在 Linux 中確定子網中的 IP 是打開還是關閉的最佳方法

我有一個簡單的方法，我在四個子網上使用它來確定哪些已註冊的 IP 實際啟動並處於活動狀態，哪些可以刪除。

最初，我使用以下命令遍歷域名列表：

sudo nmap -sS -O -v oN $filename $name

$filename是我對該 IP 的輸出文件$name，是讀入的域名。

從該命令中，對於報告“主機關閉”的所有 IP，我執行以下命令：

sudo nmap -Pn -sS -O -v -oN $filename $name

請注意，這裡唯一的區別是我現在假設主機已啟動，只是為了看看會返回什麼。

然而，在我迄今為止看到的所有情況下，所有被掃描的埠都被過濾了，並且由於主機被假定為啟動，我沒有辦法驗證它在第二次掃描後實際上是啟動的正在執行。

還有其他想法嗎？

1）希望您不需要被動地收集這些資訊。

您可以使用 tcpdump、wireshark、防火牆日誌記錄等工具來監聽流量……隨著時間的推移，在系統傳輸數據或以其他方式執行其操作時收集資訊。

2)開關

如果你有整潔的開關，他們可能會告訴你一堆。

3. ARP

防火牆系統可能仍會響應 ARP 請求，因此您可以讓它們顯示自己。您真的只需要知道正在使用的 IP 對嗎？不會，如果它會回應任何事情。

也許這會奏效……

# arping -I enp0s31f6 192.168.1.1
ARPING 192.168.1.1 from 192.168.1.122 enp0s31f6
Unicast reply from 192.168.1.1 [14:CC:20:D4:F7:8E]  2.143ms
Unicast reply from 192.168.1.1 [14:CC:20:D4:F7:8E]  2.011ms
Unicast reply from 192.168.1.1 [14:CC:20:D4:F7:8E]  2.006ms
Unicast reply from 192.168.1.1 [14:CC:20:D4:F7:8E]  2.090ms
^CSent 4 probes (1 broadcast(s))
Received 4 response(s)

或者通過使用nmap或其他東西嘗試連接，然後使用wireshark同時記錄ARP回復等來進行更多組合……

最後最好的是，nmap 有 Arp 模式。我從來沒有嘗試過。

https://nmap.org/book/nping-man-arp-mode.html

4. DHCP

如果任何地址是 DHCP 地址，則 DHCP 租約將顯示它們上次更新的時間。

引用自：https://serverfault.com/questions/804790