NetDiscover简介
NetDiscover是一个工具,用于通过ARP 主动和被动分析识别网络主机。 它主要是在无线接口上使用; 然而,它在其它环境中上也具有功能。 在这个特定的秘籍中,我们将讨论如何使用NetDiscover 进行主动和被动扫描。
操作步骤
NetDiscover 是专门为执行第2层发现而设计的工具。 NetDiscover 可以用于扫描一系列IP 地址,方法是使用-r 选项以CIDR 表示法中的网络范围作为参数。 输出将生成一个表格,其中列出了活动IP 地址,相应的MAC 地址,响应数量,响应的长度和MAC 厂商:
root@kali:~# netdiscover -r 172.16.155.0/24
Currently scanning: Finished! | Screen View: Unique Hosts
4 Captured ARP Req/Rep packets, from 3 hosts. Total size: 240
_____________________________________________________________________________
IP At MAC Address Count Len MAC Vendor / Hostname
-----------------------------------------------------------------------------
172.16.155.1 00:50:56:c0:00:08 1 60 VMware, Inc.
172.16.155.2 00:50:56:e4:e6:af 1 60 VMware, Inc.
172.16.155.254 00:50:56:ee:88:3c 2 120 VMware, Inc.
NetDiscover 还可用于扫描来自输入文本文件的IP 地址。 不是将CIDR 范围符号作为参数传递,-l 选项可以与输入文件的名称或路径结合使用:
root@kali:~# ls iplist.txt
iplist.txt
root@kali:~# cat iplist.txt
172.16.155.0/24
root@kali:~# netdiscover -l iplist.txt
Currently scanning: Finished! | Screen View: Unique Hosts
3 Captured ARP Req/Rep packets, from 3 hosts. Total size: 180
_____________________________________________________________________________
IP At MAC Address Count Len MAC Vendor / Hostname
-----------------------------------------------------------------------------
172.16.155.1 00:50:56:c0:00:08 1 60 VMware, Inc.
172.16.155.2 00:50:56:e4:e6:af 1 60 VMware, Inc.
172.16.155.254 00:50:56:ee:88:3c 1 60 VMware, Inc.
将此工具与其他工具区分开的另一个独特功能是执行被动发现的功能。 对整个子网中的每个IP 地址ARP 广播请求有时可以触发来自安全设备(例如入侵检测系统(IDS)或入侵防御系统(IPS))的警报或响应。 更隐秘的方法是侦听ARP 流量,因为扫描系统自然会与网络上的其他系统交互,然后记录从ARP 响应收集的数据。 这种被动扫描技术可以使用-p 选项执行:
root@kali:~# netdiscover -p
Currently scanning: (passive) | Screen View: Unique Hosts
6 Captured ARP Req/Rep packets, from 3 hosts. Total size: 360
_____________________________________________________________________________
IP At MAC Address Count Len MAC Vendor / Hostname
-----------------------------------------------------------------------------
172.16.155.2 00:50:56:e4:e6:af 4 240 VMware, Inc.
172.16.155.254 00:50:56:ee:88:3c 1 60 VMware, Inc.
172.16.155.1 00:50:56:c0:00:08 1 60 VMware, Inc.
注:以上命令运行之后如果没有arp报文的是显示不出来结果的,所以你可以ping一下对应的地址,这样就可以收到了
这种技术在收集信息方面明显更慢,因为请求必须作为正常网络交互的结果产生,但是它也不会引起任何不必要的注意。 如果它在无线网络上运行,这种技术更有效,因为混杂模式下,无线适配器会接收到目标是其他设备的ARP 应答。 为了在交换环境中有效工作,你需要访问SPAN 或TAP,或者需要重载CAM 表来强制交换机开始广播所有流量。
工作原理
NetDiscover ARP 发现的基本原理与我们之前所讨论的第2层发现方法的基本相同。 这个工具和我们讨论的其他一些工具的主要区别,包括被动发现模式,以及在输出中包含MAC 厂商。 在大多数情况下,被动模式在交换网络上是无用的,因为ARP 响应的接收仍然需要与发现的客户端执行一些交互,尽管它们独立于NetDiscover 工具。 然而,重要的是理解该特征,及其它们在例如集线器或无线网络的广播网络中可能会有用。 NetDiscover 通过评估返回的MAC 地址的前半部分(前3个字节/ 24位)来识别MAC 厂商。 这部分地址标识网络接口的制造商,并且通常是设备其余部分的硬件制造商的良好标识。
閱讀更多 Web安全陪跑團 的文章
