Dans un grand réseau avec DHCP activé, des intrusions se produisent parfois - des connexions tierces.
Ils doivent être suivis. Il est pratique de prendre des photos du réseau - avant et après.
Dans l'article, je parle de deux façons de compiler une liste d'ordinateurs (un instantané du réseau) : en utilisant nmap et arp-scan.

arp-scan

La meilleure façon de lister les PC, à mon avis, est l'utilitaire arp-scan(http://www.nta-monitor.com/tools/arp-scan/), c'est ce que j'utilise. Avantages - vitesse de numérisation, format de liste PC pratique, détection d'adresse MAC.

Une recherche dans le référentiel standard montre que l'utilitaire arp-scan est disponible pour l'installation :

apt-cache search arp-scan

sortie :

arp-scan - arp scanning and fingerprinting tool

L'installation du programme est normale :

sudo apt-get install arp-scan

Utilisation - affiche une liste d'ordinateurs dans le fichier ~/scan1.txt :

sudo arp-scan --interface=enp2s0 --localnet > ~/scan1.txt

Ensuite, déconnectez le port du commutateur géré et répétez l'analyse :

sudo arp-scan --interface=enp2s0 --localnet > ~/scan2.txt

Comparaison de deux fichiers

différence ~/scan1.txt ~/scan2.txt

nmap

L'utilitaire nmap peut également analyser le réseau et compiler une liste d'adresses IP :

sudo nmap -sP 192.168.0.0/24 | grep for | sed 's/Nmap scan report for //'

ou cette option :

sudo nmap -sP 192.168.0.0/24 | grep -oE '((1?[0-9][0-9]?|2[0-4][0-9]|25[0-5])\.){3}(1?[0-9][0-9]?|2[0-4][0-9]|25[0-5])'

Quelle est la prochaine étape ?

Lorsque l'adresse IP est calculée, je lance arping pour un fonctionnement permanent.

arping 192.168.0.77

Je l'éteins - si la cible est trouvée 😇, la sortie d'arping est interrompue. J'allume le port du switch

Vous pouvez vous rendre sur la prise correspondant au port du switch et voir quelle mauvaise personne s'est connectée. 😈.
Mais il est préférable d'examiner d'abord le trafic provenant de l'adresse IP en utilisant sudo wireshark 😏.

Sources :

1. Commande arp-scan : article sur losst.ru
2. Manuel de commande nmap en russe https://nmap.org/man/ru/  :
3. Expression régulière pour le filtre d'adresse IP : stackoverflow.com
4. SED et traitement de texte - article sur habr.com

Publications connexes

Travailler avec Flatpak ou APT via un serveur proxy

Résolution du problème de démarrage de Linux Mint avec la carte graphique Intel intégrée

Arrêtez et désactivez TimeShift pour économiser de l'espace disque

Résolution des erreurs de connexion L2TP/IPsec «Could not add IPsec connection» et «no acceptable traffic selectors found»

Partitionnement du disque dur pour installer Linux Mint sur un ancien PC avec BIOS en mode GPT