ฉันจะใช้ Linux เพื่อค้นหาที่อยู่ IP ที่ไม่ได้ใช้ในเครือข่ายของฉันได้อย่างไร

ฉันสามารถเข้าถึงคอมพิวเตอร์สองเครื่อง (A และ B) บนเครือข่าย ทั้งคู่มีที่อยู่ IP แบบคงที่พร้อม subnet mask จำนวน 255.255.255.128 (ฉันตรวจสอบว่าเซิร์ฟเวอร์ DHCP ไม่ได้ถูกใช้) ฉันต้องการกำหนดค่าที่อยู่ IP หลายรายการให้กับเครื่องเดียวกันและด้วยเหตุนี้ฉันต้องการทราบว่าที่อยู่ IP ทั้งหมดที่ใช้ในซับเน็ตนั้น

จากคำถามก่อนหน้านี้ฉันลองใช้nmap -sP -PR 172.16.128.*คำสั่ง แต่ฉันสงสัยเกี่ยวกับผลลัพธ์เนื่องจากคำสั่งเดียวกันให้ผลลัพธ์ที่แตกต่างกันในคอมพิวเตอร์สองเครื่องของฉัน (A และ B) บนผลแสดงให้เห็นรายชื่อของที่อยู่ IP 8 คือ (สมมุติ) แล้วถูกนำมาใช้รวมทั้งA และ B

Nmap done: 256 IP addresses (8 hosts up) scanned in 1.23 seconds

แต่สำหรับ B ผลลัพธ์จะแตกต่างกันเช่น

Nmap done: 256 IP addresses (0 hosts up) scanned in 0.00 seconds

ผลลัพธ์บน B ไม่ได้แสดงที่อยู่ IP ของตัวเองรวมถึงที่อยู่ IP ของ A!

ฉันทำอะไรผิดที่นี่ มีวิธีที่ป้องกันไม่ได้ใน Red Hat Linux (RHEL) ของการค้นหาที่อยู่ IP ทั้งหมดที่ใช้ในเครือข่ายย่อยที่คอมพิวเตอร์ของฉันเป็นส่วนหนึ่งหรือไม่

RHEL: 6.5
Nmap version: 5.51

อุปกรณ์ที่ทำงานได้ดีใด ๆ บน Ethernet LAN สามารถข้ามการรับส่งข้อมูลได้เกือบทั้งหมดดังนั้น PINGs การสแกนพอร์ตและสิ่งที่คล้ายกันจึงไม่น่าเชื่อถือทั้งหมด อย่างไรก็ตามอุปกรณ์ไม่สามารถละเว้นคำขอ ARPได้ฟรี เนื่องจากคุณระบุว่าคุณกำลังสแกนเครือข่ายท้องถิ่นฉันพบว่าวิธีที่บอบบางที่สุดในการทำสิ่งที่คุณต้องการคือพยายามเชื่อมต่อกับที่อยู่ระยะไกลจากนั้นมองหาแคช ARP ของฉัน

นี่คืออุปกรณ์ที่ไม่ใช้การกรองที่เรียบง่าย (เช่นอุปกรณ์ที่ไม่ได้กำหนดค่าให้ละเว้นการรับส่งข้อมูล IP บางคลาส):

[me@risby tmp]$ ping -c 1 -W 1 192.168.3.1
PING 192.168.3.1 (192.168.3.1) 56(84) bytes of data.
64 bytes from 192.168.3.1: icmp_seq=1 ttl=64 time=0.351 ms
[...]
[me@risby tmp]$ arp -a -n|grep -w 192.168.3.1
? (192.168.3.1) at b8:27:eb:05:f5:71 [ether] on p1p1

นี่คืออุปกรณ์กรอง (หนึ่งที่กำหนดค่าด้วยบรรทัดเดียวของที่iptablesจะละเว้นการเข้าชมทั้งหมด ):

[me@risby tmp]$ ping -c 1 -W 1 192.168.3.31
[...]
1 packets transmitted, 0 received, 100% packet loss, time 0ms
[me@risby tmp]$ arp -a -n|grep -w 192.168.3.31
? (192.168.3.31) at b8:27:eb:02:e4:46 [ether] on p1p1

นี่คืออุปกรณ์ที่เพิ่งหยุดทำงาน บันทึกการขาดที่อยู่ MAC:

[me@risby tmp]$ ping -c 1 -W 1 192.168.3.241
[...]
1 packets transmitted, 0 received, 100% packet loss, time 0ms
[me@risby tmp]$ arp -a -n|grep -w 192.168.3.241
? (192.168.3.241) at <incomplete> on p1p1

วิธีนี้ไม่ผิดพลาด - มันพลาดอุปกรณ์ที่ปิดไปแล้วสำหรับสิ่งหนึ่ง - แต่มันเป็นวิธีที่แย่ที่สุดที่ฉันเคยลองมา

แก้ไข : Eric Duminil ใช่มันใช้ได้กับเครือข่ายท้องถิ่นเท่านั้น ดูวรรคหนึ่ง

Vishal วิธีการเหมือนกันตามหน้าที่ สังเกตข้อความที่ยกมาในคำตอบของลีโอเกี่ยวกับnmap:

เมื่อผู้ใช้ที่มีสิทธิพิเศษพยายามสแกนเป้าหมายบนเครือข่ายอีเธอร์เน็ตท้องถิ่นคำขอ ARP จะถูกใช้เว้นแต่จะ--send-ipระบุไว้

วิธีการของเขาเกี่ยวข้องกับการพิมพ์น้อย การขุดสามารถทำได้โดยไม่มีเอกสิทธิ์และอาจช่วยให้คุณเข้าใจถึงสิ่งที่เกิดขึ้นจริง แต่สิ่งเดียวกันนี้เกิดขึ้นกับลวดทั้งสองกรณี

เนื่องจากอุปกรณ์ไม่สามารถละเว้นการร้องขอ ARP arp-scanผมชอบที่จะใช้เครื่องมือที่มีชื่อว่า มันมีอยู่ในที่เก็บข้อมูลส่วนใหญ่

เมื่อคุณเรียกใช้คำสั่งด้วย--localnetสวิตช์มันจะให้ภาพรวมของเครือข่ายภายในทั้งหมดของคุณ

sudo arp-scan --localnet

แสดงรายการที่อยู่ IP และที่อยู่ MAC ทั้งหมดในเครือข่ายของฉัน นอกจากนี้ยังเป็นไปได้ที่จะระบุช่วงเครือข่ายที่จะสแกน

sudo arp-scan 172.16.128.0/25

-Iหากคุณมีการเชื่อมต่อเครือข่ายหลายกำหนดค่าคุณสามารถระบุหนึ่งที่คุณต้องการที่จะใช้กับสวิทช์

sudo arp-scan -I eth0 172.16.128.0/25

ข้อมูลเพิ่มเติมเกี่ยวกับสวิทช์ไปได้ที่สามารถพบได้ที่https://linux.die.net/man/1/arp-scanman arp-scanหรือโดยการเรียกใช้

ฉันไม่รู้ว่าคุณใช้ nmap เวอร์ชันใดใน Red Hat 6.5 ของคุณ แต่สำหรับรุ่นล่าสุดวิธีที่ถูกต้อง (และเร็วกว่า) ที่ฉันคิดว่าน่าจะเป็น:

nmap -sn -n 172.16.128.0/25

นี่จะแสดงรายการโฮสต์ทั้งหมดในเครือข่ายของคุณ (ดังนั้นคุณสามารถใช้ IP อื่น ๆ จากเครือข่ายย่อยนั้นตามที่ควรจะมี)

แก้ไขและหมายเหตุ:เครือข่ายย่อยที่คุณพูดถึงคือ 255.255.255.128 แต่จากนั้นคุณจะแสดงผลลัพธ์เป็นสแกน 254 โฮสต์ นอกจากว่าฉันขาดอะไรบางอย่างไปก็ควรมีหน้ากาก 25 หน้าและโฮส 126 ตัว หากคุณต้องการสแกน / 24 ให้เปลี่ยนคำสั่งด้านบนเพื่อสอบถามโฮสต์ 254 ทั้งหมด

จากหนังสือ nmap -sPถูกยกเลิกและแทนที่ด้วย-sn:

-sn (ไม่มีการสแกนพอร์ต)

ตัวเลือกนี้จะบอก Nmap ว่าจะไม่ทำการสแกนพอร์ตหลังจากค้นหาโฮสต์และพิมพ์เฉพาะโฮสต์ที่มีอยู่ซึ่งตอบสนองต่อโพรบการค้นพบโฮสต์ สิ่งนี้มักรู้จักกันในชื่อ“ การสแกนแบบปิง” แต่คุณสามารถขอให้สคริปต์ traceroute และ NSE โฮสต์ทำงานได้ นี่คือค่าเริ่มต้นที่น่ารำคาญกว่าการสแกนรายการหนึ่งขั้นตอนและมักจะสามารถใช้เพื่อจุดประสงค์เดียวกัน มันช่วยให้การสำรวจแสงของเครือข่ายเป้าหมายโดยไม่ดึงดูดความสนใจมากนัก การรู้จำนวนโฮสต์ที่ใช้งานมีค่ามากกว่าสำหรับผู้โจมตีมากกว่ารายการที่ได้จากการสแกนรายการของ IP ทุกตัวและชื่อโฮสต์

ผู้ดูแลระบบมักจะพบว่าตัวเลือกนี้มีค่าเช่นกัน สามารถใช้เพื่อนับจำนวนเครื่องที่มีอยู่ในเครือข่ายหรือตรวจสอบความพร้อมของเซิร์ฟเวอร์ สิ่งนี้มักเรียกว่าการกวาด ping และมีความน่าเชื่อถือมากกว่าการส่ง Ping ไปยังที่อยู่ออกอากาศเนื่องจากโฮสต์จำนวนมากไม่ตอบกลับข้อความค้นหาที่ออกอากาศ

การค้นหาโฮสต์เริ่มต้นที่ทำด้วย -sn ประกอบด้วยการร้องขอ ICMP echo, TCP SYN ไปยังพอร์ต 443, TCP ACK ถึงพอร์ต 80 และการร้องขอเวลาประทับ ICMP โดยค่าเริ่มต้น เมื่อดำเนินการโดยผู้ใช้ที่ไม่มีสิทธิพิเศษจะส่งเฉพาะแพคเก็ต SYN (ใช้การเชื่อมต่อการโทร) ไปยังพอร์ต 80 และ 443 บนเป้าหมาย เมื่อผู้ใช้ที่มีสิทธิพิเศษพยายามสแกนเป้าหมายบนเครือข่ายอีเธอร์เน็ตท้องถิ่นคำขอ ARP จะถูกใช้จนกว่าจะระบุ --send-ip อ็อพชัน -sn สามารถรวมกับชนิดโพรบการค้นหาใด ๆ (ตัวเลือก -P * ไม่รวม -Pn) เพื่อความยืดหยุ่นที่มากขึ้น หากใช้โพรบชนิดใดชนิดหนึ่งและตัวเลือกหมายเลขพอร์ตโพรบเริ่มต้นจะถูกแทนที่ เมื่อไฟร์วอลล์ที่เข้มงวดอยู่ระหว่างโฮสต์ต้นทางที่รัน Nmap และเครือข่ายเป้าหมายแนะนำให้ใช้เทคนิคขั้นสูงเหล่านั้น

ใน Nmap รุ่นก่อนหน้า -sn ถูกเรียกว่า -sP

-nคือการหลีกเลี่ยงการแก้ปัญหา DNS ของลูกค้า (ทำให้การสแกนได้เร็วขึ้น):

-n (ไม่มีการแก้ไข DNS)

บอก Nmap ว่าจะไม่ทำการแก้ไข DNS กลับด้านบนที่อยู่ IP ที่ใช้งานอยู่ที่พบ เนื่องจาก DNS สามารถทำงานช้าแม้จะใช้ตัวแก้ไข stub แบบขนานในตัวของ Nmap ตัวเลือกนี้จึงสามารถลดเวลาการสแกนลงได้

คุณสามารถใช้ชุดค่าผสมอื่น ๆ เพื่อทำการสแกนหรือบริการที่ลึกซึ้งยิ่งขึ้น แต่นั่นก็เพียงพอแล้วสำหรับสิ่งที่คุณกำลังมองหาเว้นแต่โฮสต์จะปิดบังตัวเองหรือทิ้งทุกสิ่ง

ที่มา: https://nmap.org/book/man-host-discovery.html

ส่วนที่ 1 - fping

เครื่องมือนี้ส่ง Ping ทุกอย่างในช่วงเครือข่ายที่ระบุและแสดงคำตอบนั้นผ่าน ICMP

root@thionite:~# fping -a -g 10.28.1.0/24
10.28.1.1
10.28.1.2
10.28.1.3
10.28.1.4
10.28.1.5
10.28.1.12.....

ส่วนที่ 2 - arp

ตั้งแต่ fping พูดคุยกับทุกอย่างใน LAN นั่นจะทำให้มีการเพิ่มรายการในตาราง ARP ของระบบ อ่านมันภายในสองสามนาทีเนื่องจากตาราง arp จะลบรายการเก่า

root@thionite:~# arp -a | grep -v incomplete
? (10.28.1.1) at 00:0d:b9:35:29:c4 [ether] on eth0
? (10.28.1.2) at 68:05:ca:10:53:5f [ether] on eth0
? (10.28.1.3) at d2:f1:6e:54:05:22 [ether] on eth0
? (10.28.1.4) at 00:1a:4d:26:85:ee [ether] on eth0
? (10.28.1.5) at 6e:a6:e5:78:da:ca [ether] on eth0
? (10.28.1.12) at 3c:4a:92:76:85:d8 [ether] on eth0

โปรดทราบว่าตาราง ARP มีขนาดสูงสุดและเคอร์เนลจะขับไล่รายการการใช้งานเก่าและต่ำ

ใส่ทุกอย่างเข้าด้วยกัน

 fping -a -g 10.28.1.0/24 && arp -a | grep -v incomplete > arp.txt

จากนั้นเรียกดู arp.txt ตามเวลาว่างของคุณ

IPv6

อย่าคิดว่า IPv4 เป็นตัวเลือกเดียวของคุณ ระบบปฏิบัติการที่ทันสมัยหลายแห่งรองรับ IPv6 ได้ดีแม้ว่า ISP ของคุณจะไม่ให้การเชื่อมต่อ V6 ก็ตาม

อาจมีอุปกรณ์ที่สามารถเข้าถึงได้โดย IPv6 เท่านั้นหรือแม้แต่โปรโตคอลอื่น ๆ

มีที่อยู่หลายผู้รับที่มีประโยชน์ซึ่งบันทึกไว้ใน https://en.wikipedia.org/wiki/Multicast_address#IPv6 แต่ที่น่าสนใจสำหรับคุณคือff02 :: 1

root@thionite:~# ping6 -I eth0 ff02::1
PING ff02::1(ff02::1) from fe80::4261:86ff:fec4:cbaa%eth0 eth0: 56 data bytes
64 bytes from fe80::4261:86ff:fec4:cbaa%eth0: icmp_seq=1 ttl=64 time=0.047 ms
64 bytes from fe80::21a:4dff:fe26:85ee%eth0: icmp_seq=1 ttl=64 time=0.215 ms (DUP!)
64 bytes from fe80::6a05:caff:fe10:535f%eth0: icmp_seq=1 ttl=64 time=0.233 ms (DUP!)
64 bytes from fe80::226:55ff:feda:299c%eth0: icmp_seq=1 ttl=64 time=0.334 ms (DUP!)
64 bytes from fe80::20d:b9ff:fe35:29c4%eth0: icmp_seq=1 ttl=64 time=0.501 ms (DUP!)
64 bytes from fe80::21e:c2ff:fe13:36bf%eth0: icmp_seq=1 ttl=64 time=0.512 ms (DUP!)
64 bytes from fe80::3e4a:92ff:fe76:85d8%eth0: icmp_seq=1 ttl=1 time=0.518 ms (DUP!)
64 bytes from fe80::3e4a:92ff:fe76:8506%eth0: icmp_seq=1 ttl=1 time=0.757 ms (DUP!)
64 bytes from fe80::3e4a:92ff:fe76:e550%eth0: icmp_seq=1 ttl=1 time=0.772 ms (DUP!)
64 bytes from fe80::60cc:69ff:fe4f:7db0%eth0: icmp_seq=1 ttl=64 time=0.992 ms (DUP!)
64 bytes from fe80::90e4:77ff:fe32:3232%eth0: icmp_seq=1 ttl=64 time=1.00 ms (DUP!)
64 bytes from fe80::90e4:77ff:fe30:3030%eth0: icmp_seq=1 ttl=64 time=1.24 ms (DUP!)
64 bytes from fe80::90e4:77ff:fe31:3131%eth0: icmp_seq=1 ttl=64 time=1.34 ms (DUP!)
64 bytes from fe80::6ca6:e5ff:fe78:daca%eth0: icmp_seq=1 ttl=64 time=2.35 ms (DUP!)
64 bytes from fe80::b639:d6ff:feab:1000%eth0: icmp_seq=1 ttl=64 time=7.04 ms (DUP!)
64 bytes from fe80::3e4a:92ff:fe76:85d8%eth0: icmp_seq=1 ttl=1 time=8.02 ms (DUP!)
64 bytes from fe80::3e4a:92ff:fe76:8506%eth0: icmp_seq=1 ttl=1 time=8.03 ms (DUP!)
64 bytes from fe80::3e4a:92ff:fe76:e550%eth0: icmp_seq=1 ttl=1 time=8.06 ms (DUP!)
64 bytes from fe80::212:12ff:fef7:8044%eth0: icmp_seq=1 ttl=64 time=8.24 ms (DUP!)
64 bytes from fe80::8edc:d4ff:fef2:67e0%eth0: icmp_seq=1 ttl=64 time=18.3 ms (DUP!)
64 bytes from fe80::21e:c2ff:fea9:6d71%eth0: icmp_seq=1 ttl=64 time=295 ms (DUP!)
...repeats

คำตอบที่ไม่ดีคือการ ping ที่อยู่การออกอากาศด้วย

root@thionite:~# ping -b 10.28.255.255
WARNING: pinging broadcast address
PING 10.28.255.255 (10.28.255.255) 56(84) bytes of data.
64 bytes from 10.28.2.7: icmp_seq=1 ttl=64 time=0.220 ms
64 bytes from 10.28.3.12: icmp_seq=1 ttl=255 time=0.594 ms (DUP!)
64 bytes from 10.28.9.4: icmp_seq=1 ttl=64 time=1.03 ms (DUP!)
64 bytes from 10.28.1.151: icmp_seq=1 ttl=255 time=1.04 ms (DUP!)
64 bytes from 10.28.3.13: icmp_seq=1 ttl=255 time=2.22 ms (DUP!)
64 bytes from 10.28.3.11: icmp_seq=1 ttl=255 time=2.43 ms (DUP!)

มี ~ 50 IP ที่อยู่ในเครือข่ายที่มี / 16 netmask และมีเพียงเจ็ดที่ตอบกลับ ดังนั้นนี่ไม่ใช่ทางออกที่ดี

นอกเหนือไปจากคำตอบของ MadHatter มีเครื่องมือที่จะค้นหา ARP โดยไม่ต้องพยายามที่จะส่งแพ็คเก็ตเครือข่ายก่อน: arping

ดูเหมือนจะมีการใช้งานสองแบบ:

• arping (รุ่นโทมัส Habets)
• arping (เวอร์ชั่น iputils)

เพื่อจุดประสงค์ของคุณฉันจะใช้แพ็คเกจจากการแจกจ่าย linux ของคุณเนื่องจากความแตกต่างอาจมีเฉพาะในรายละเอียดเท่านั้น

ย้อนกลับไปเมื่อไดโนเสาร์ท่องไปทั่วโลกโปรโต - เนิร์ดใช้นาฬิกาจับเวลา

arpwatch เป็นเครื่องมือซอฟต์แวร์คอมพิวเตอร์สำหรับตรวจสอบการรับส่งข้อมูล Address Resolution Protocol บนเครือข่ายคอมพิวเตอร์ [1] มันสร้างบันทึกการจับคู่ที่อยู่ IP ที่สังเกตเห็นกับที่อยู่ MAC พร้อมกับการประทับเวลาเมื่อการจับคู่ปรากฏบนเครือข่าย นอกจากนี้ยังมีตัวเลือกในการส่งอีเมลไปยังผู้ดูแลระบบเมื่อมีการเปลี่ยนแปลงการจับคู่หรือเพิ่ม

arpwatch man page

เข้าสู่ระบบเพื่อสลับของคุณและปัญหา show mac-address หรือคำสั่งที่คล้ายกัน (ขึ้นอยู่กับยี่ห้อและรุ่น) สิ่งนี้จะให้ที่อยู่ MAC ทั้งหมดของอุปกรณ์ที่ใช้งานอยู่ (ยกเว้นเจ้าสลับเอง) หาก MAC เครื่องใดเครื่องหนึ่งเหล่านี้ไม่เกิดขึ้นในเครื่อง MAC ที่พบกับวิธีการ ping หรือวิธีอื่นใดในคำตอบอื่น ๆ คุณอาจต้องการตรวจสอบเพิ่มเติมว่าเป็นอุปกรณ์ใด บางทีมันอาจไม่สำคัญเพราะมันไม่ได้พูด IP หรือเป็นของ VLAN อื่น แต่อย่างน้อยคุณสามารถดูภาพรวมได้ว่าโพรบอื่นของคุณนั้นถูกต้องหรือไม่