web-dev-qa-db-fra.com

Comment trouver des hôtes en direct sur mon réseau?

J'essaie de trouver les hôtes en direct sur mon réseau en utilisant nmap. J'analyse le réseau dans Ubuntu en utilisant la commande Sudo nmap -sP 192.168.2.1/24. Cependant, je ne parviens pas à trouver les hôtes en direct. Je reçois simplement l'adresse réseau de mon propre PC en direct. Lorsque je vois la liste des clients DHCP via mon navigateur (mon routeur est accessible via un navigateur utilisant mon IP réseau), j'obtiens environ 10 hôtes actifs sur le réseau. Quelqu'un peut-il me dire la raison pour laquelle cela pourrait se produire et comment trouver les hôtes en direct sur mon réseau?

nmaphost-discovery
277
TheRookierLearner

C'est la manière la plus simple de réaliser Découverte d'hôte avec nmap.

nmap -sP 192.168.2.1/24

Pourquoi ça ne marche pas tout le temps?

Lorsque cette commande s'exécute, nmap essaie d'envoyer une requête ping à la plage d'adresses IP donnée pour vérifier si les hôtes sont actifs. Si le ping échoue, il essaie d'envoyer des paquets de synchronisation au port 80 (scan SYN). Ce n'est pas fiable à cent pour cent car les pare-feu modernes basés sur l'hôte bloquent le ping et le port 80. Le pare-feu Windows bloque le ping par défaut. Les hôtes que vous avez sur le réseau bloquent le ping et le port 80 n'accepte pas les connexions. Par conséquent, nmap suppose que l'hôte n'est pas opérationnel.

Alors y a-t-il une solution à ce problème?

Oui. L'une des options dont vous disposez consiste à utiliser l'indicateur -P0 qui ignore le processus de découverte d'hôte et tente d'effectuer une analyse de port sur toutes les adresses IP (dans ce cas, même les adresses IP vacantes seront analysées). Évidemment, cela prendra beaucoup de temps pour terminer l'analyse même si vous êtes dans un petit réseau (20-50 hôtes). mais cela vous donnera les résultats.

La meilleure option serait de spécifier des ports personnalisés pour l'analyse. Nmap vous permet de sonder des ports spécifiques avec des paquets SYN/UDP. Il est généralement recommandé de sonder les ports couramment utilisés, par exemple TCP-22 (ssh) ou TCP-3389 (bureau distant Windows) ou UDP- 161 (SNMP).

Sudo nmap -sP -PS22,3389 192.168.2.1/24 #custom TCP SYN scan
Sudo nmap -sP -PU161 192.168.2.1/24 #custom UDP scan

N.B. même après avoir spécifié des ports personnalisés pour l'analyse, il se peut que vous n'obteniez pas d'hôte actif. Cela dépend beaucoup de la façon dont l'hôte est configuré et des services qu'il utilise. Il vous suffit donc de continuer à sonder avec différentes combinaisons. N'oubliez pas de ne pas effectuer d'analyses sur un réseau sans autorisation appropriée.

mise à jour: Lors de la numérisation d'un réseau, vous ne pouvez jamais être sûr qu'une commande particulière vous donnera tous les résultats souhaités. L'approche devrait être de commencer par un balayage de base du ping et si cela ne fonctionne pas, essayez de deviner les applications qui peuvent être exécutées sur les hôtes et de sonder les ports correspondants. L'idée d'utiliser Wireshark est également intéressante. Vous voudrez peut-être essayer d'envoyer des paquets ACK.

nmap -sP -PA21,22,25,3389 192.168.2.1/24 #21 is used by ftp

mise à jour deux: Les drapeaux -sP et -P0 sont maintenant connus respectivement comme -sn et -Pn. Cependant, les anciens drapeaux fonctionnent toujours dans les nouvelles versions.

301
Shurmajee

La façon la plus simple de vérifier cela est de vérifier les tables ARP après avoir effectué le balayage ping à l'aide de nmap:

arp -a -n

Cette liste répertorie tous les hôtes qui ont répondu à une requête ARP, même ceux qui filtrent ICMP.

81
Teun Vink

Wireshark est cool aussi.

Vous voudrez peut-être vérifier Wireshark . Il enregistre tout le trafic sur le réseau local. Il vous dira quels nœuds diffusent. Vous pouvez également voir ce qui est transmis. Il est disponible dans le Centre logiciel Ubuntu.

De plus, voici un lien sur installation de Wireshark sur Ubunt via la ligne de commande.

En ce qui concerne le trafic qui s'affiche dans vos tables de routage DHCP, n'oubliez pas que de nombreuses machines virtuelles s'affichent comme des machines distinctes dans la liste. Tout ce qui est connecté à votre réseau généralement dans le délai de location de 24 heures par défaut (pour la plupart des routeurs WiFi) s'affichera toujours dans la liste. Vous voudrez peut-être vérifier la durée des baux dans le routeur. Il pourrait vous indiquer si quelqu'un est sur votre réseau pendant la nuit. Sur certains appareils qui ont deux cartes réseau ou une NIC et une carte sans fil, ils s'afficheront deux fois si les deux interfaces sont activées.

D'autres choses que beaucoup de gens oublient d'être sur le réseau:

  • Commutateurs gérés
  • Quelques imprimantes
  • Cartes de gestion à distance du serveur
  • Téléphones portables
  • Tivo et autres DVR
  • Apple TV
  • Quelques téléviseurs
  • Lecteurs DVD
  • Récepteurs réseau A/V
  • Playstations, XBox, Etc.
  • Appareils de jeu portables
  • Ipads et autres tablettes
  • IPods et lecteurs de musique
  • PDA
  • Téléphones IP comme Magic Jack Plus

Il y a environ 6 ans, au bureau où je travaillais, notre petite connexion de 3 Mo était tombée à 128 Ko à cause de tout le trafic excessif. Les propriétaires voulaient savoir s'il était possible de voir ce qui se passait. L'ancien informaticien à temps partiel a haussé les épaules parce que tout le trafic ne passait pas par leur serveur Windows 2000. Il a vérifié les tables de routage et les journaux de trafic sur le serveur et n'a rien vu. Ils n'utilisaient pas un routeur assez étrangement, donc tout sur le réseau pouvait obtenir une adresse du modem. Les tables de routage qu'il a consultées sur le serveur n'étaient que des mappages statiques qui existaient quelques années auparavant. J'ai remarqué qu'ils n'étaient pas sur le même sous-réseau. Ensuite, je leur ai montré que DHCP n'était pas activé sur le serveur.

J'ai trouvé tout le trafic entrant après les heures d'un balayage nocturne avec Wireshark. Un de mes collègues hébergeait sans le savoir un site de sexe japonais sur sa machine. Les attaquants avaient enraciné sa machine après avoir installé une porte dérobée accompagnée d'une version piratée d'un logiciel de montage vidéo haut de gamme. Nous avons également découvert qu'ils exécutaient Tor, demonoid et bitTorrent sur différentes machines dans différents services à différents moments. Wireshark a tout trouvé. Le lendemain, Internet était à pleine vitesse ... nous avons également installé un routeur.

Si vous n'êtes pas prêt pour Wireshark, vous pouvez également essayer tcpdump.

26
AbsoluteƵERØ

Ce script bash affichera les adresses IP de tous les hôtes actifs sur un réseau.

#!/bin/bash

nmap $1 -n -sP | grep report | awk '{print $5}'

Exemple d'utilisation

rwilson@rwilson-Aspire-E5-521:~/Scripts/Utils$ 
Mon Jul 27 06:41 AM> ./livehosts.sh 192.168.1.1/24
192.168.1.1
192.168.1.11
192.168.1.12
192.168.1.13
192.168.1.14
192.168.1.15
192.168.1.118
192.168.1.122
192.168.1.123
192.168.1.126
192.168.1.129
192.168.1.133
192.168.1.134
192.168.1.156
192.168.1.159
192.168.1.168
192.168.1.170
11
Ricky Wilson

Une fois que vous disposez des privilèges d'administrateur (c'est-à-dire root), vous pouvez utiliser netdiscover(8) avec -r flag pour spécifier une classe et un masque différents. Il utilise la classe de réseau C/24 par défaut.

Par exemple:

$ Sudo netdiscover -r 172.16.17.0/24

La sortie sera quelque chose comme ceci:

 Currently scanning: Finished!   |   Screen View: Unique Hosts                                                                                     

 3 Captured ARP Req/Rep packets, from 3 hosts.   Total size: 180                                                                                   
 _____________________________________________________________________________
   IP            At MAC Address     Count     Len  MAC Vendor / Hostname      
 -----------------------------------------------------------------------------
 172.16.17.1    00:50:56:c0:00:08      1      60  VMware, Inc.                                                                                    
 172.16.17.2    00:50:56:f9:b9:b6      1      60  VMware, Inc.                                                                                    
 172.16.17.254  00:50:56:fc:e4:76      1      60  VMware, Inc.
4
slayer

Quelquefois arp -a -n ne récupérera pas l'adresse IP. Exécution nmap -sP 192.168.1.1/24 récupérera les hôtes actifs et après cela, si vous réessayez arp, il affichera les hôtes actifs. Voilà comment cela a fonctionné pour moi dans Linux Mint. Mais vous pouvez compter sur nmap à tout moment.

3
PraveenMax

Si vous avez également besoin des empreintes digitales de l'hôte et que cela ne vous dérange pas d'utiliser un outil source gratuit mais fermé, alors fing est une autre option:

Sudo fing -r 1

Par rapport à nmap 192.168.1.1/24 -n -sP il est nettement plus rapide et tentera également de détecter les fabricants d'appareils à partir des adresses MAC.

Avis de non-responsabilité: je n'ai aucune affiliation avec l'outil ou la société qui le fabrique, et je n'ai aucune idée de ce que d'autres choses (diaboliques ou non) l'outil pourrait faire sous le capot. J'ai utilisé leur applications mobiles pour trouver des IP sur mon LAN et je l'ai trouvé utile.

2
ccpizza

Exemple de recherche d'hôte sur un réseau:

arp-scan 192.168.12.0/24   # if vlan tagged interface use -Q vlanid

etherape (GUI) affiche des graphiques de l'activité du réseau.

Certains autres outils sont également mentionnés ci-dessus ici.

1
rocket