To najprostszy sposób na wykonanie wykrywania hostów za pomocą nmap.

  nmap -sP 192.168.2.1/24

Dlaczego to nie działa cały czas?

Po uruchomieniu tego polecenia nmap próbuje pingować podany zakres adresów IP, aby sprawdzić, czy hosty żyją. Jeśli ping nie powiedzie się, próbuje wysłać pakiety synchronizacji do portu 80 (skanowanie SYN). Nie jest to w stu procentach niezawodne, ponieważ nowoczesne zapory ogniowe oparte na hostach blokują ping i port 80. Zapora systemu Windows domyślnie blokuje ping. Hosty, które masz w sieci, blokują ping, a port 80 nie akceptuje połączeń. Dlatego nmap zakłada, że ​​host nie działa.

Więc czy istnieje obejście tego problemu?

Tak. Jedną z dostępnych opcji jest użycie flagi -P0, która pomija proces wykrywania hosta i próbuje wykonać skanowanie portów na wszystkich adresach IP (w tym przypadku zostaną przeskanowane nawet wolne adresy IP). Oczywiście ukończenie skanowania zajmie dużo czasu, nawet jeśli jesteś w małej sieci (20-50 hostów). ale da wyniki.

Lepszą opcją byłoby określenie niestandardowych portów do skanowania. Nmap umożliwia sondowanie określonych portów za pomocą pakietów SYN / UDP. Generalnie zaleca się sondowanie powszechnie używanych portów, np. TCP-22 (ssh) lub TCP-3389 (zdalny pulpit systemu Windows) lub UDP-161 (SNMP).

  sudo nmap -sP -PS22,3389 192.168.2.1/24 #custom TCP SYN scansudo nmap -sP -PU161 192.168.2.1/24 # niestandardowe skanowanie UDP  

Uwaga nawet po określeniu niestandardowych portów do skanowania możesz nie uzyskać aktywnego hosta. Wiele zależy od tego, jak skonfigurowany jest host i jakich usług używa. Więc musisz po prostu sondować z różnymi kombinacjami. Pamiętaj, nie skanuj sieci bez odpowiedniej autoryzacji.

aktualizacja : podczas skanowania sieci nigdy nie można być pewnym, że dane polecenie przyniesie wszystkie oczekiwane rezultaty. Podejście powinno polegać na rozpoczęciu od podstawowego przeglądania pingów, a jeśli to nie zadziała, spróbuj zgadnąć aplikacje, które mogą być uruchomione na hostach i zbadać odpowiednie porty. Ciekawy jest również pomysł wykorzystania Wireshark. Możesz spróbować wysłać pakiety ACK.

  nmap -sP -PA21,22,25,3389 192.168.2.1/24 # 21 jest używane przez ftp  

aktualizacja druga: flagi -sP i -P0 są teraz znane odpowiednio jako -sn i -Pn. Jednak starsze flagi nadal działają w nowszych wersjach.

Najłatwiejszym sposobem sprawdzenia tego jest sprawdzenie tablic ARP po wykonaniu przemiatania ping za pomocą nmap:

  arp -a -n  

Zawiera listę wszystkich hostów, które odpowiedziały na zapytanie ARP, nawet te, które filtrują ICMP.

Wireshark też jest fajny.

Możesz sprawdzić Wireshark. Rejestruje cały ruch w sieci lokalnej. Poinformuje Cię, które węzły nadają. Możesz także zobaczyć, co jest przesyłane. Jest dostępny w Centrum oprogramowania Ubuntu.

Dodatkowo tutaj jest łącze o instalowaniu Wireshark na Ubuntu za pomocą wiersza poleceń.

W odniesieniu do ruchu, który pojawia się w Twoje tablice routingu DHCP pamiętaj, że wiele maszyn wirtualnych pojawi się na liście jako oddzielne maszyny. Wszystko, co jest podłączone do Twojej sieci, zwykle w ramach domyślnego 24-godzinnego czasu dzierżawy (w przypadku większości routerów WiFi), nadal będzie widoczne na liście. Możesz chcieć sprawdzić czas trwania dzierżawy w routerze. Może ci powiedzieć, czy ktoś jest w Twojej sieci przez noc. Na niektórych urządzeniach, które mają dwie karty sieciowe lub kartę sieciową i kartę bezprzewodową, pojawią się dwa razy, jeśli oba interfejsy są włączone.

Inne rzeczy, o których wiele osób zapomina o byciu w sieci:

• Przełączniki zarządzalne
• Niektóre drukarki
• Karty zdalnego zarządzania serwerem
• Telefony komórkowe
• Tivo i inne rejestratory DVR
• Apple TV
• Niektóre telewizory
• Odtwarzacze DVD
• Sieciowe amplitunery A / V
• Playstations, XBox itp. .
• Przenośne urządzenia do gier
• iPady i inne tablety
• iPody i odtwarzacze muzyki
• PDA
• Telefony IP jak Magic Jack Plus

Około 6 lat temu w biurze pracowałem w naszym małym 3Mb połączeniu do 128k z powodu całego nadmiernego ruchu. Właściciele chcieli wiedzieć, czy można zobaczyć, co się dzieje. Stary, niepełnoetatowy informatyk wzruszył ramionami, ponieważ nie cały ruch przechodził przez serwer Windows 2000. Sprawdził tabele routingu i dzienniki ruchu na serwerze i nic nie zobaczył. Nie dość dziwnie korzystali z routera, więc wszystko w sieci mogło uzyskać adres z modemu. Tabele routingu, które przeglądał na serwerze, służyły tylko do statycznych mapowań, które istniały kilka lat wcześniej. Zauważyłem, że nie znajdowały się w tej samej podsieci. Następnie pokazałem im, że na serwerze nie ma DHCP.

Znalazłem cały ruch przychodzący po godzinach podczas nocnego przeglądania z Wireshark. Jeden z moich współpracowników nieświadomie udostępniał na swoim komputerze japońską witrynę erotyczną. Osoby atakujące zrootowały jego maszynę po zainstalowaniu backdoora, do którego dołączono pękniętą wersję zaawansowanego oprogramowania do edycji wideo. Dowiedzieliśmy się również, że używają Tor , demonoid i bitTorrent na różnych maszynach w różnych działach w różnym czasie. Wireshark znalazł wszystko. Następnego dnia internet działał z pełną prędkością ... zainstalowaliśmy również router.

Jeśli nie masz ochoty na Wireshark, możesz również wypróbować tcpdump .

Ten skrypt bash wyświetli adresy IP wszystkich aktywnych hostów w sieci.

  #! / bin / bashnmap $ 1 -n -sP | raport grep | awk '{print $ 5}'  

Przykładowe zastosowanie

  rwilson @ rwilson-Aspire-E5-521: ~ / Scripts / Utils $ Mon 27 lipca 06 : 41 AM> ./livehosts.sh 192.168.1.1/24192.168.1.1192.168.1.11192.168.1.12192.168.1.13192.168.1.14192.168.1.15192.168.1.118192.168.1.122192.168.1.123192.168.1.126192.168.168.168.1 1.134192.168.1.156192.168.1.159192.168.1.168192.168.1.170  

Gdy masz uprawnienia administratora (tj. root ), możesz użyć netdiscover (8) z flagą -r , aby określić inną klasę i maska. Domyślnie używa klasy sieci C / 24.

Na przykład:

  $ sudo netdiscover -r 172.16.17.0/24

Wynik będzie wyglądał mniej więcej tak:

  Aktualnie skanowanie: zakończone! | Widok ekranu: Unikalne hosty 3 przechwycone pakiety ARP Req / Rep, z 3 hostów. Całkowity rozmiar: 180 _____________________________________________________________________________ IP Adres MAC Liczba Len Dostawca MAC / nazwa hosta ----------------------------------- ------------------------------------------ 172.16.17.1 00:50:56 : c0: 00: 08 1 60 VMware, Inc. 172.16.17.2 00: 50: 56: f9: b9: b6 1 60 VMware, Inc. 172.16.17.254 00: 50: 56: fc: e4: 76 1 60 VMware, Inc.  

Czasami arp -a -n nie pobiera adresu IP. Wykonanie nmap -sP 192.168.1.1/24 zwróci hosty na żywo, a następnie, jeśli spróbujesz arp ponownie pokaże hosty na żywo. Tak to działało u mnie w mennicy linuxa. Ale możesz polegać na nmap każdego dnia.

Przykład znalezienia hosta w sieci:

  arp-scan 192.168.12.0/24 # jeśli interfejs z tagiem vlan użyj -Q vlanid  

etherape (GUI) pokazuje wykresy aktywności sieciowej.

Niektóre inne narzędzia również zostały tutaj wymienione.

Jeśli potrzebujesz również odcisków palców hosta i nie masz nic przeciwko korzystaniu z bezpłatnego, ale zamkniętego narzędzia, to fing jest inną opcją:

  sudo fing -r 1  

W porównaniu do nmap 192.168.1.1/24 -n -sP jest znacznie szybszy i spróbuj wykryć producentów urządzeń na podstawie adresów MAC.

^{Zastrzeżenie: Nie mam powiązań z narzędziem ani firmą, która je produkuje i nie mam pojęcia, jakie inne rzeczy (złe czy nie ) narzędzie może pracować pod maską. Użyłem ich aplikacji mobilnych do znajdowania adresów IP w mojej sieci LAN i uznałem to za przydatne.}