Nmap
在 Linux 中確定子網中的 IP 是打開還是關閉的最佳方法
我有一個簡單的方法,我在四個子網上使用它來確定哪些已註冊的 IP 實際啟動並處於活動狀態,哪些可以刪除。
最初,我使用以下命令遍歷域名列表:
sudo nmap -sS -O -v oN $filename $name
$filename
是我對該 IP 的輸出文件$name
,是讀入的域名。從該命令中,對於報告“主機關閉”的所有 IP,我執行以下命令:
sudo nmap -Pn -sS -O -v -oN $filename $name
請注意,這裡唯一的區別是我現在假設主機已啟動,只是為了看看會返回什麼。
然而,在我迄今為止看到的所有情況下,所有被掃描的埠都被過濾了,並且由於主機被假定為啟動,我沒有辦法驗證它在第二次掃描後實際上是啟動的正在執行。
還有其他想法嗎?
1)希望您不需要被動地收集這些資訊。
您可以使用 tcpdump、wireshark、防火牆日誌記錄等工具來監聽流量……隨著時間的推移,在系統傳輸數據或以其他方式執行其操作時收集資訊。
2)開關
如果你有整潔的開關,他們可能會告訴你一堆。
- ARP
防火牆系統可能仍會響應 ARP 請求,因此您可以讓它們顯示自己。您真的只需要知道正在使用的 IP 對嗎?不會,如果它會回應任何事情。
也許這會奏效……
# arping -I enp0s31f6 192.168.1.1 ARPING 192.168.1.1 from 192.168.1.122 enp0s31f6 Unicast reply from 192.168.1.1 [14:CC:20:D4:F7:8E] 2.143ms Unicast reply from 192.168.1.1 [14:CC:20:D4:F7:8E] 2.011ms Unicast reply from 192.168.1.1 [14:CC:20:D4:F7:8E] 2.006ms Unicast reply from 192.168.1.1 [14:CC:20:D4:F7:8E] 2.090ms ^CSent 4 probes (1 broadcast(s)) Received 4 response(s)
或者通過使用nmap或其他東西嘗試連接,然後使用wireshark同時記錄ARP回復等來進行更多組合……
最後最好的是,nmap 有 Arp 模式。我從來沒有嘗試過。
https://nmap.org/book/nping-man-arp-mode.html
- DHCP
如果任何地址是 DHCP 地址,則 DHCP 租約將顯示它們上次更新的時間。