这确实是内网自动化部署VM时经常碰到的头疼问题——防火墙拦ICMP，还不让用nmap这类扫描工具，我之前帮团队解决过类似需求，给你分享几个合规且有效的方法：

• 查询内部DNS/DHCP服务器记录（最推荐）
  这是最安全合规的方式，完全不需要主动探测目标设备，只需要查询内网已有的管理记录：

  • Linux环境：用nslookup <目标IP>或dig -x <目标IP>做反向解析，如果能返回对应的主机名，说明该IP已被占用；也可以查看本地DNS缓存，比如systemd-resolve --statistics（针对systemd-resolved服务）。
  • Windows环境：同样用nslookup <目标IP>反向解析，如果你有DHCP服务器的权限，直接登录查看地址租约列表，能直观看到已分配的IP和对应的设备信息；本地可以用ipconfig /displaydns查看缓存的DNS记录。

• ARP协议探测（仅限同子网场景）
  ARP是局域网二层协议，用于解析IP与MAC地址的对应关系，不受ICMP防火墙规则影响——只要目标设备在同一个子网内，在线设备就会响应ARP请求：

  • Linux环境：先清空ARP缓存ip neigh flush all，然后执行ip neigh add <目标IP> dev <你的网卡名>触发ARP请求，再用ip neigh show <目标IP>查看结果，如果状态显示REACHABLE，说明IP已被占用；也可以用系统自带的arping -c 1 <目标IP>（这个工具通常默认安装，不属于nmap这类扫描工具范畴）。
  • Windows环境：先清空ARP缓存arp -d *，然后执行ping -n 1 -w 100 <目标IP>（这里的ping主要是触发ARP请求，不用等ICMP响应），再用arp -a查看是否有目标IP对应的MAC地址，有则说明IP已被占用。

• 针对已知服务的TCP连接尝试（非端口扫描）
  如果你知道目标IP可能运行的内部服务端口（比如域控制器的LDAP端口389、内部SSH端口22、Windows的RDP端口3389等），可以用系统自带工具尝试建立连接，这不属于端口扫描，只是定向验证：

  • Linux环境：用telnet <目标IP> <端口>，或者nc -zv <目标IP> <端口> -w 2（nc一般默认安装），如果返回“Connection refused”说明IP在线但端口关闭，如果返回“Connected to ...”说明IP在线且端口开放；如果超时则可能IP未被占用或端口被防火墙拦截。
  • Windows环境：用PowerShell命令Test-NetConnection -ComputerName <目标IP> -Port <端口>，查看TcpTestSucceeded字段的结果；也可以用telnet <目标IP> <端口>验证。

• SMB/CIFS协议探测（Windows内网场景）
  大部分Windows设备会默认开启SMB服务，即使拦截ICMP，SMB探测也可能得到响应：

  • 用PowerShell命令Get-SmbConnection -RemoteAddress <目标IP>，或者net view \\<目标IP>，如果返回共享列表或权限提示，说明IP已被占用；如果提示“找不到网络路径”，则大概率IP未被使用。

内容的提问来源于stack exchange，提问作者user3703942