Nmap

在 Linux 中確定子網中的 IP 是打開還是關閉的最佳方法

  • October 23, 2016

我有一個簡單的方法,我在四個子網上使用它來確定哪些已註冊的 IP 實際啟動並處於活動狀態,哪些可以刪除。

最初,我使用以下命令遍歷域名列表:

sudo nmap -sS -O -v oN $filename $name

$filename是我對該 IP 的輸出文件$name,是讀入的域名。

從該命令中,對於報告“主機關閉”的所有 IP,我執行以下命令:

sudo nmap -Pn -sS -O -v -oN $filename $name

請注意,這裡唯一的區別是我現在假設主機已啟動,只是為了看看會返回什麼。

然而,在我迄今為止看到的所有情況下,所有被掃描的埠都被過濾了,並且由於主機被假定為啟動,我沒有辦法驗證它在第二次掃描後實際上啟動的正在執行。

還有其他想法嗎?

1)希望您不需要被動地收集這些資訊。

您可以使用 tcpdump、wireshark、防火牆日誌記錄等工具來監聽流量……隨著時間的推移,在系統傳輸數據或以其他方式執行其操作時收集資訊。

2)開關

如果你有整潔的開關,他們可能會告訴你一堆。

  1. ARP

防火牆系統可能仍會響應 ARP 請求,因此您可以讓它們顯示自己。您真的只需要知道正在使用的 IP 對嗎?不會,如果它會回應任何事情。

也許這會奏效……

# arping -I enp0s31f6 192.168.1.1
ARPING 192.168.1.1 from 192.168.1.122 enp0s31f6
Unicast reply from 192.168.1.1 [14:CC:20:D4:F7:8E]  2.143ms
Unicast reply from 192.168.1.1 [14:CC:20:D4:F7:8E]  2.011ms
Unicast reply from 192.168.1.1 [14:CC:20:D4:F7:8E]  2.006ms
Unicast reply from 192.168.1.1 [14:CC:20:D4:F7:8E]  2.090ms
^CSent 4 probes (1 broadcast(s))
Received 4 response(s)

或者通過使用nmap或其他東西嘗試連接,然後使用wireshark同時記錄ARP回復等來進行更多組合……

最後最好的是,nmap 有 Arp 模式。我從來沒有嘗試過。

https://nmap.org/book/nping-man-arp-mode.html

  1. DHCP

如果任何地址是 DHCP 地址,則 DHCP 租約將顯示它們上次更新的時間。

引用自:https://serverfault.com/questions/804790