ARP scannen van het Linux lokale netwerk

Vaak moet je weten welke apparaten verbonden zijn met je netwerk. Dit is het geval als je verbinding wilt maken met een van je pc's en geen duidelijk idee hebt van het adres, of als je gewoon zeker wilt weten of je netwerk veilig is of niet, of als je alle verborgen apparaten wilt vinden. Je kunt alle aangesloten apparaten vinden, inclusief verborgen apparaten, door ARP te scannen.

Wat is ARP

ARP (Address Resolution Protocol) is een protocol dat in computernetwerken wordt gebruikt voor communicatie tussen netwerkknooppunten. Het wordt gebruikt om de IP-adressen van netwerkapparaten aan hun fysieke MAC-adressen te koppelen. Wanneer een knooppunt in een netwerk gegevens naar een ander knooppunt wil sturen, gebruikt het ARP om het MAC-adres van de ontvanger te bepalen op basis van zijn IP-adres.

In Linux wordt de ARP-tabel opgeslagen in RAM en bevat overeenkomsten tussen de IP-adressen en MAC-adressen van andere apparaten op het netwerk. Je kunt de inhoud van de ARP-tabel in Linux bekijken met het commando arp -a. Linux biedt tools om ARP-bewerkingen uit te voeren, zoals het toevoegen van statische ARP entries of het wissen van de ARP-cache. ARP is een belangrijk element in de werking van TCP/IP-netwerken en speelt een cruciale rol in de communicatie tussen apparaten op een lokaal netwerk.

Scannen met ARP

Elk computernetwerk heeft een IP-adres - dat weet iedereen. Heb je je ooit afgevraagd aan welke computer een bepaald adres is toegewezen? Het is bekend dat er verschillende netwerken zijn - bekabeld, draadloos, ppp. In elk netwerk heeft het hardwareadres van de computer een ander formaat, dat afhangt van de ontwerpkenmerken van het lokale netwerk.

Laten we het uitleggen, alles is eigenlijk heel eenvoudig. Om het fysieke adres om te zetten naar IP wordt ARP gebruikt, eenvoudig gezegd een protocol voor adresresolutie. Wanneer een computer het netwerk binnenkomt, doet hij een verzoek aan de andere pc's en stelt de vraag - ""Wie heeft het IP-adres XXX.XXX.X.X.X"". Het antwoord wordt niet genegeerd, maar ziet er een beetje anders uit - "Dat heb ik, mijn adres is xx:xx:xx:xx:xx". Dat wil zeggen, er wordt een fysiek adres als antwoord gestuurd. Dit adres wordt ingevoerd in een speciale tabel.

Het moet gezegd worden dat het formaat van ARP berichten extreem eenvoudig is. Het bericht verbergt of een verzoek met een IP adres of een antwoord. De grootte van het bericht hangt af van het protocol - IPv4 of IPv6, het type netwerkapparatuur. De header van het bericht specificeert de types en groottes van deze berichten. De header eindigt met een berichtcode. Voor een verzoek is de code 1 en voor een antwoord is de code 2. De body van het bericht bevat de vier adressen, hardware- en netwerkadressen, van de zender en de ontvanger.

Het hulpprogramma installeren

Het ARP Scan hulpprogramma, ook wel MAC Scanner genoemd, is een handig, functioneel hulpprogramma voor het scannen van een Linux lokaal netwerk met behulp van ARP. Het programma toont Pv4 adressen van netwerkapparaten. Het bijzondere van ARP is dat er geen routering aan te pas komt. Dit type scan is alleen geschikt voor lokale netwerken. Het programma detecteert actieve apparaten, computers kunnen zich niet verbergen voor ARP. Als een computer buiten het lokale netwerk moet worden gedetecteerd, wordt ping-scanning gebruikt.

Network Scanner is beschikbaar voor de volgende besturingssystemen:

1. Debian;
2. Ubuntu;
3. Fedora;
4. RedHat;
5. Gentoo;
6. ArchLinux.

Om te installeren voeren we het volgende uit:

$ sudo apt install arp-scan

Scannen

Met behulp van het programma kun je alle actieve computers vinden, zowel in bedrade ethernetnetnetwerken als in draadloze Wifi-netwerken. PPP- en SLIP-verbindingen worden niet aangeboden, omdat er geen ARP in zit. Je moet met het hulpprogramma werken met superuser-rechten.

In het begin zoeken we de netwerkinterface op met het programma ip:

$ ip addr list

We zien hier enp24s0. De eenvoudigste manier om dit met ARP te doen, is door elke PC die op het netwerk is aangesloten te scannen en af te sluiten - voer het programma uit door de parameters in te stellen:

$ sudo arp-scan --interface=enp24s0 --localnet

We zien de parameter --interface, waarmee de scaninterface wordt gespecificeerd, en --localnet, waarmee wordt aangegeven dat alle mogelijke IP-adressen voor het huidige netwerk moeten worden toegepast.

Als we de eerste parameter weglaten, dan zoekt het programma naar alle knooppunten voor de interface met het laagste nummer in het systeem. In ons geval is dat enp24s0.

In plaats van de parameter --localnet kun je het netwerkmasker opgeven:

$ sudo arp-scan --interface=enp24s0 10.0.1.0/24

ARP is ook geschikt als de interface geen eigen IP-adres heeft. In dit geval is het uitgaande adres 0.0.0.0. Maar niet alle systemen zullen reageren op een dergelijk verzoek Daarom zal de scanner in deze situatie niet effectief zijn.

Waarom ARP niet werkt

Er zijn verschillende redenen waarom ARP niet goed werkt op een netwerk. Enkele van de meest voorkomende problemen zijn

1. IP-adresconflict: Als twee apparaten in het netwerk hetzelfde IP-adres gebruiken, kan dit een ARP-conflict veroorzaken.
2. Verkeerde netwerkconfiguratie: Verkeerde IP-adressering, subnetten of gateway-instellingen kunnen ervoor zorgen dat ARP niet goed werkt.
3. Netwerkhardwareproblemen: defecte switches, routers of NIC's kunnen ervoor zorgen dat ARP niet goed werkt.
4. Beveiligings- of filterinstellingen op netwerkapparaten kunnen ARP-pakketten blokkeren.
5. Aanvallers kunnen aanvallen gebruiken zoals ARP-poisoning of ARP flooding, die ook ARP-problemen op het netwerk kunnen veroorzaken.

Om ARP-problemen te diagnosticeren en op te lossen, wordt aangeraden om de instellingen van netwerkhardware te controleren, de IP-adresseringsconfiguratie te analyseren en tools te gebruiken om netwerkverkeer te monitoren en analyseren.