Questo è il modo più semplice per eseguire discovery host con nmap.

nmap -sP 192.168.2.1/24

Perché non funziona sempre?

Quando questo comando esegue nmap tenta di eseguire il ping dell'intervallo di indirizzi IP specificato per verificare se gli host sono vivi. Se il ping fallisce, tenta di inviare pacchetti syn alla porta 80 (scansione SYN). Questo non è affidabile al cento per cento perché i moderni firewall basati su host bloccano il ping e la porta 80. Il firewall di Windows blocca il ping di default. Gli host presenti sulla rete stanno bloccando il ping e la porta 80 non accetta le connessioni. Quindi nmap presuppone che l'host non sia attivo.

Quindi c'è una soluzione a questo problema?

Sì. Una delle opzioni che si sta utilizzando è l'opzione -P0 che salta il processo di individuazione degli host e tenta di eseguire una scansione delle porte su tutti gli indirizzi IP (in questo caso verranno scansionati anche gli indirizzi IP liberi). Ovviamente ci vorrà molto tempo per completare la scansione anche se ci si trova in una piccola rete (20-50 host). ma ti darà i risultati.

L'opzione migliore sarebbe quella di specificare le porte personalizzate per la scansione. Nmap consente di sondare porte specifiche con pacchetti SYN / UDP. Si consiglia in genere di sondare le porte comunemente usate, ad es. TCP-22 (ssh) o TCP-3389 (desktop remoto di Windows) o UDP-161 (SNMP).

sudo nmap -sP -PS22,3389 192.168.2.1/24 #custom TCP SYN scan
sudo nmap -sP -PU161 192.168.2.1/24 #custom UDP scan

NB. anche dopo aver specificato le porte personalizzate per la scansione potresti non ottenere un host attivo. Molto dipende da come è configurato l'host e da quali servizi sta utilizzando. Quindi continua a sondare con combinazioni diverse. Ricorda, non eseguire scansioni su una rete senza autorizzazione appropriata.

aggiornamento : quando esegui la scansione di una rete non puoi mai essere sicuro che un particolare comando ti darà tutti i risultati desiderati. L'approccio dovrebbe essere quello di iniziare con il ping ping di base e se non funziona provare a indovinare le applicazioni che potrebbero essere in esecuzione sugli host e sondare le porte corrispondenti. Anche l'idea di usare Wireshark è interessante. Potresti provare a inviare pacchetti ACK.

nmap -sP -PA21,22,25,3389 192.168.2.1/24 #21 is used by ftp

update two: flag -sP e -P0 sono ora noti come -sn e -Pn rispettivamente. Tuttavia, i vecchi flag continuano a funzionare nelle versioni più recenti.

Il modo più semplice per verificare ciò è verificare le tabelle ARP dopo aver eseguito il ping sweep usando nmap:

arp -a -n

Questo elenca tutti gli host che hanno risposto a una query ARP, anche quelli che filtrano ICMP.

Anche Wireshark è bello.

Potresti controllare Wireshark . Registra tutto il traffico sulla rete locale. Vi dirà quali nodi stanno trasmettendo. Puoi anche vedere cosa viene trasmesso. È disponibile nel Software Center di Ubuntu.

Inoltre, c'è un link su installazione di Wireshark su Ubuntu tramite riga di comando.

Riguardo al traffico che mostra nelle tue tabelle di routing DHCP, ricorda che molte macchine virtuali appariranno come macchine separate nella lista. Tutto ciò che è collegato alla rete di solito entro il tempo di lease predefinito di 24 ore (per la maggior parte dei router WiFi) verrà comunque visualizzato nell'elenco. Potresti voler controllare la durata dei leasing nel router. Potrebbe dirti se qualcuno è sulla tua rete durante la notte. Su alcuni dispositivi che dispongono di schede NIC doppie o schede NIC e schede wireless, verranno visualizzate due volte se entrambe le interfacce sono abilitate.

Altre cose che molte persone dimenticano di essere sulla rete:

• Switch gestiti
• Alcune stampanti
• Schede di gestione remota del server
• Cellulari
• Tivo e altri DVR
• Apple TV
• Alcune televisioni
• Lettori DVD
• Ricevitori A / V di rete
• Playstation, XBox, ecc.
• Dispositivi da gioco portatili
• Ipad e altri tablet
• Ipod e lettori musicali
• PDA
• Telefoni IP come Magic Jack Plus

Circa 6 anni fa, nell'ufficio in cui lavoravo, la nostra piccola connessione a 3mb era scesa a 128k a causa di tutto il traffico in eccesso. I proprietari volevano sapere se era possibile vedere cosa stava succedendo. Il vecchio tizio IT part time scrollò le spalle perché non tutto il traffico passava attraverso il loro server Windows 2000. Controllò le tabelle di routing e i registri di traffico nel server e non vide nulla. Non stavano usando un router abbastanza stranamente, quindi qualsiasi cosa sulla rete poteva ottenere un indirizzo dal modem. Le tabelle di routing guardate nel server erano solo per le mappature statiche esistenti un paio di anni prima. Ho notato che non erano nella stessa sottorete. Poi ho mostrato loro che DHCP non era attivo nel server.

Ho trovato tutto il traffico in arrivo dopo l'orario di una notte con Wireshark. Uno dei miei colleghi stava inconsapevolmente ospitando un sito di sesso giapponese sulla sua macchina. Gli aggressori avevano radicato la sua macchina dopo aver installato una backdoor che era accompagnata da una versione crackata di un software di editing video di fascia alta. Abbiamo anche scoperto che stavano eseguendo Tor , demonoid e bitTorrent su vari computer in diversi reparti in momenti diversi. Wireshark ha trovato tutto. Il giorno dopo la connessione internet è arrivata alla massima velocità ... abbiamo anche installato un router.

Se non sei su Wireshark potresti anche provare tcpdump .

Questo script bash produrrà gli indirizzi IP di tutti gli host live su una rete.

#!/bin/bash

nmap $1 -n -sP | grep report | awk '{print $5}'

Esempio di utilizzo

rwilson@rwilson-Aspire-E5-521:~/Scripts/Utils$ 
Mon Jul 27 06:41 AM> ./livehosts.sh 192.168.1.1/24
192.168.1.1
192.168.1.11
192.168.1.12
192.168.1.13
192.168.1.14
192.168.1.15
192.168.1.118
192.168.1.122
192.168.1.123
192.168.1.126
192.168.1.129
192.168.1.133
192.168.1.134
192.168.1.156
192.168.1.159
192.168.1.168
192.168.1.170

Conosco un metodo che funziona sempre per me, se dici:

nmap -sP 192.168.0.*

invierai il pacchetto ICMP a tutti gli IP addressee in quella rete, e tutti quelli attivi (quelli assegnati a computer, dispositivi mobili, ecc.) verranno visualizzati insieme al loro indirizzo MAC e alla loro scheda di rete produttore.

A volte arp -a -n non recupera l'indirizzo IP. L'esecuzione di nmap -sP 192.168.1.1/24 recupererà gli host dal vivo e, successivamente, se proverai di nuovo arp , mostrerà gli host dal vivo. Ecco come ha funzionato per me in linux mint. Ma puoi fare affidamento su nmap ogni giorno.

Esempio di ricerca dell'host su una rete:

arp-scan 192.168.12.0/24   # if vlan tagged interface use -Q vlanid

etherape (GUI) mostra i grafici dell'attività di rete.

Alcuni altri strumenti dove menzionato qui sopra.

Una volta che hai i privilegi di amministratore (cioè root ), puoi usare netdiscover(8) con -r flag per specificare classi e maschere diverse. Utilizza la classe di rete C / 24 per impostazione predefinita.

Ad esempio:

$ sudo netdiscover -r 172.16.17.0/24

L'output sarà simile a:

 Currently scanning: Finished!   |   Screen View: Unique Hosts                                                                                     

 3 Captured ARP Req/Rep packets, from 3 hosts.   Total size: 180                                                                                   
 _____________________________________________________________________________
   IP            At MAC Address     Count     Len  MAC Vendor / Hostname      
 -----------------------------------------------------------------------------
 172.16.17.1    00:50:56:c0:00:08      1      60  VMware, Inc.                                                                                    
 172.16.17.2    00:50:56:f9:b9:b6      1      60  VMware, Inc.                                                                                    
 172.16.17.254  00:50:56:fc:e4:76      1      60  VMware, Inc.                                                                                    

Basta fare:

nmap -sn xxx.xxx.xxx.0/24

Esempio:

nmap -sn 192.168.1.0/24

Non so perché mai complicare le cose.