itslloyd
Goto Top

Unbekannte Geräte: Advanced IP Scanner

Servus miteinander,

ich wollte mal das lokale Subnetz nach aktiven Systemen durchforsten und bin dadurch auf die Software Advanced IP Scanner gestoßen. Der rödelt gerade auch fleißig durch, nur findet er auch ziemlich viele unbekannte Systeme im Netzwerk. Die Anzahl kann eigentlich gar nicht sein, deshalb wundere ich mich was das sein kann? Gibt es evtl. eine Möglichkeit das herauszufinden?

aips

Bei 15% schon 10190 unbekannte? Das erschließt sich mir nicht so ganz..

Content-ID: 63097718309

Url: https://administrator.de/forum/unbekannte-geraete-advanced-ip-scanner-63097718309.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

Trommel
Trommel 15.02.2024 aktualisiert um 10:20:21 Uhr
Goto Top
Moin,

wäre ja sinnvoll, in diesem Beitrag deinen Netzbereich mit anzugeben.
Unbekannt heißt in dem Tool afair nichts gefunden.

EDIT: Gerade in einem /24er Netz getestet - 87 lebendig, 8 keine Reaktion, 159 unbekannt = 254.

Trommel
ItsLloyd
ItsLloyd 15.02.2024 um 10:22:30 Uhr
Goto Top
Hi Trommel,

der Scanbereich ist 172.20.0.1 - 172.20.0.255

schon klar das der da nichts genaues zu findet aber dennoch erkennt die Software ja etwas und gibt das als unbekannt an.. ich frag mich halt was das sein kann
Trommel
Lösung Trommel 15.02.2024 um 10:23:50 Uhr
Goto Top
Zitat von @ItsLloyd:
schon klar das der da nichts genaues zu findet aber dennoch erkennt die Software ja etwas und gibt das als unbekannt an.. ich frag mich halt was das sein kann

Unbekannt ist vielleicht etwas missverständlich. Kein Treffer würde es eher beschreiben.
Siehe Beispiel oben, hier hatte ich etwa 90 Clients, das passt also - Rest ist nichts was das Tool erfasst hat.

Trommel
ItsLloyd
ItsLloyd 15.02.2024 um 10:26:36 Uhr
Goto Top
Aaah... okay jetzt hats auch klick gemacht :D

Vielen Dank für's schnelle beantworten!
em-pie
em-pie 15.02.2024 um 10:39:27 Uhr
Goto Top
der Scanbereich ist 172.20.0.1 - 172.20.0.255
und wir reden grundsätzlich von einem 24er Netz?
Wenn dem so ist, solltest du die .255 überdenken!

Denn bei 254 möglichen Hosts kannst du, gemäß deines Screenshots, ja keine 271 "lebendigen" Systeme haben face-wink

Die 255-Adresse (in binärer Schreibweise eine Hostadresse nur mit Einsen) wird verwendet, um eine Nachricht an jeden Host in einem Netzwerk zu übertragen.
Quelle: https://learn.microsoft.com/de-de/troubleshoot/windows-client/networking ...
Trommel
Trommel 15.02.2024 aktualisiert um 10:40:47 Uhr
Goto Top
Zitat von @ItsLloyd:
der Scanbereich ist 172.20.0.1 - 172.20.0.255

Hier passt dann trotzdem etwas nicht bei deinem Scan (Anzahl).

Trommel
aqui
aqui 15.02.2024 aktualisiert um 10:52:15 Uhr
Goto Top
Die Anzahl kann eigentlich gar nicht sein
Solche "Netzwerk Märchen" erzählen viele andere, vermeintliche Systemadmins auch immer... face-sad
CISCO SEC Zone Based Firewall nmap
ItsLloyd
ItsLloyd 15.02.2024 um 11:38:28 Uhr
Goto Top
Die 172er IP Adresse bewegt sich in der Klasse B Netzklasse und ist somit im 16er Subnetzbereich welches wiederum 65k und paar zerquetschte verfügbare Hosts zur Verfügung stellt also passt das mit der Anzahl face-smile
ItsLloyd
ItsLloyd 15.02.2024 um 11:40:29 Uhr
Goto Top
Zitat von @ItsLloyd:

Die 172er IP Adresse bewegt sich in der Klasse B Netzklasse und ist somit im 16er Subnetzbereich welches wiederum 65k und paar zerquetschte verfügbare Hosts zur Verfügung stellt also passt das mit der Anzahl face-smile

Klasse B:
Adressaufbau: 10xxxxxx.xxxxxxxx.xxxxxxxx.xxxxxxxx
Subnetzmaske: 255.255.0.0
Adressbereich: Von 128.0.0.0 bis 191.255.255.255
Anzahl Netzwerke: 16Bit Netzanteil, 14Bit variabel => 214 Netzwerke = 16.384 Netzwerke
Anzahl Adressen: 16Bit Hostanteil => 216 = 65.536
Anzahl IT-Systeme: 216 -2 = 65.534
Reservierte Adressen:
• 169.254.x.x => Automatic Private IP-Adressing (APIPA), wenn kein DHCP verfügbar
• 172.16.x.x – 172.31.x.x => private Adressen, werden nicht ins Internet gerouted
Michi91
Michi91 15.02.2024 aktualisiert um 12:15:16 Uhr
Goto Top
Vielleicht zur Ergänzung der Erklärungen von @Trommel

- Unbekannt sind solche Hosts, bei denen keine IP<->MAC Auflösung via ARP möglich war. Ob diese offline sind, oder einfach keine ARP Antwort kommt, weil z.B. irgendwo blockiert, weiß das Tool natürlich nicht. Das Scantool erkennt also, dass es nichts erkennt und daher ist der Status "unbekannt"

- keine Reaktion sind solche Hosts, bei denen auf dem PC der den Scan durchführt in seinem ARP-Cache eine IP<->MAC Auflösung zwischengespeichert hat (der Host ist also nicht unbekannt, sondern bekannt), aber der Host nicht auf die Scananfrage reagiert
TwistedAir
TwistedAir 15.02.2024 um 12:13:56 Uhr
Goto Top
Moin.

Zitat von @ItsLloyd:

Die 172er IP Adresse bewegt sich in der Klasse B Netzklasse und ist somit im 16er Subnetzbereich welches wiederum 65k und paar zerquetschte verfügbare Hosts zur Verfügung stellt also passt das mit der Anzahl face-smile

Kann, aber nicht muss: seit 1993 (!) ist die IT classless unterwegs, das muss doch mal endlich aus den Köpfen raus zu bekommen sein.
https://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing

Also ja, man kann /16-Netze mit 172er-IP definieren, es gehen aber auch /24er, 27er, /30er ... (oder wenn es Spaß macht auch 172.16.00/12 face-wink

Grüße
TA
em-pie
em-pie 15.02.2024 um 12:26:25 Uhr
Goto Top
Zitat von @ItsLloyd:

Die 172er IP Adresse bewegt sich in der Klasse B Netzklasse und ist somit im 16er Subnetzbereich welches wiederum 65k und paar zerquetschte verfügbare Hosts zur Verfügung stellt also passt das mit der Anzahl face-smile

ihr seid aber auch mit dem Klammerbeutel gepudert worden oder?

wir hatten früher auch mal ein Subnetz aus dem Bereich 172.16.0.0/12
Da wir aber bei weitem nicht so viele Hosts betreiben wollten, haben wir das auf ein 172.20.0.0/22 Netz herunter gebrochen (das war in Zeiten, in denen wir noch nicht vollumfänglich VLAN-fähig waren)
aqui
aqui 15.02.2024 aktualisiert um 16:36:54 Uhr
Goto Top
Die 172er IP Adresse bewegt sich in der Klasse B Netzklasse
Ja, für jemanden der sich noch als Steinzeitmensch im tiefsten Netzwerk Neandertal bewegt... ;-(
Die Kollegen @TwistedAir und @em-pie haben es ja schon gesagt: "Klassen" sind, wie allgemein bekannt, seit über 30 Jahren mit der Einführung von CIDR Netzen längst Geschichte und damit mausetot!
https://de.wikipedia.org/wiki/Classless_Inter-Domain_Routing

Der aufrechte klassenlose Gang sollte nach so langer Zeit eigentlich so langsam auch bei dir einmal angekommen sein. Vergiss den "Klassen Unsinn" also besser ganz schnell wieder! face-wink
ItsLloyd
ItsLloyd 16.02.2024 um 09:28:12 Uhr
Goto Top
Ich gebe euch natürlich allen vollkommen recht @TwistedAir, @em-pie & @aqui !!

Jetzt hau ich aber noch einen raus. So alt eingesessen bin ich nämlich nicht wie hier alle verständlicherweise vermuten, sondern bin frisch mit der Ausbildung fertig. In meiner Berufsschule wurde das Thema Netzklassen stark thematisiert und wir haben uns mehrere Stunden mit dem Thema auseinandergesetzt deshalb hat sich das u.a. so bei mir eingebrannt. Zusätzlich dazu passt das bei mir im Betrieb halt überein deshalb bin ich hier einfach durcheinander gekommen.

Natürlich ist das mit Einführung von CIDR überflüssig! Mein Fehler, steinigt mich bitte nicht face-sad

#rookiefehler #noob
aqui
aqui 16.02.2024 um 09:44:19 Uhr
Goto Top
In meiner Berufsschule wurde das Thema Netzklassen stark thematisiert
Und ihr habt ernsthaft in der Berufsschule noch von Klassen geredet und das Thema CIDR vollkommen ignoriert oder wie darf man "thematisiert" und "auseinandergesetzt" jetzt interpretieren??
Eine Berufsschule die sage und schreibe 30 Jahre quasi völlig hinter dem Mond lebt....wo gibts denn sowas noch?? 🤦‍♂️
TwistedAir
TwistedAir 16.02.2024 um 09:58:58 Uhr
Goto Top
Moin,

hey, jetzt sei mal nicht so harsch mit dem jungen Padawan, @aqui. face-wink

Dass man weiß, woher sich die Technik entwickelt hat, ist doch oft sinnvoll zu verstehen, warum eine Sache heute genau so funktioniert. Für mich wären Klassen auch nur eine Randnotiz im Stoff, für den man nicht mehr als eine halbe Stunden aufbringen sollte.
Und aus Bequemlichkeitsgründen wählt man doch gerne die "Klassengrenzen" - wenn ich mehrere Netze mit 100 Clients habe (Tipp am Rande für den Padawan: Nicht mehr als 100-150 Hosts in ein Netzwerk, sonst wird der Broadcast hoch), nehme ich doch auch gerne /24er Netze statt /25er, da ich dann eine 255.255.255.0 Subnetzmaske habe und mir an manch andere Stelle das Nachdenken ersparen kann. face-wink

Viele Grüße
TA
Lochkartenstanzer
Lochkartenstanzer 19.02.2024 um 10:03:27 Uhr
Goto Top
Zitat von @em-pie:

der Scanbereich ist 172.20.0.1 - 172.20.0.255
und wir reden grundsätzlich von einem 24er Netz?
Wenn dem so ist, solltest du die .255 überdenken!

Denn bei 254 möglichen Hosts kannst du, gemäß deines Screenshots, ja keine 271 "lebendigen" Systeme haben face-wink


Doch. Wenn er den Broadcast mitscannt und da alle Geräte nochmal antworten, verdoppelt sich die Anzahl der "lebendigen" Systeme. face-smile

lks
aqui
aqui 20.02.2024 aktualisiert um 08:32:30 Uhr
Goto Top
Das stimmt aber intelligente Netzwerker scannen ja auch weder Netzwerk noch Broadcast Adresse! 😉

Wie kann ich einen Beitrag als gelöst markieren?