「Kali Linux網絡掃描祕籍系列」使用 NetDiscover 探索第二層

NetDiscover簡介

NetDiscover是一個工具，用於通過ARP 主動和被動分析識別網絡主機。 它主要是在無線接口上使用; 然而，它在其它環境中上也具有功能。 在這個特定的秘籍中，我們將討論如何使用NetDiscover 進行主動和被動掃描。

操作步驟

NetDiscover 是專門為執行第2層發現而設計的工具。 NetDiscover 可以用於掃描一系列IP 地址，方法是使用-r 選項以CIDR 表示法中的網絡範圍作為參數。 輸出將生成一個表格，其中列出了活動IP 地址，相應的MAC 地址，響應數量，響應的長度和MAC 廠商：

root@kali:~# netdiscover -r 172.16.155.0/24

Currently scanning: Finished! | Screen View: Unique Hosts

4 Captured ARP Req/Rep packets, from 3 hosts. Total size: 240

_____________________________________________________________________________

IP At MAC Address Count Len MAC Vendor / Hostname

-----------------------------------------------------------------------------

172.16.155.1 00:50:56:c0:00:08 1 60 VMware, Inc.

172.16.155.2 00:50:56:e4:e6:af 1 60 VMware, Inc.

172.16.155.254 00:50:56:ee:88:3c 2 120 VMware, Inc.

NetDiscover 還可用於掃描來自輸入文本文件的IP 地址。 不是將CIDR 範圍符號作為參數傳遞，-l 選項可以與輸入文件的名稱或路徑結合使用：

root@kali:~# ls iplist.txt

iplist.txt

root@kali:~# cat iplist.txt

172.16.155.0/24

root@kali:~# netdiscover -l iplist.txt

Currently scanning: Finished! | Screen View: Unique Hosts

3 Captured ARP Req/Rep packets, from 3 hosts. Total size: 180

_____________________________________________________________________________

IP At MAC Address Count Len MAC Vendor / Hostname

-----------------------------------------------------------------------------

172.16.155.1 00:50:56:c0:00:08 1 60 VMware, Inc.

172.16.155.2 00:50:56:e4:e6:af 1 60 VMware, Inc.

172.16.155.254 00:50:56:ee:88:3c 1 60 VMware, Inc.

將此工具與其他工具區分開的另一個獨特功能是執行被動發現的功能。 對整個子網中的每個IP 地址ARP 廣播請求有時可以觸發來自安全設備（例如入侵檢測系統（IDS）或入侵防禦系統（IPS））的警報或響應。 更隱秘的方法是偵聽ARP 流量，因為掃描系統自然會與網絡上的其他系統交互，然後記錄從ARP 響應收集的數據。 這種被動掃描技術可以使用-p 選項執行：

root@kali:~# netdiscover -p

Currently scanning: (passive) | Screen View: Unique Hosts

6 Captured ARP Req/Rep packets, from 3 hosts. Total size: 360

_____________________________________________________________________________

IP At MAC Address Count Len MAC Vendor / Hostname

-----------------------------------------------------------------------------

172.16.155.2 00:50:56:e4:e6:af 4 240 VMware, Inc.

172.16.155.254 00:50:56:ee:88:3c 1 60 VMware, Inc.

172.16.155.1 00:50:56:c0:00:08 1 60 VMware, Inc.

注：以上命令運行之後如果沒有arp報文的是顯示不出來結果的，所以你可以ping一下對應的地址，這樣就可以收到了

這種技術在收集信息方面明顯更慢，因為請求必須作為正常網絡交互的結果產生，但是它也不會引起任何不必要的注意。 如果它在無線網絡上運行，這種技術更有效，因為混雜模式下，無線適配器會接收到目標是其他設備的ARP 應答。 為了在交換環境中有效工作，你需要訪問SPAN 或TAP，或者需要重載CAM 表來強制交換機開始廣播所有流量。

工作原理

NetDiscover ARP 發現的基本原理與我們之前所討論的第2層發現方法的基本相同。 這個工具和我們討論的其他一些工具的主要區別，包括被動發現模式，以及在輸出中包含MAC 廠商。 在大多數情況下，被動模式在交換網絡上是無用的，因為ARP 響應的接收仍然需要與發現的客戶端執行一些交互，儘管它們獨立於NetDiscover 工具。 然而，重要的是理解該特徵，及其它們在例如集線器或無線網絡的廣播網絡中可能會有用。 NetDiscover 通過評估返回的MAC 地址的前半部分（前3個字節/ 24位）來識別MAC 廠商。 這部分地址標識網絡接口的製造商，並且通常是設備其餘部分的硬件製造商的良好標識。

閱讀更多 Web安全陪跑團 的文章

關鍵字: 秘籍 第二層 鏡音雙子