it-swarm.com.de

Wie finde ich Live-Hosts in meinem Netzwerk?

Ich versuche, die Live-Hosts in meinem Netzwerk mithilfe von nmap zu finden. Ich scanne das Netzwerk in Ubuntu mit dem Befehl Sudo nmap -sP 192.168.2.1/24. Ich kann die Live-Hosts jedoch nicht finden. Ich bekomme nur die Netzwerkadresse meines eigenen PCs als live. Wenn ich die DHCP-Client-Liste über meinen Browser sehe (auf meinen Router kann über einen Browser mit meiner Netzwerk-IP zugegriffen werden), erhalte ich ungefähr 10 Live-Hosts im Netzwerk. Kann mir jemand sagen, warum dies passieren könnte und wie finde ich die Live-Hosts in meinem Netzwerk?

277

Dies ist die einfachste Methode, um Host Discovery mit nmap durchzuführen.

nmap -sP 192.168.2.1/24

Warum funktioniert es nicht immer?

Wenn dieser Befehl ausgeführt wird, versucht nmap, den angegebenen IP-Adressbereich zu pingen, um zu überprüfen, ob die Hosts aktiv sind. Wenn der Ping fehlschlägt, wird versucht, Syn-Pakete an Port 80 zu senden (SYN-Scan). Dies ist nicht hundertprozentig zuverlässig, da moderne Host-basierte Firewalls Ping und Port 80 blockieren. Windows-Firewall blockiert Ping standardmäßig. Die Hosts im Netzwerk blockieren den Ping und der Port 80 akzeptiert keine Verbindungen. Daher geht nmap davon aus, dass der Host nicht aktiv ist.

Gibt es eine Problemumgehung für dieses Problem?

Ja. Eine der Optionen, die Sie haben, ist die Verwendung des -P0-Flags, das den Host-Erkennungsprozess überspringt und versucht, einen Port-Scan für alle IP-Adressen durchzuführen (in diesem Fall werden sogar freie IP-Adressen gescannt). Dies dauert natürlich sehr lange, bis der Scan abgeschlossen ist, selbst wenn Sie sich in einem kleinen Netzwerk (20-50 Hosts) befinden. aber es wird Ihnen die Ergebnisse geben.

Die bessere Option wäre, benutzerdefinierte Ports für das Scannen anzugeben. Nmap können Sie bestimmte Ports mit SYN/UDP-Paketen prüfen. Es wird allgemein empfohlen, häufig verwendete Ports zu prüfen, z. B. TCP-22 (ssh) oder TCP-3389 (Windows-Remotedesktop) oder UDP- 161 (SNMP).

Sudo nmap -sP -PS22,3389 192.168.2.1/24 #custom TCP SYN scan
Sudo nmap -sP -PU161 192.168.2.1/24 #custom UDP scan

N.B. Selbst nachdem Sie benutzerdefinierte Ports für das Scannen angegeben haben, erhalten Sie möglicherweise keinen aktiven Host. Viel hängt davon ab, wie der Host konfiguriert ist und welche Dienste er verwendet. Sie müssen also nur weiter mit verschiedenen Kombinationen suchen. Denken Sie daran, dass Sie keine Scans in einem Netzwerk ohne entsprechende Berechtigung durchführen.

pdate: Wenn Sie ein Netzwerk scannen, können Sie nie sicher sein, dass ein bestimmter Befehl Ihnen alle gewünschten Ergebnisse liefert. Der Ansatz sollte darin bestehen, mit dem grundlegenden Ping-Sweep zu beginnen. Wenn dies nicht funktioniert, versuchen Sie, die Anwendungen zu erraten, die möglicherweise auf den Hosts ausgeführt werden, und überprüfen Sie die entsprechenden Ports. Interessant ist auch die Idee, Wireshark einzusetzen. Möglicherweise möchten Sie versuchen, ACK-Pakete zu senden.

nmap -sP -PA21,22,25,3389 192.168.2.1/24 #21 is used by ftp

pdate zwei : Die Flags -sP und -P0 werden jetzt als -sn bzw. -Pn bezeichnet. Es wurde jedoch festgestellt, dass die älteren Flags in den neueren Versionen weiterhin funktionieren.

301
Shurmajee

Der einfachste Weg, dies zu überprüfen, besteht darin, die ARP-Tabellen nach dem Ping-Sweep mit nmap zu überprüfen:

arp -a -n

Hier werden alle Hosts aufgelistet, die auf eine ARP-Abfrage geantwortet haben, auch diejenigen, die ICMP filtern.

81
Teun Vink

Wireshark ist auch cool.

Vielleicht möchten Sie Wireshark auschecken. Es protokolliert den gesamten Datenverkehr im lokalen Netzwerk. Hier erfahren Sie, welche Knoten senden. Sie können auch sehen, was übertragen wird. Es ist im Ubuntu Software Center verfügbar.

Zusätzlich ist hier ein Link über Installation von Wireshark unter Ubunt über die Kommandozeile.

Beachten Sie in Bezug auf den Datenverkehr, der in Ihren DHCP-Routing-Tabellen angezeigt wird, dass viele virtuelle Maschinen als separate Maschinen in der Liste angezeigt werden. Alles, was normalerweise innerhalb der Standard-24-Stunden-Lease-Zeit (für die meisten WLAN-Router) mit Ihrem Netzwerk verbunden ist, wird weiterhin in der Liste angezeigt. Möglicherweise möchten Sie die Dauer der Leases im Router überprüfen. Es könnte Ihnen sagen, ob jemand über Nacht in Ihrem Netzwerk ist. Auf einigen Geräten mit zwei Netzwerkkarten oder einer NIC und einer Wireless-Karte) werden sie zweimal angezeigt, wenn beide Schnittstellen aktiviert sind.

Andere Dinge, die viele Leute vergessen, im Netzwerk zu sein:

  • Verwaltete Switches
  • Einige Drucker
  • Server-Fernverwaltungskarten
  • Handys
  • Tivo und andere DVRs
  • Apple TVs
  • Einige Fernseher
  • DVD Spieler
  • Netzwerk-A/V-Empfänger
  • Playstations, XBox usw.
  • Tragbare Spielgeräte
  • Ipads und andere Tabletten
  • Ipods und Musikplayer
  • PDAs
  • IP-Telefone wie Magic Jack Plus

Vor ungefähr 6 Jahren im Büro, in dem ich arbeitete, war unsere kleine 3-MB-Verbindung wegen des gesamten übermäßigen Datenverkehrs auf 128.000 gesunken. Die Besitzer wollten wissen, ob es möglich war zu sehen, was los war. Der alte Teilzeit-IT-Mitarbeiter zuckte mit den Schultern, weil nicht der gesamte Datenverkehr über den Windows 2000-Server geleitet wurde. Er überprüfte die Routing-Tabellen und Verkehrsprotokolle auf dem Server und sah nichts. Sie benutzten seltsamerweise keinen Router, sodass alles im Netzwerk eine Adresse vom Modem erhalten konnte. Die Routing-Tabellen, die er auf dem Server betrachtete, waren nur für statische Zuordnungen gedacht, die einige Jahre zuvor existierten. Mir ist aufgefallen, dass sie sich nicht im selben Subnetz befinden. Dann habe ich ihnen gezeigt, dass DHCP auf dem Server nicht aktiviert ist.

Ich fand den gesamten Verkehr, der nach Stunden bei einer Nachtfahrt mit Wireshark hereinkam. Einer meiner Mitarbeiter hat unwissentlich eine japanische Sexseite auf seiner Maschine gehostet. Die Angreifer hatten seine Maschine gerootet, nachdem er eine Hintertür installiert hatte, die mit einer geknackten Version einer High-End-Videobearbeitungssoftware geliefert wurde. Wir fanden auch heraus, dass sie Tor, demonoid und bitTorrent auf verschiedenen Maschinen in verschiedenen Abteilungen zu unterschiedlichen Zeiten ausführten. Wireshark hat alles gefunden. Am nächsten Tag war das Internet auf Hochtouren ... wir haben auch einen Router installiert.

Wenn Sie nicht für Wireshark bereit sind, können Sie auch tcpdump ausprobieren.

26
AbsoluteƵERØ

Dieses Bash-Skript gibt die IP-Adressen aller Live-Hosts in einem Netzwerk aus.

#!/bin/bash

nmap $1 -n -sP | grep report | awk '{print $5}'

Beispiel Verwendung

[email protected]:~/Scripts/Utils$ 
Mon Jul 27 06:41 AM> ./livehosts.sh 192.168.1.1/24
192.168.1.1
192.168.1.11
192.168.1.12
192.168.1.13
192.168.1.14
192.168.1.15
192.168.1.118
192.168.1.122
192.168.1.123
192.168.1.126
192.168.1.129
192.168.1.133
192.168.1.134
192.168.1.156
192.168.1.159
192.168.1.168
192.168.1.170
11
Ricky Wilson

Sobald Sie über Administratorrechte verfügen (d. H. root), können Sie netdiscover(8) mit dem Flag -r Verwenden, um verschiedene Klassen und Masken anzugeben. Standardmäßig wird die Netzwerkklasse C/24 verwendet.

Zum Beispiel:

$ Sudo netdiscover -r 172.16.17.0/24

Die Ausgabe wird ungefähr so ​​aussehen:

 Currently scanning: Finished!   |   Screen View: Unique Hosts                                                                                     

 3 Captured ARP Req/Rep packets, from 3 hosts.   Total size: 180                                                                                   
 _____________________________________________________________________________
   IP            At MAC Address     Count     Len  MAC Vendor / Hostname      
 -----------------------------------------------------------------------------
 172.16.17.1    00:50:56:c0:00:08      1      60  VMware, Inc.                                                                                    
 172.16.17.2    00:50:56:f9:b9:b6      1      60  VMware, Inc.                                                                                    
 172.16.17.254  00:50:56:fc:e4:76      1      60  VMware, Inc.                                                                                    
4
slayer

Manchmal arp -a -n ruft die IP-Adresse nicht ab. Durchführen von nmap -sP 192.168.1.1/24 ruft Live-Hosts ab. Wenn Sie danach arp erneut versuchen, werden die Live-Hosts angezeigt. So hat es bei mir in Linux Mint funktioniert. Aber Sie können sich jeden Tag auf nmap verlassen.

3
PraveenMax

Wenn Sie auch Host-Fingerabdrücke benötigen und nichts dagegen haben, ein kostenloses, aber geschlossenes Quell-Tool zu verwenden, dann fing ist eine andere Option:

Sudo fing -r 1

Verglichen mit nmap 192.168.1.1/24 -n -sP es ist deutlich schneller und versucht auch, Gerätehersteller anhand der MAC-Adressen zu erkennen.

Haftungsausschluss: Ich habe keine Beziehung zu dem Tool oder der Firma, die es herstellt, und ich habe keine Ahnung, welche anderen Dinge (böse oder nicht) das Tool unter der Haube tun könnte. Ich habe ihre mobile Apps verwendet, um IPs in meinem LAN zu finden, und fand sie nützlich.

2
ccpizza

Beispiel für die Suche nach einem Host in einem Netzwerk:

arp-scan 192.168.12.0/24   # if vlan tagged interface use -Q vlanid

etherape (GUI) zeigt Diagramme der Netzwerkaktivität.

Einige andere Tools wurden auch hier oben erwähnt.

1
rocket