it-swarm-eu.dev

Come trovare host live sulla mia rete?

Sto cercando di trovare gli host live sulla mia rete usando nmap. Sto eseguendo la scansione della rete in Ubuntu usando il comando Sudo nmap -sP 192.168.2.1/24. Tuttavia, non riesco a trovare gli host live. Ottengo l'indirizzo di rete del mio PC come live. Quando vedo l'elenco dei client DHCP attraverso il mio browser (è possibile accedere al mio router tramite browser utilizzando il mio IP di rete), ottengo circa 10 host live sulla rete. Qualcuno può dirmi il motivo per cui ciò potrebbe accadere e come posso trovare gli host live sulla mia rete?

277

Questo è il modo più semplice di eseguire scoperta dell'host con nmap.

nmap -sP 192.168.2.1/24

Perché non funziona sempre?

Quando viene eseguito questo comando, nmap tenta di eseguire il ping dell'intervallo di indirizzi IP specificato per verificare se gli host sono attivi. Se il ping fallisce, prova a inviare pacchetti syn alla porta 80 (scansione SYN). Ciò non è affidabile al cento per cento perché i moderni firewall basati su host bloccano il ping e la porta 80. Il firewall di Windows blocca il ping per impostazione predefinita. Gli host presenti sulla rete bloccano il ping e la porta 80 non accetta connessioni. Quindi nmap presuppone che l'host non sia attivo.

Quindi c'è una soluzione a questo problema?

Sì. Una delle opzioni disponibili è l'utilizzo del flag -P0 che salta il processo di rilevamento dell'host e tenta di eseguire una scansione della porta su tutti gli indirizzi IP (in questo caso verranno scansionati anche gli indirizzi IP vacanti). Ovviamente ci vorrà molto tempo per completare la scansione anche se ci si trova in una piccola rete (20-50 host). ma ti darà i risultati.

L'opzione migliore sarebbe quella di specificare porte personalizzate per la scansione. Nmap consente di sondare porte specifiche con pacchetti SYN/UDP. In genere si consiglia di sondare le porte di uso comune, ad esempio TCP-22 (ssh) o TCP-3389 (desktop remoto di Windows) o UDP- 161 (SNMP).

Sudo nmap -sP -PS22,3389 192.168.2.1/24 #custom TCP SYN scan
Sudo nmap -sP -PU161 192.168.2.1/24 #custom UDP scan

N.B. anche dopo aver specificato le porte personalizzate per la scansione potresti non ottenere un host attivo. Molto dipende da come è configurato l'host e da quali servizi sta utilizzando. Quindi devi solo continuare a sondare con diverse combinazioni. Ricorda, non eseguire scansioni su una rete senza la corretta autorizzazione.

aggiornamento: durante la scansione di una rete non si può mai essere certi che un determinato comando fornisca tutti i risultati desiderati. L'approccio dovrebbe essere quello di iniziare con il ping sweep di base e se non funziona prova a indovinare le applicazioni che potrebbero essere in esecuzione sugli host e sondare le porte corrispondenti. Anche l'idea di usare Wireshark è interessante. Potresti provare a inviare pacchetti ACK.

nmap -sP -PA21,22,25,3389 192.168.2.1/24 #21 is used by ftp

pdate two: I flag -sP e -P0 sono ora conosciuti rispettivamente come -sn e -Pn. Tuttavia, i flag più vecchi funzionano ancora nelle versioni più recenti.

301
Shurmajee

Il modo più semplice per verificarlo è verificare le tabelle ARP dopo aver eseguito il ping sweep usando nmap:

arp -a -n

Questo elenca tutti gli host che hanno risposto a una query ARP, anche quelli che filtrano ICMP.

81
Teun Vink

Anche Wireshark è bello.

Potresti voler dare un'occhiata Wireshark . Registra tutto il traffico sulla rete locale. Ti dirà quali nodi stanno trasmettendo. Puoi anche vedere cosa viene trasmesso. È disponibile in Ubuntu Software Center.

Inoltre ecco un link su installazione di Wireshark su Ubunt tramite riga di comando.

Per quanto riguarda il traffico mostrato nelle tabelle di routing DHCP, è necessario ricordare che molte macchine virtuali verranno visualizzate come macchine separate nell'elenco. Tutto ciò che è connesso alla tua rete di solito entro il tempo di noleggio predefinito di 24 ore (per la maggior parte dei router WiFi) verrà comunque visualizzato nell'elenco. È possibile che si desideri verificare la durata dei contratti di locazione nel router. Potrebbe dirti se qualcuno è sulla tua rete durante la notte. Su alcuni dispositivi che hanno una doppia scheda di rete o una NIC e una scheda wireless, verranno visualizzati due volte se entrambe le interfacce sono abilitate.

Altre cose che molte persone dimenticano di essere in rete:

  • Switch gestiti
  • Alcune stampanti
  • Schede di gestione remota del server
  • Telefono cellulare
  • Tivo e altri DVR
  • Apple TV
  • Alcuni televisori
  • Lettori DVD
  • Ricevitori A/V di rete
  • Playstation, XBox, ecc.
  • Dispositivi di gioco portatili
  • Ipad e altri tablet
  • Ipod e lettori musicali
  • PDA
  • Telefoni IP come Magic Jack Plus

Circa 6 anni fa, in ufficio, stavo lavorando nella nostra piccola connessione da 3 MB a 128k a causa di tutto il traffico in eccesso. I proprietari volevano sapere se era possibile vedere cosa stava succedendo. Il vecchio tecnico IT part-time si strinse nelle spalle perché non tutto il traffico passava attraverso il loro server Windows 2000. Controllò le tabelle di routing e i registri di traffico nel server e non vide nulla. Non stavano usando un router abbastanza stranamente, quindi qualsiasi cosa sulla rete poteva ottenere un indirizzo dal modem. Le tabelle di routing che ha esaminato nel server erano solo per mappature statiche che esistevano un paio di anni prima. Ho notato che non erano sulla stessa sottorete. Quindi ho mostrato loro che DHCP non era attivo nel server.

Ho trovato tutto il traffico che arriva dopo ore su una spazzata durante la notte con Wireshark. Uno dei miei colleghi stava inconsapevolmente ospitando un sito di sesso giapponese sulla sua macchina. Gli aggressori avevano rootato la sua macchina dopo aver installato una backdoor che era accompagnata da una versione crackata di un software di editing video di fascia alta. Abbiamo anche scoperto che stavano eseguendo Tor, demonoid e bitTorrent su varie macchine in reparti diversi in momenti diversi. Wireshark ha trovato tutto. Il giorno dopo Internet ha raggiunto la massima velocità ... abbiamo anche installato un router.

Se non sei pronto per Wireshark, potresti provare anche tcpdump.

26
AbsoluteƵERØ

Questo script bash genererà gli indirizzi IP di tutti gli host live su una rete.

#!/bin/bash

nmap $1 -n -sP | grep report | awk '{print $5}'

Esempio di utilizzo

[email protected]:~/Scripts/Utils$ 
Mon Jul 27 06:41 AM> ./livehosts.sh 192.168.1.1/24
192.168.1.1
192.168.1.11
192.168.1.12
192.168.1.13
192.168.1.14
192.168.1.15
192.168.1.118
192.168.1.122
192.168.1.123
192.168.1.126
192.168.1.129
192.168.1.133
192.168.1.134
192.168.1.156
192.168.1.159
192.168.1.168
192.168.1.170
11
Ricky Wilson

Dopo aver ottenuto i privilegi di amministratore (ovvero root), puoi utilizzare netdiscover(8) con -r flag per specificare diverse classi e maschere. Utilizza la classe di rete C/24 per impostazione predefinita.

Per esempio:

$ Sudo netdiscover -r 172.16.17.0/24

L'output sarà qualcosa del genere:

 Currently scanning: Finished!   |   Screen View: Unique Hosts                                                                                     

 3 Captured ARP Req/Rep packets, from 3 hosts.   Total size: 180                                                                                   
 _____________________________________________________________________________
   IP            At MAC Address     Count     Len  MAC Vendor / Hostname      
 -----------------------------------------------------------------------------
 172.16.17.1    00:50:56:c0:00:08      1      60  VMware, Inc.                                                                                    
 172.16.17.2    00:50:56:f9:b9:b6      1      60  VMware, Inc.                                                                                    
 172.16.17.254  00:50:56:fc:e4:76      1      60  VMware, Inc.                                                                                    
4
slayer

Qualche volta arp -a -n non recupererà l'indirizzo IP. Esecuzione di nmap -sP 192.168.1.1/24 recupererà gli host live e successivamente se riprovi arp, mostrerà gli host live. Ecco come ha funzionato per me in Linux Mint. Ma puoi fare affidamento su nmap ogni giorno.

3
PraveenMax

Se hai anche bisogno di fingerprinting Host e non ti dispiace usare uno strumento gratuito ma di origine chiusa allora fing è un'altra opzione:

Sudo fing -r 1

Rispetto a nmap 192.168.1.1/24 -n -sP è significativamente più veloce e proverà anche a rilevare i produttori di dispositivi dagli indirizzi MAC.

Dichiarazione di non responsabilità: non ho alcuna affiliazione con lo strumento o la società che lo produce e non ho idea di quali altre cose (malvagie o meno) lo strumento potrebbe fare sotto il cofano. Ho usato app mobili per trovare IP sulla mia LAN e l'ho trovato utile.

2
ccpizza

Esempio per la ricerca di host su una rete:

arp-scan 192.168.12.0/24   # if vlan tagged interface use -Q vlanid

etherape (GUI) mostra i grafici dell'attività di rete.

Alcuni altri strumenti sono stati menzionati sopra anche qui.

1
rocket