9.xx5.xx2.1                       ether       00:11:56:nn:nn:nn        C                       eth0
crabe.abc.fr                        ether       00:50:D0:nn:nn:nn        C                       eth0
...

Ce que ne fait pas tout-à-fait arp...

ALT · 29/06/2007, 14h46

Suite des essais : au bout de 24 h environ (à raison de 360 itérations par heure), arp -a me liste six machines en tout & pour tout, alors qu'il y en a plus en fonctionnement.
En conséquence, je ne pense pas que ce soit la solution.

Je regarde du côté de tcpdump

À plus

27/06/2007, 18h43	#1
ALT Membre Expert Assistant aux utilisateurs Inscription : octobre 2002 Messages : 948 Détails du profil Informations personnelles : Sexe : Âge : 52 Localisation : France, Vienne (Poitou Charente) Informations professionnelles : Activité : Assistant aux utilisateurs Secteur : Service public Informations forums : Inscription : octobre 2002 Messages : 948 Points : 1 274 Points : 1 274	Comment lister les machines sur le réseau ? Bonjour à tous Je cherche en vain une commande (que j'ai déjà utilisée jadis) me listant les machines connectées sur le réseau local avec leur adresse IP &/ou leur nom DNS, leur adresse MAC... Quelqu'un a-t-il une idée ? D'avance, merci de votre aide.
	00

27/06/2007, 18h46	#2
gorgonite Rédacteur/Modérateur Nicolas Vallée Ingénieur Système Inscription : décembre 2005 Messages : 9 774 Détails du profil Informations personnelles : Nom : Nicolas Vallée Âge : 27 Localisation : France Informations professionnelles : Activité : Ingénieur Système Secteur : Transports Informations forums : Inscription : décembre 2005 Messages : 9 774 Points : 14 303 Points : 14 303	en consultant la table arp, tu auras toutes les machines branchées sur ton switch sinon un ping broadcast si les machines l'acceptent __________________ Evitez les MP pour les questions techniques... il y a des forums Contributions sur DVP : Mes Tutos \| Mon Blog
	00

27/06/2007, 19h30	#3
ggnore Modérateur Inscription : juillet 2004 Messages : 2 246 Détails du profil Informations personnelles : Âge : 33 Informations forums : Inscription : juillet 2004 Messages : 2 246 Points : 1 903 Points : 1 903	Si les points de suspension ont une importance, tu peux aller beaucoup plus loin et installer ocs-ng et glpi. ça t'offrira l'opportunité : de connaître tous le matériel dont sont composées tes machines tous les programmes qui y sont installés de référencer tes interventions pour chaque machine d'obtenir des statistiques sur toute ton activité bien d'autres choses ... __________________ Toutes les vertus des hommes se perdent dans l’intérêt comme les fleuves se perdent dans la mer.
	00

27/06/2007, 19h58	#4
Arnaud F. Rédacteur Arnaud Feltz Développeur .NET Inscription : août 2005 Messages : 5 204 Détails du profil Informations personnelles : Nom : Arnaud Feltz Âge : 25 Localisation : France Informations professionnelles : Activité : Développeur .NET Secteur : Transports Informations forums : Inscription : août 2005 Messages : 5 204 Points : 6 113 Points : 6 113	Ca ne te les listera peut etre pas tous, mais c'est pas Code : Sélectionner tout - Visualiser dans une fenêtre à part w ou Code : Sélectionner tout - Visualiser dans une fenêtre à part who ? __________________ C'est par l'adresse que vaut le bûcheron, bien plus que par la force. Homère Installation de Code::Blocks sous Debian à partir de Nightly Builds
	00

28/06/2007, 12h22	#7
ggnore Modérateur Inscription : juillet 2004 Messages : 2 246 Détails du profil Informations personnelles : Âge : 33 Informations forums : Inscription : juillet 2004 Messages : 2 246 Points : 1 903 Points : 1 903	Si tu passes sur toutes les machines et que tu installes glpi/ocsng, tu n'as pas d'inventaire préalable à faire. Il faut juste passer physiquement sur toutes les machines, ou déployer l'agent à coups de Code : Sélectionner tout - Visualiser dans une fenêtre à part psexec ou rsh/ssh si ce sont des machines linux. Sinon, pour ma part, j'utilise une contrôleur de domaine sous linux avec samba. Un Code : Sélectionner tout - Visualiser dans une fenêtre à part smbstatus me permet de savoir toutes personnes authentifiées et donc nécessairement connectées au réseau. En tripatouillant légèrement la sortie de smbstatus, je peux récupérer la liste des IP des gens connectés. ça ne permettra effectivement pas de détecter une machine intruse. Ceci dit, si 2 machines on la même IP, cela ne désactive t il pas le réseau pour les 2 machines ? Code : Sélectionner tout - Visualiser dans une fenêtre à part arp -a renvoie l'adresse mac associée à une ip __________________ Toutes les vertus des hommes se perdent dans l’intérêt comme les fleuves se perdent dans la mer.
	00

28/06/2007, 09h26	#5
Maillon Membre habitué Inscription : juin 2007 Messages : 132 Détails du profil Informations personnelles : Âge : 27 Informations forums : Inscription : juin 2007 Messages : 132 Points : 104 Points : 104	GLPI est bien je trouve pour gérer le matériel du parc informatique. Sinon pour la commande j'arrive pas à la retrouver. C'était un dig quelque chose et arp à la fin ^^ Et non c'est pas la commande who. Elle te donne les utilisateurs connectés à la machine. ^^
	00

28/06/2007, 13h31	#8
ALT Membre Expert Assistant aux utilisateurs Inscription : octobre 2002 Messages : 948 Détails du profil Informations personnelles : Sexe : Âge : 52 Localisation : France, Vienne (Poitou Charente) Informations professionnelles : Activité : Assistant aux utilisateurs Secteur : Service public Informations forums : Inscription : octobre 2002 Messages : 948 Points : 1 274 Points : 1 274	Oui, mais encore une fois GLPI+OCS ne résoud pas mon problème. Oui, si deux machines ont la même adresse, ça perturbe leurs communications réseau. Mais connaissant les adresses MAC des machines autorisées je peux en déduire celle qui a été installée sauvagement. C'est pour ça que d'avoir seulement les adresses IP ne m'intéresse pas : comment je ferais sinon pour détecter une intrusion ? arp -a ne m'a souvent retourné qu'une ou deux adresses, alors qu'il y en a au minimum 4 : la passerelle, deux serveurs & mon poste. Au précédent essai, il ne voyait ni la passerelle ni les serveurs... Pourtant, cette fois-ci il a bien réagi. Je vais donc persévérer avec arp -a Merci à tous Depuis l'essai fructueux de Code : Sélectionner tout - Visualiser dans une fenêtre à part arp -a , la commande ne me retourne que trois machines dont aucun des serveurs, ni mon propre PC (une vingtaine d'essais successifs)... Y a-t-il une précaution particulière à prendre ? D'avance, merci encore de votre aide.
	00

28/06/2007, 13h43	#9
Arnaud F. Rédacteur Arnaud Feltz Développeur .NET Inscription : août 2005 Messages : 5 204 Détails du profil Informations personnelles : Nom : Arnaud Feltz Âge : 25 Localisation : France Informations professionnelles : Activité : Développeur .NET Secteur : Transports Informations forums : Inscription : août 2005 Messages : 5 204 Points : 6 113 Points : 6 113	Je ne sais pas si c'est ça, mais les caches ARP sont temporaires et s'effacent toutes les 20 minutes (enfin c'est configurable), mais il est probable que ton cache soit vide et donc c'est "normal" qu'il ne trouve aucune entrée ++ __________________ C'est par l'adresse que vaut le bûcheron, bien plus que par la force. Homère Installation de Code::Blocks sous Debian à partir de Nightly Builds
	00

29/06/2007, 14h46	#12
ALT Membre Expert Assistant aux utilisateurs Inscription : octobre 2002 Messages : 948 Détails du profil Informations personnelles : Sexe : Âge : 52 Localisation : France, Vienne (Poitou Charente) Informations professionnelles : Activité : Assistant aux utilisateurs Secteur : Service public Informations forums : Inscription : octobre 2002 Messages : 948 Points : 1 274 Points : 1 274	Suite des essais : au bout de 24 h environ (à raison de 360 itérations par heure), arp -a me liste six machines en tout & pour tout, alors qu'il y en a plus en fonctionnement. En conséquence, je ne pense pas que ce soit la solution. Je regarde du côté de tcpdump À plus
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email