Составление списка компьютеров, подключенных к сети

июль

2020

13:55

Составление списка компьютеров, подключенных к сети

linux, безопасность

31 июль 2020 13:55

В большой сети с включенным DHCP иногда возникают вторжения - сторонние подключения.
Их необходимо отслеживать. Удобно делать снимки сети - до и после.
В статье я рассказываю о двух способах составления списка компьютеров (снимка сети) - при помощи nmap и arp-scan.

arp-scan

Лучший способ для составления списка ПК, по моему мнению - утилита arp-scan (http://www.nta-monitor.com/tools/arp-scan/), им и пользуюсь. Преимущества - быстрота сканирования, удобный формат списка ПК, определение MAC-адресов.

Поиск в стандартном репозитории показывается, что утилита arp-scan доступна для установки:

apt-cache search arp-scan

вывод:
arp-scan - arp scanning and fingerprinting tool

Установка программы обычная:

sudo apt-get install arp-scan

Использование - выводим список компьютеров в файл ~/scan1.txt :

sudo arp-scan --interface=enp2s0 --localnet > ~/scan1.txt

Далее, отключаем порт управляемого свитча и повторяем сканирование:

sudo arp-scan --interface=enp2s0 --localnet > ~/scan2.txt

Выполняем сравнение двух файлов

diff ~/scan1.txt ~/scan2.txt

nmap

Утилита nmap также может просканировать сеть с составлением списка IP адресов:

sudo nmap -sP 192.168.0.0/24 | grep for | sed 's/Nmap scan report for //'

или такой вариант:

sudo nmap -sP 192.168.0.0/24 | grep -oE '((1?[0-9][0-9]?|2[0-4][0-9]|25[0-5])\.){3}(1?[0-9][0-9]?|2[0-4][0-9]|25[0-5])'

Что дальше?

Когда IP адрес вычислен, запускаю на постоянное функционирование arping.

arping 192.168.0.77

Выключаю - если цель найдена 😇, выдача arping прерывается. Включаю порт коммутатора

Можно идти к розетке, соответствующей порту коммутатора, и посмотреть, какой нехороший человек подключился. 😈.
Но лучше сначала изучить трафик, идущий от ip-адреса при помощи sudo wireshark 😏.

Источники: