Skenování ARP v místní síti Linux

Často potřebujete vědět, která zařízení jsou připojena k vaší síti. To je případ, kdy se chcete připojit k některému z počítačů a nemáte jasnou představu o jeho adrese, nebo se chcete jen ujistit, zda je vaše síť bezpečná, či nikoli, nebo chcete najít všechna skrytá zařízení. Pomocí skenování ARP můžete najít všechna připojená zařízení, včetně skrytých zařízení.

Co je ARP

ARP (Address Resolution Protocol) je protokol používaný v počítačových sítích pro komunikaci mezi uzly sítě. Používá se k mapování IP adres síťových zařízení na jejich fyzické MAC adresy. Když chce uzel v síti odeslat data jinému uzlu, použije ARP k určení adresy MAC příjemce na základě jeho adresy IP.

V systému Linux je tabulka ARP uložena v paměti RAM a obsahuje shody mezi adresami IP a adresami MAC jiných zařízení v síti. Obsah tabulky ARP v Linuxu můžete zobrazit pomocí příkazu arp -a. Linux poskytuje nástroje pro provádění operací ARP, například přidávání statických záznamů ARP nebo vymazání mezipaměti ARP. Protokol ARP je důležitým prvkem v provozu sítí TCP/IP a hraje klíčovou roli při komunikaci mezi zařízeními v místní síti.

Skenování pomocí protokolu ARP

Každá počítačová síť má adresu IP - to ví každý. Přemýšleli jste někdy o tom, který počítač má přidělenou konkrétní adresu? Je známo, že existují různé sítě - drátové, bezdrátové, ppp. V každé síti má hardwarová adresa výpočetního stroje jiný formát, který závisí na konstrukčních vlastnostech místní sítě.

Vysvětlíme si to, vše je vlastně velmi jednoduché. K převodu fyzické adresy na IP slouží ARP, Zjednodušeně řečeno jde o protokol pro překlad adres. Když počítač vstoupí do sítě, zašle ostatním počítačům požadavek a položí otázku - ""Kdo má adresu IP XXX.XXX.X.X.X"". Jeho odpověď není ignorována, ale vypadá trochu jinak - "Já ano, moje adresa je xx:xx:xx:xx:xx:xx". To znamená, že v odpovědi je zaslána fyzická adresa. Tato adresa je zapsána do speciální tabulky.

Je třeba říci, že formát zpráv ARP je velmi jednoduchý. Zpráva skrývá buď požadavek s IP adresou, nebo odpověď. Velikost zprávy závisí na protokolu - IPv4 nebo IPv6, typu síťového zařízení. Záhlaví zprávy určuje typy a velikosti těchto zpráv. Záhlaví je zakončeno kódem zprávy. Pro žádost je kód 1 a pro odpověď je kód 2. Tělo zprávy obsahuje čtyři adresy, hardwarové a síťové adresy, které patří odesílateli a příjemci.

Instalace nástroje

Nástroj ARP Scan, nazývaný také MAC Scanner, je praktický a funkční nástroj pro skenování místní sítě v systému Linux pomocí protokolu ARP. Program zobrazuje adresy Pv4 síťových zařízení. Zvláštností protokolu ARP je, že nezahrnuje směrování. Tento typ skenování je vhodný pouze pro místní sítě. Program detekuje aktivní zařízení, počítače se před ARP nemohou skrýt. Pokud je třeba zjistit počítač mimo místní síť, použije se skenování ping.

Program Network Scanner je k dispozici pro následující operační systémy:

1. Debian;
2. Ubuntu;
3. Fedora;
4. RedHat;
5. Gentoo;
6. ArchLinux.

Instalaci provedeme:

$ sudo apt install arp-scan

Instalace: Prohledat

Pomocí programu budete moci najít všechny aktivní počítače jak v kabelových ethernetových sítích, tak v bezdrátových Wifi sítích. Připojení PPP a SLIP nejsou k dispozici, protože v nich není ARP. S nástrojem byste měli pracovat pod právy superuživatele.

Na začátku zjistíme síťové rozhraní pomocí programu ip:

$ ip addr list

Zde vidíme enp24s0. Nejjednodušší je to pomocí ARP, kdy skenujeme a ukončujeme každý počítač připojený k síti - program spustíme nastavením parametrů:

$ sudo arp-scan --interface=enp24s0 --localnet

Vidíme parametr --interface, který určuje skenovací rozhraní, a --localnet, který určuje použití všech možných IP adres pro aktuální síť.

Pokud vynecháme první parametr, pak program vyhledá všechny uzly pro rozhraní s nižším číslem v systému. V našem případě je to enp24s0.

Místo parametru --localnet můžete zadat masku sítě:

$ sudo arp-scan --interface=enp24s0 10.0.1.0/24

ARP je vhodný také v případě, že rozhraní nemá vlastní IP adresu. V tomto případě je odchozí adresa 0.0.0.0.0. Ne všechny systémy však na takový požadavek odpoví Proto bude v této situaci skener neúčinný.

Proč ARP nefunguje

Existuje několik důvodů, proč protokol ARP nemusí v síti správně fungovat. Mezi nejčastější problémy patří např:

1. Konflikt adres IP: Pokud dvě zařízení v síti používají stejnou adresu IP, může to způsobit konflikt ARP.
2. Nesprávná konfigurace sítě: Nesprávné nastavení IP adres, podsítí nebo brány může způsobit selhání ARP.
3. Problémy s hardwarem sítě: Vadné přepínače, směrovače nebo síťové karty mohou způsobit nefunkčnost ARP.
4. Nastavení zabezpečení nebo filtrování na síťových zařízeních může blokovat pakety ARP.
5. Útočníci mohou použít útoky, jako je ARP poisoning nebo ARP flooding, které mohou rovněž způsobit problémy s ARP v síti.

Pro diagnostiku a řešení problémů s protokolem ARP se doporučuje zkontrolovat nastavení síťového hardwaru, analyzovat konfiguraci adresování IP a použít nástroje pro monitorování a analýzu síťového provozu.