Linuxi kohtvõrgu ARP-skaneerimine

Sageli on teil vaja teada, millised seadmed on teie võrku ühendatud. See on nii, kui soovite luua ühenduse ühe oma arvutiga ja teil ei ole selget ettekujutust selle aadressist, või kui soovite lihtsalt veenduda, et teie võrk on turvaline või mitte, või kui soovite leida kõik varjatud seadmed. ARP-skaneerimise abil saate leida kõik ühendatud seadmed, sealhulgas ka varjatud seadmed.

Mis on ARP

ARP (Address Resolution Protocol) on protokoll, mida kasutatakse arvutivõrkudes võrgusõlmede vaheliseks suhtlemiseks. Seda kasutatakse võrguseadmete IP-aadresside kaardistamiseks nende füüsilistele MAC-aadressidele. Kui võrgusõlm soovib saata andmeid teisele võrgusõlmele, kasutab ta ARP-i, et määrata vastuvõtja MAC-aadress tema IP-aadressi põhjal.

Linuxis salvestatakse ARP-tabel RAM-i ja see sisaldab teiste võrgus olevate seadmete IP-aadresside ja MAC-aadresside vahelisi kokkulangevusi. Linuxis saab ARP-tabeli sisu vaadata käsuga arp -a. Linux pakub vahendeid ARP-operatsioonide teostamiseks, näiteks staatiliste ARP-kirjete lisamiseks või ARP vahemälu kustutamiseks. ARP on oluline element TCP/IP-võrkude toimimises ja mängib olulist rolli kohtvõrgu seadmete vahelises suhtluses.

ARP-ga skaneerimine

Igal arvutivõrgul on IP-aadress - seda teavad kõik. Kas olete kunagi mõelnud, millisele arvutile on määratud konkreetne aadress? On teada, et on olemas erinevad võrgud - traadiga, traadita, ppp. Igas võrgus on arvutite riistvaraline aadress erinevas formaadis, mis sõltub kohaliku võrgu konstruktsiooniomadustest.

Selgitame, kõik on tegelikult väga lihtne. Füüsilise aadressi muutmiseks IP-ks on ette nähtud ARP, Lihtsamalt öeldes on see aadressi lahendamise protokoll. Kui arvuti siseneb võrku, esitab ta teistele arvutitele päringu ja küsib küsimuse - ""Kellel on IP-aadress XXX.XXX.X.X.X.X"". Selle vastust ei ignoreerita, kuid see näeb veidi teisiti välja - "Mul on, minu aadress on xx:xx:xx:xx:xx:xx:xx:xx". See tähendab, et vastuseks saadetakse füüsiline aadress. See aadress sisestatakse spetsiaalsesse tabelisse.

Tuleb öelda, et ARP-sõnumite formaat on äärmiselt lihtne. Sõnum kätkeb endas kas IP-aadressiga päringut või vastust. Sõnumi suurus sõltub protokollist - IPv4 või IPv6, võrguseadmete tüübist. Sõnumi päis määrab nende sõnumite tüübid ja suurused. Pealkiri lõpeb sõnumi koodiga. Päringu puhul on kood 1 ja vastuse puhul 2. Sõnumikorpus sisaldab saatjale ja vastuvõtjale kuuluvaid nelja aadressi, riist- ja võrguaadressi.

Utiliidi paigaldamine

Utiliit ARP Scan, mida nimetatakse ka MAC Scanneriks, on mugav ja funktsionaalne tööriist Linuxi kohtvõrgu skaneerimiseks ARP-i abil. Programm kuvab võrguseadmete Pv4-aadressid. ARP-i eripära on see, et see ei hõlma marsruutimist. Selline skaneerimine sobib ainult lokaalsete võrkude jaoks. Programm tuvastab aktiivsed seadmed, arvutid ei saa ARP-i eest varjuda. Kui arvutit on vaja tuvastada väljaspool kohalikku võrku, kasutatakse ping-skaneerimist.

Network Scanner on saadaval järgmistele operatsioonisüsteemidele:

1. Debian;
2. Ubuntu;
3. Fedora;
4. RedHat;
5. Gentoo;
6. ArchLinux.

Paigaldamiseks teostame:

$ sudo apt install arp-scan

Scan

Programmi abil leiate kõik aktiivsed arvutid nii traadiga Ethernet-võrkudes kui ka traadita Wifi-võrkudes. PPP- ja SLIP-ühendusi ei pakuta, kuna neis puudub ARP. Utiliidiga peaksite töötama superuser-õigustega.

Alguses selgitame võrguliidese välja ip programmi abil:

$ ip addr list

Näeme siin enp24s0. Kõige lihtsam on seda teha ARP-ga, skaneerides ja väljudes iga võrku ühendatud arvutit - käivitage programm, määrates parameetrid:

$ sudo arp-scan --interface=enp24s0 --localnet

Näeme parameetrit --interface, mis määrab skannimisliidese, ja --localnet, mis näitab, et rakendada kõiki võimalikke IP-aadresse praeguses võrgus.

Kui me jätame esimese parameetri välja, siis otsib programm kõik sõlmede liidesed, mille number on süsteemis väiksem. Meie puhul on see enp24s0.

Parameetri --localnet asemel võib määrata võrgumaski:

$ sudo arp-scan --interface=enp24s0 10.0.1.0/24

ARP sobib ka siis, kui liidesel ei ole oma IP-aadressi. Sellisel juhul on väljaminevaks aadressiks 0.0.0.0.0.0. Kuid kõik süsteemid ei vasta sellisele päringule Seega on skanner sellises olukorras ebaefektiivne.

Miks ARP ei tööta

On mitmeid põhjusi, miks ARP ei pruugi võrgus korralikult töötada. Mõned kõige levinumad probleemid on järgmised:

1. IP-aadresside konflikt: Kui kaks seadet võrgus kasutavad sama IP-aadressi, võib see põhjustada ARP-konflikti.
2. Vale võrgukonfiguratsioon: Vale IP-aadressi, alamvõrkude või värava seaded võivad põhjustada ARP-i tõrkeid.
3. Probleemid võrgu riistvaraga: Vigased lülitid, marsruuterid või võrgukoodid võivad põhjustada ARP-i tõrkeid.
4. Võrguseadmete turva- või filtreerimisseaded võivad blokeerida ARP-pakette.
5. Ründajad võivad kasutada selliseid rünnakuid nagu ARP-mürgitus või ARP-üleujutus, mis võivad samuti põhjustada ARP-probleeme võrgus.

ARP-probleemide diagnoosimiseks ja tõrkeotsinguks on soovitatav kontrollida võrgu riistvara seadeid, analüüsida IP-aadresside konfiguratsiooni ning kasutada vahendeid võrguliikluse jälgimiseks ja analüüsimiseks.