NFsec Logo

Które maszyny żyją w LANie?

14/11/2010 w Administracja 1 komentarz.  (artykuł nr 292, ilość słów: 440)

D

o zbadania, które hosty w określonej sieci LAN są dostępne można wykorzystać polecenie ping lub narzędzie nmap. Pierwsze z nich wykorzystuje mały skrypt, który można uruchomić z linii poleceń w celu przeprowadzenia automatycznego pingowania każdego z hostów. W poniższym przykładzie mamy do czynienia z prywatną siecią klasy C o masce 255.255.255.0 (24-ro bitowa):

x=1; while [ $x -lt "255" ]; do ping -c 1 192.168.0.$x | grep "bytes from" | awk '{print $4 " up"}'; let x++; done

Jeśli chcemy zwiększyć wiarygodność naszej metody możemy podnieść liczbę pakietów ECHO_RESPONSE np. do dwóch – unikając możliwości utracenia pojedynczego pakietu – następnie wyniki przepuścić przez filtr sort oraz uniq. Z dwoma pakietami przetestowanie 254 hostów może zająć trochę czasu – w celu przyśpieszenia tej operacji możemy zmniejszyć opcję oczekiwania jednej sekundy (tyle domyślnie się czeka) między wysłaniem kolejnych pakietów do 200 ms oraz ustawić timeout nieodpowiadających hostów do jednej sekundy.

x=1; while [ $x -lt "255" ]; do ping -i 0.2 -W 1 -c 2 192.168.0.$x | grep "bytes from" | awk '{print $4 " up"}' | sort | uniq; let x++; done

Po wywołaniu powyższej pętli poleceń wynik powinien być podobny do tego prezentowanego poniżej:

192.168.0.1: up
192.168.0.2: up
192.168.0.5: up
192.168.0.7: up
192.168.0.9: up

Zadanie to znacznie szybciej i lepiej może wykonać narzędzie nmap specjalnie przeznaczone do wykonywania różnego rodzaju skanowania hostów. Jednym z jego trybów skanowania jest Ping Scan (nie wymaga uprawnień administracyjnych), który jest jednym z najszybszych jakie nmap wykonuje. W przeciwieństwie do skanowania portów, gdzie tysiące pakietów jest przesyłanych pomiędzy dwiema stacjami, skanowanie ping wymaga tylko dwóch ramek. Dlatego jest on bardzo przydatny do szybkiej lokalizacji aktywnych urządzeń w sieci lub określenia czy protokół ICMP jest przepuszczany przez zaporę. Polecenie:

nmap -sP 192.168.0.1-254

W ciągu kilku sekund potrafi zwrócić nam wynik, który za pomocą czystego polecenia ping jest osiągalny po kilkunastu:

Starting Nmap 4.62 ( http://nmap.org ) at 2010-11-14 12:32 CET
Host gate.nfsec.pl (192.168.0.1) appears to be up.
Host web.nfsec.pl (192.168.0.2) appears to be up.
Host mail.nfsec.pl (192.168.0.5) appears to be up.
Host dns.nfsec.pl (192.168.0.7) appears to be up.
Host ftp.nfsec.pl (192.168.0.9) appears to be up.
Nmap done: 254 IP addresses (5 hosts up) scanned in 1.109 seconds

W przypadku polecenia ping istnieje jeszcze możliwość wysłania pakietu ICMP echo-request na adres broadcast:

ping -b 192.168.0.255

Działanie to w normalnych warunkach powinno zwrócić odpowiedzi z wszystkich aktywnych urządzeń. Jednak ze względu na możliwość przeprowadzeniu ataku DoS polegającego na wysłaniu spreparowanego pakietu ICMP echo-request na adres rozgłoszeniowy sieci (fałszowany jest adres nadawcy pakietu, który staje się ofiarą zalewaną przez odpowiedzi ICMP echo-reply innych hostów) możliwość ta jest / powinna być blokowana.

Więcej informacji: Nmap, ICMP, man ping

Kategorie K a t e g o r i e : Administracja

Tagi T a g i : , , , , , ,

1 komentarz.

  1. Patryk Krawaczyński napisał(a):

    Czysty output z programu nmap:

    nmap -n -sP -oG - 192.168.1.*/32 | grep ": Up" | cut -d' ' -f2

Zostaw odpowiedź.

Musisz być zalogowany by móc komentować.