Încerc să găsesc live gazde pe rețea folosind nmap. Sunt scanarea rețelei în Ubuntu folosind comanda sudo nmap-sP 192.168.2.1/24
. Cu toate acestea, eu sunt în imposibilitatea de a găsi gazdele trăiesc. Am doar adresa rețelei de propriul meu PC ca live. Când văd DHCP client list prin browser-ul meu (router-ul meu poate fi accesat prin intermediul browser-ului, folosind rețeaua mea de IP), am obține în jurul valorii de 10 live gazde pe rețea. Poate cineva spune-mi un motiv de ce acest lucru ar putea să se întâmple și cum am trăi gazde pe rețea?
Acesta este cel mai simplu mod de a efectua descoperirea hosturilor cu nmap.
nmap -sP 192.168.2.1/24
De ce nu merge tot timpul ?
Când această comandă ruleaza nmap incearca ping anumit interval de adrese IP pentru a verifica dacă gazdele sunt în viață. Dacă ping eșuează, încearcă să trimită pachete syn la portul 80 (SYN scan). Acest lucru nu este sută la sută de încredere, deoarece modern bazat pe gazdă firewall bloc ping și portul 80. Paravanul de protecție Windows blochează ping în mod implicit. Gazdele aveți în rețea blochează ping și portul 80 este de a nu accepta conexiuni. Prin urmare, nmap presupune că gazda nu este de până.
Deci, există o soluție la această problemă?
Da. Una dintre opțiunile pe care le au folosește -P0 pavilion care sare gazdă procesul de descoperire și încearcă să efectueze o scanare de porturi de pe toate adresele IP (În acest caz, chiar și vacante adrese IP vor fi scanate). Evident, acest lucru va lua o cantitate mare de timp pentru a finaliza scanarea, chiar dacă sunteți într-o mică (20-50 de gazde) de rețea. dar aceasta vă va da rezultate.
Cea mai bună opțiune ar fi să specificați porturi personalizate pentru scanare. Nmap vă permite de a sonda anumite porturi cu SYN/pachete UDP. Acesta este recomandată în general pentru a sonda frecvent utilizate porturi de exemplu, TCP-22 (ssh) sau TCP 3389 (windows remote desktop) sau UDP-161 (SNMP).
sudo nmap -sP -PS22,3389 192.168.2.1/24 #custom TCP SYN scan
sudo nmap -sP -PU161 192.168.2.1/24 #custom UDP scan
N. B. chiar și după specificarea porturi personalizate pentru scanare este posibil să nu obțineți un activ gazdă. O mulțime depinde de modul în care gazda este configurat și serviciilor care se utilizează. Deci, trebuie doar să păstreze sondare cu diferite combinații.Amintiți-vă, nu efectuează scanează de pe o rețea fără autorizație corespunzătoare.
**** update: Când scanați o rețea niciodată nu poți fi sigur că o anumită comandă vă va oferi toate rezultatele dorite. Abordarea ar trebui să fie pentru a începe cu bază ping sweep și, dacă nu't de lucru, încercați ghicitul aplicații care pot rula pe gazde si sonda corespunzătoare porturi. Ideea de a folosi Wireshark este, de asemenea, interesant. Poate doriți să încercați să trimiteți pachetele ACK.
nmap -sP -PA21,22,25,3389 192.168.2.1/24 #21 is used by ftp
actualizare două: steaguri-sP și -P0 sunt acum cunoscute ca -sn și -Pn respectiv. Cu toate acestea cele mai vechi steaguri sunt încă dovedit a fi de lucru în versiunile mai noi.
S-ar putea să doriți să verificați Wireshark. Se înregistrează toate din traficul de pe rețeaua locală. Acesta vă va spune care nodurile sunt de radiodifuziune. Puteți vedea, de asemenea, ceea ce este transmis. L's disponibil în Ubuntu Software Center.
În plus, aici's un link despre instalarea Wireshark pe Ubuntu prin linie de comanda.
În ceea ce privește traficul, care arată în DHCP tabele de rutare amintiți-vă că o mulțime de Mașini Virtuale va apărea ca mașini separate în listă. Ceva care's conectat la rețea, de obicei, în mod implicit 24 ore de leasing de timp (de cele mai multe Routere WiFi) va arăta în continuare în listă. S-ar putea să doriți să verificați pentru durata de contracte de leasing in router. S-ar putea spune dacă cineva's de pe rețeaua dvs. peste noapte. Pe unele dispozitive care au doua placi de Retea sau un NIC și un Card Wireless ei'll show de două ori dacă ambele interfețe sunt activate.
Alte lucruri pe care mulți oameni uita despre a fi în rețea:
De aproximativ 6 ani în urmă, la birou am fost de lucru în mica noastră 3mb conexiunea a fost în jos pentru a 128k din cauza excesului de trafic. Proprietarii vrut să știu dacă a fost posibil pentru a vedea ce se întâmplă. Partea veche timp tipul a ridicat din umeri pentru că nu toate de trafic a fost de gând prin intermediul Windows 2000 server. El a verificat tabelele de rutare și de trafic jurnalele de pe server si am vazut nimic. Au fost't folosind un router destul de ciudat, așa ceva pe rețea ar putea obține o adresă de la modem. Tabelele de rutare s-a uitat la server erau numai pentru static mapări care a existat un cuplu de ani înainte. Am observat au fost't pe aceeași subrețea. Apoi le-am arătat DHCP fost't pe server.
Am gasit tot traficul care vine în după ore într-o noapte matura cu Wireshark. Unul dintre colegii mei a fost în necunoștință de hosting Japoneze sex-ul pe masina lui. Atacatorii au înrădăcinat mașinii sale după ce a instalat un backdoor care a venit împreună cu o versiune de cracare de un high-end software de editare video. De asemenea, am aflat care au fost difuzate Tor
, `demonoid", și " bitTorrent pe diferite mașini în departamente diferite la momente diferite. Wireshark găsit totul. A doua zi de internet a fost de până la viteza maxima... am instalat un router.
Daca're nu Wireshark s-ar putea, de asemenea, doriți să încercați tcpdump
.
Acest script va afișa adresele IP pentru toate gazdele dintr-o rețea.
#!/bin/bash
nmap $1 -n -sP | grep report | awk '{print $5}'
rwilson@rwilson-Aspire-E5-521:~/Scripts/Utils$
Mon Jul 27 06:41 AM> ./livehosts.sh 192.168.1.1/24
192.168.1.1
192.168.1.11
192.168.1.12
192.168.1.13
192.168.1.14
192.168.1.15
192.168.1.118
192.168.1.122
192.168.1.123
192.168.1.126
192.168.1.129
192.168.1.133
192.168.1.134
192.168.1.156
192.168.1.159
192.168.1.168
192.168.1.170
Uneori arp -o -n
obiceiul de a aduce adresa ip.
Efectuarea nmap-sP 192.168.1.1/24
va prelua gazdele trăiesc și după aceea, dacă le-ai încercat arpdin nou, se va arăta gazdele trăiesc. Asta e modul în care aceasta a lucrat pentru mine în linux mint. Dar te poți baza pe nmap
anyday.
Odată ce aveți privilegii de administrator (de exemplu, "root"), puteți utiliza netdiscover(8) " cu " - r
pavilion pentru a specifica diferite clasă și masca. Se folosește de rețea de clasă C /24 în mod implicit.
De exemplu:
$ sudo netdiscover -r 172.16.17.0/24
Producția va fi ceva de genul:
Currently scanning: Finished! | Screen View: Unique Hosts
3 Captured ARP Req/Rep packets, from 3 hosts. Total size: 180
_____________________________________________________________________________
IP At MAC Address Count Len MAC Vendor / Hostname
-----------------------------------------------------------------------------
172.16.17.1 00:50:56:c0:00:08 1 60 VMware, Inc.
172.16.17.2 00:50:56:f9:b9:b6 1 60 VMware, Inc.
172.16.17.254 00:50:56:fc:e4:76 1 60 VMware, Inc.
Dacă ai nevoie, de asemenea, gazdă amprentarea și don't minte folosind un program gratuit dar a închis-source instrument de apoi fing
este o altă opțiune:
sudo fing -r 1
Comparativ cu nmap 192.168.1.1/24 -n -sP
este mult mai rapid și va încerca, de asemenea, pentru a detecta dispozitivul producătorii de adrese MAC.
Disclaimer: nu am nici o afiliere cu instrumentul sau compania făcându-l, și nu am nici o idee ce alte lucruri (malefice sau nu) instrumentul ar putea face sub capota. Am'am folosit aplicații mobile pentru a găsi IP's pe LAN și a constatat că este util.
Exemplu pentru a găsi gazdă într-o rețea:
arp-scan 192.168.12.0/24 # if vlan tagged interface use -Q vlanid
etherape (GUI) arată graficele de activitate în rețea.
Alte instrumente în cazul în care sus-menționate aici.