Wie finde ich unter Linux nicht verwendete IP-Adressen in meinem Netzwerk?

Ich habe Zugriff auf zwei Computer (A und B) in einem Netzwerk. Beide haben eine statische IP-Adresse mit einer Subnetzmaske von 255.255.255.128 (ich habe überprüft, dass kein DHCP-Server verwendet wird). Ich möchte mehrere IP-Adressen auf demselben Computer konfigurieren und daher wissen, welche IP-Adressen bereits im Subnetz verwendet werden.

Aus einer früheren Frage habe ich versucht, einen nmap -sP -PR 172.16.128.*Befehl zu verwenden, aber ich bin skeptisch, was das Ergebnis betrifft, da derselbe Befehl auf meinen beiden Computern (A und B) unterschiedliche Ergebnisse liefert. Auf A, das Ergebnis zeigt, eine Liste von IP - Adressen , 8, die (angeblich) bereits verwendet, einschließlich der von A und B .

Nmap done: 256 IP addresses (8 hosts up) scanned in 1.23 seconds

Aber auf B ist das Ergebnis anders, dh

Nmap done: 256 IP addresses (0 hosts up) scanned in 0.00 seconds

Das Ergebnis auf B zeigt nicht einmal die eigene IP-Adresse sowie die IP-Adresse von A an!

Was genau mache ich hier falsch? Gibt es in Red Hat Linux (RHEL) eine idiotensichere Möglichkeit, alle IP-Adressen zu ermitteln, die in dem Subnetz verwendet werden, zu dem mein Computer gehört?

RHEL: 6.5
Nmap version: 5.51

Jedes gut erzogene Gerät in einem Ethernet-LAN ​​kann fast jeden Datenverkehr ignorieren, sodass PINGs, Port-Scans und dergleichen unzuverlässig sind. Geräte können ARP-Anfragen jedoch nicht ignorieren . Unter der Voraussetzung, dass Sie angeben, dass Sie ein lokales Netzwerk scannen, besteht die am wenigsten anfällige Methode darin, eine Verbindung zu einer Remoteadresse herzustellen und dann in meinem ARP-Cache nachzuschlagen.

Hier ist ein einfaches Gerät ohne Filterung (dh eines, das nicht zum Ignorieren einiger Klassen von IP-Verkehr konfiguriert ist):

[me@risby tmp]$ ping -c 1 -W 1 192.168.3.1
PING 192.168.3.1 (192.168.3.1) 56(84) bytes of data.
64 bytes from 192.168.3.1: icmp_seq=1 ttl=64 time=0.351 ms
[...]
[me@risby tmp]$ arp -a -n|grep -w 192.168.3.1
? (192.168.3.1) at b8:27:eb:05:f5:71 [ether] on p1p1

Hier ist ein Filtergerät (eines, das mit einer einzigen Zeile konfiguriert wurde iptables, um den gesamten Datenverkehr zu ignorieren ):

[me@risby tmp]$ ping -c 1 -W 1 192.168.3.31
[...]
1 packets transmitted, 0 received, 100% packet loss, time 0ms
[me@risby tmp]$ arp -a -n|grep -w 192.168.3.31
? (192.168.3.31) at b8:27:eb:02:e4:46 [ether] on p1p1

Hier ist ein Gerät, das gerade außer Betrieb ist. Beachten Sie das Fehlen einer MAC-Adresse:

[me@risby tmp]$ ping -c 1 -W 1 192.168.3.241
[...]
1 packets transmitted, 0 received, 100% packet loss, time 0ms
[me@risby tmp]$ arp -a -n|grep -w 192.168.3.241
? (192.168.3.241) at <incomplete> on p1p1

Diese Methode ist nicht unfehlbar - sie vermisst zum einen Geräte, die ausgeschaltet sind -, aber es ist die am wenigsten schreckliche Methode, die ich bisher ausprobiert habe.

Edit : Eric Duminil, ja, es funktioniert nur in einem lokalen Netzwerk; siehe Absatz eins.

Vishal, die Methoden sind funktional identisch. Beachten Sie den in Leos Antwort zitierten Text über nmap:

Wenn ein privilegierter Benutzer versucht, Ziele in einem lokalen Ethernet-Netzwerk zu scannen, werden ARP-Anforderungen verwendet, sofern nichts --send-ipanderes angegeben wurde.

Seine Methode beinhaltet weniger Tippen. Meins kann ohne Privileg durchgeführt werden und kann Ihnen ein besseres Verständnis dafür geben, was tatsächlich passiert. Aber in beiden Fällen wird das Gleiche am Draht gemacht.

Da ein Gerät ARP-Anfragen nicht ignorieren kann, verwende ich gerne ein Tool mit dem Namen arp-scan. Es ist in den meisten Repositories verfügbar.

Wenn Sie den Befehl mit dem --localnetSwitch ausführen , erhalten Sie einen Überblick über Ihr gesamtes internes Netzwerk.

sudo arp-scan --localnet

Gibt mir eine Liste aller IP- und MAC-Adressen in meinem Netzwerk. Es ist auch möglich, einen zu scannenden Netzwerkbereich anzugeben.

sudo arp-scan 172.16.128.0/25

Wenn Sie mehrere Netzwerkschnittstellen konfiguriert haben, können Sie diejenige angeben, die Sie mit dem Switch verwenden möchten -I.

sudo arp-scan -I eth0 172.16.128.0/25

Weitere Informationen zu möglichen Switches finden Sie unter https://linux.die.net/man/1/arp-scan oder indem Sie ausführen man arp-scan.

Ich weiß nicht, welche Version von nmap Sie in Ihrem Red Hat 6.5 ausführen, aber für neuere Releases denke ich, dass dies die richtige (und schnellere) Art ist:

nmap -sn -n 172.16.128.0/25

Dadurch werden alle Hosts in Ihrem Netzwerk aufgelistet (Sie können also jede andere IP-Adresse aus diesem Subnetz verwenden, die verfügbar sein sollte).

Bearbeiten und beachten: Das von Ihnen erwähnte Subnetz ist 255.255.255.128, aber dann wird die Ausgabe als Scannen von 254 Hosts angezeigt. Es sei denn, ich vermisse etwas, das eine / 25-Maske und 126 verfügbare Hosts sein sollte. Wenn Sie eine / 24 scannen möchten, ändern Sie den obigen Befehl, um alle 254 Hosts abzufragen.

Aus dem nmap-Buch -sPwird eingestellt und ersetzt durch -sn:

-sn (kein Port-Scan)

Diese Option weist Nmap an, nach der Hosterkennung keinen Port-Scan durchzuführen und nur die verfügbaren Hosts auszudrucken, die auf die Hosterkennungsprüfungen geantwortet haben. Dies wird häufig als "Ping-Scan" bezeichnet. Sie können jedoch auch die Ausführung von Traceroute- und NSE-Hostskripten anfordern. Dies ist standardmäßig einen Schritt aufdringlicher als der Listenscan und kann häufig für dieselben Zwecke verwendet werden. Es ermöglicht die leichte Aufklärung eines Zielnetzwerks, ohne viel Aufmerksamkeit auf sich zu ziehen. Zu wissen, wie viele Hosts verfügbar sind, ist für Angreifer wertvoller als die Liste, die durch den Listenscan jeder einzelnen IP-Adresse und jedes einzelnen Hostnamens bereitgestellt wird.

Systemadministratoren finden diese Option häufig ebenfalls nützlich. Es kann leicht verwendet werden, um verfügbare Maschinen in einem Netzwerk zu zählen oder die Serververfügbarkeit zu überwachen. Dies wird oft als Ping-Sweep bezeichnet und ist zuverlässiger als das Pingen der Broadcast-Adresse, da viele Hosts auf Broadcast-Anfragen nicht antworten.

Die mit -sn durchgeführte Standardhosterkennung besteht standardmäßig aus einer ICMP-Echoanforderung, TCP-SYN an Port 443, TCP-ACK an Port 80 und einer ICMP-Zeitstempelanforderung. Bei Ausführung durch einen nicht privilegierten Benutzer werden nur SYN-Pakete (unter Verwendung eines Verbindungsaufrufs) an die Ports 80 und 443 des Ziels gesendet. Wenn ein privilegierter Benutzer versucht, Ziele in einem lokalen Ethernet-Netzwerk zu scannen, werden ARP-Anforderungen verwendet, sofern nicht --send-ip angegeben wurde. Die Option -sn kann mit jedem der Discovery-Sondentypen (die Option -P *, außer -Pn) kombiniert werden, um die Flexibilität zu erhöhen. Wenn eine dieser Optionen für Sondentyp und Portnummer verwendet wird, werden die Standard-Sondentypen überschrieben. Wenn zwischen dem Quellhost, auf dem Nmap ausgeführt wird, und dem Zielnetzwerk strenge Firewalls vorhanden sind, wird die Verwendung dieser erweiterten Techniken empfohlen.

In früheren Versionen von Nmap war -sn als -sP bekannt.

Das -nsoll die DNS-Auflösung der Clients vermeiden (macht den Scan schneller):

-n (keine DNS-Auflösung)

Weist Nmap an, die DNS-Auflösung für die gefundenen aktiven IP-Adressen niemals umzukehren. Da DNS auch mit dem integrierten Parallel-Stub-Resolver von Nmap langsam sein kann, kann diese Option die Scan-Zeiten verkürzen.

Sie können andere Kombinationen verwenden, um den Scan oder die Dienste zu vertiefen. Dies sollte jedoch für das, wonach Sie suchen, ausreichen, es sei denn, die Hosts maskieren sich selbst oder löschen alles.

Quelle: https://nmap.org/book/man-host-discovery.html

Teil 1 - fping

Dieses Tool pingt alles in dem angegebenen Netzwerkbereich und zeigt diejenigen an, die über ICMP antworten.

root@thionite:~# fping -a -g 10.28.1.0/24
10.28.1.1
10.28.1.2
10.28.1.3
10.28.1.4
10.28.1.5
10.28.1.12.....

Teil 2 - Arp

Da fping mit allem im LAN gesprochen hat, wurde ein Eintrag zur ARP-Tabelle des Systems hinzugefügt. Lesen Sie es innerhalb weniger Minuten vor, da die Arp-Tabelle alte Einträge löscht.

root@thionite:~# arp -a | grep -v incomplete
? (10.28.1.1) at 00:0d:b9:35:29:c4 [ether] on eth0
? (10.28.1.2) at 68:05:ca:10:53:5f [ether] on eth0
? (10.28.1.3) at d2:f1:6e:54:05:22 [ether] on eth0
? (10.28.1.4) at 00:1a:4d:26:85:ee [ether] on eth0
? (10.28.1.5) at 6e:a6:e5:78:da:ca [ether] on eth0
? (10.28.1.12) at 3c:4a:92:76:85:d8 [ether] on eth0

Beachten Sie auch, dass die ARP-Tabelle eine maximale Größe hat und der Kernel alte Einträge mit geringer Nutzung entfernt.

Alles zusammen mit

 fping -a -g 10.28.1.0/24 && arp -a | grep -v incomplete > arp.txt

Stöbern Sie dann in der Datei arp.txt.

IPv6

Gehen Sie nicht davon aus, dass IPv4 Ihre einzige Option ist. Viele moderne Betriebssysteme unterstützen IPv6 ohne Probleme, auch wenn Ihr ISP keine V6-Konnektivität bietet.

Es kann sogar Geräte geben, die nur über IPv6 oder andere Protokolle erreichbar sind.

In https://en.wikipedia.org/wiki/Multicast_address#IPv6 sind eine Reihe praktischer Multicast-Adressen dokumentiert. Die für Sie interessante ist jedoch ff02 :: 1

root@thionite:~# ping6 -I eth0 ff02::1
PING ff02::1(ff02::1) from fe80::4261:86ff:fec4:cbaa%eth0 eth0: 56 data bytes
64 bytes from fe80::4261:86ff:fec4:cbaa%eth0: icmp_seq=1 ttl=64 time=0.047 ms
64 bytes from fe80::21a:4dff:fe26:85ee%eth0: icmp_seq=1 ttl=64 time=0.215 ms (DUP!)
64 bytes from fe80::6a05:caff:fe10:535f%eth0: icmp_seq=1 ttl=64 time=0.233 ms (DUP!)
64 bytes from fe80::226:55ff:feda:299c%eth0: icmp_seq=1 ttl=64 time=0.334 ms (DUP!)
64 bytes from fe80::20d:b9ff:fe35:29c4%eth0: icmp_seq=1 ttl=64 time=0.501 ms (DUP!)
64 bytes from fe80::21e:c2ff:fe13:36bf%eth0: icmp_seq=1 ttl=64 time=0.512 ms (DUP!)
64 bytes from fe80::3e4a:92ff:fe76:85d8%eth0: icmp_seq=1 ttl=1 time=0.518 ms (DUP!)
64 bytes from fe80::3e4a:92ff:fe76:8506%eth0: icmp_seq=1 ttl=1 time=0.757 ms (DUP!)
64 bytes from fe80::3e4a:92ff:fe76:e550%eth0: icmp_seq=1 ttl=1 time=0.772 ms (DUP!)
64 bytes from fe80::60cc:69ff:fe4f:7db0%eth0: icmp_seq=1 ttl=64 time=0.992 ms (DUP!)
64 bytes from fe80::90e4:77ff:fe32:3232%eth0: icmp_seq=1 ttl=64 time=1.00 ms (DUP!)
64 bytes from fe80::90e4:77ff:fe30:3030%eth0: icmp_seq=1 ttl=64 time=1.24 ms (DUP!)
64 bytes from fe80::90e4:77ff:fe31:3131%eth0: icmp_seq=1 ttl=64 time=1.34 ms (DUP!)
64 bytes from fe80::6ca6:e5ff:fe78:daca%eth0: icmp_seq=1 ttl=64 time=2.35 ms (DUP!)
64 bytes from fe80::b639:d6ff:feab:1000%eth0: icmp_seq=1 ttl=64 time=7.04 ms (DUP!)
64 bytes from fe80::3e4a:92ff:fe76:85d8%eth0: icmp_seq=1 ttl=1 time=8.02 ms (DUP!)
64 bytes from fe80::3e4a:92ff:fe76:8506%eth0: icmp_seq=1 ttl=1 time=8.03 ms (DUP!)
64 bytes from fe80::3e4a:92ff:fe76:e550%eth0: icmp_seq=1 ttl=1 time=8.06 ms (DUP!)
64 bytes from fe80::212:12ff:fef7:8044%eth0: icmp_seq=1 ttl=64 time=8.24 ms (DUP!)
64 bytes from fe80::8edc:d4ff:fef2:67e0%eth0: icmp_seq=1 ttl=64 time=18.3 ms (DUP!)
64 bytes from fe80::21e:c2ff:fea9:6d71%eth0: icmp_seq=1 ttl=64 time=295 ms (DUP!)
...repeats

Eine schlechte Antwort ist, die Broadcast-Adresse mit zu pingen

root@thionite:~# ping -b 10.28.255.255
WARNING: pinging broadcast address
PING 10.28.255.255 (10.28.255.255) 56(84) bytes of data.
64 bytes from 10.28.2.7: icmp_seq=1 ttl=64 time=0.220 ms
64 bytes from 10.28.3.12: icmp_seq=1 ttl=255 time=0.594 ms (DUP!)
64 bytes from 10.28.9.4: icmp_seq=1 ttl=64 time=1.03 ms (DUP!)
64 bytes from 10.28.1.151: icmp_seq=1 ttl=255 time=1.04 ms (DUP!)
64 bytes from 10.28.3.13: icmp_seq=1 ttl=255 time=2.22 ms (DUP!)
64 bytes from 10.28.3.11: icmp_seq=1 ttl=255 time=2.43 ms (DUP!)

In diesem Netzwerk gibt es ~ 50 IP-Adressen mit einer / 16-Netzmaske, und nur sieben haben geantwortet. Das ist also keine gute Lösung.

Zusätzlich zur Antwort von MadHatter gibt es ein Tool, das die Arp-Suche durchführt, ohne zuerst ein Netzwerkpaket zu senden: Arping .

Es scheint zwei Implementierungen zu geben:

• Arping (Thomas Habets Version) .
• Arping (iputils Version)

Für Ihren Zweck würde ich nur das Paket aus Ihrer Linux-Distribution nehmen, da die Unterschiede wahrscheinlich nur in den Details liegen.

Damals, als Dinosaurier die Erde durchstreiften, verwendeten Proto-Nerds Arpwatch

arpwatch ist ein Computersoftwaretool zur Überwachung des Adressauflösungsprotokollverkehrs in einem Computernetzwerk. [1] Es wird ein Protokoll der beobachteten Paarung von IP-Adressen mit MAC-Adressen zusammen mit einem Zeitstempel erstellt, als die Paarung im Netzwerk angezeigt wurde. Es besteht auch die Möglichkeit, eine E-Mail an einen Administrator zu senden, wenn sich eine Kopplung ändert oder hinzugefügt wird.

arpwatch man page

Melden Sie sich bei Ihren Switches an und geben Sie show mac-address oder ähnliche Befehle aus (je nach Marke und Modell). Dadurch erhalten Sie alle MAC-Adressen der aktiven Geräte (außer Ihnen selbst). Wenn einer dieser MACs unter den MACs, die mit einem der Ping- oder anderen Methoden in den anderen Antworten gefunden wurden, nicht vorkommt, möchten Sie möglicherweise genauer untersuchen, um welches Gerät es sich handelt. Vielleicht spielt es keine Rolle, weil es nicht einmal IP spricht oder zu einem anderen VLAN gehört, aber zumindest können Sie sich einen Überblick verschaffen, ob Ihre anderen Sonden korrekt sind.