Scanarea ARP a rețelei locale Linux

Adesea trebuie să știți ce dispozitive sunt conectate la rețeaua dvs. Acesta este cazul dacă doriți să vă conectați la unul dintre PC-uri și nu aveți o idee clară despre adresa acestuia, dacă doriți doar să vă asigurați că rețeaua dvs. este securizată sau nu, sau dacă doriți să găsiți toate dispozitivele ascunse. Puteți găsi toate dispozitivele conectate, inclusiv dispozitivele ascunse, utilizând scanarea ARP.

Ce este ARP

ARP (Address Resolution Protocol) este un protocol utilizat în rețelele de calculatoare pentru comunicarea între nodurile rețelei. Acesta este utilizat pentru a corela adresele IP ale dispozitivelor de rețea cu adresele lor fizice MAC. Atunci când un nod dintr-o rețea dorește să trimită date către un alt nod, acesta utilizează ARP pentru a determina adresa MAC a destinatarului pe baza adresei sale IP.

În Linux, tabela ARP este stocată în RAM și conține corespondențe între adresele IP și adresele MAC ale altor dispozitive din rețea. Puteți vizualiza conținutul tabelei ARP în Linux utilizând comanda arp -a. Linux oferă instrumente pentru a efectua operații ARP, cum ar fi adăugarea de intrări ARP statice sau ștergerea cache-ului ARP. ARP este un element important în funcționarea rețelelor TCP/IP și joacă un rol crucial în comunicarea dintre dispozitivele dintr-o rețea locală.

Scanarea cu ARP

Fiecare rețea de calculatoare are o adresă IP - toată lumea știe asta. V-ați întrebat vreodată cărui computer îi este atribuită o anumită adresă? Este cunoscut faptul că există diferite rețele - cu fir, fără fir, ppp. În fiecare rețea, adresa hardware a mașinii de calcul are un format diferit, care depinde de caracteristicile de proiectare ale rețelei locale.

Să explicăm, totul este de fapt foarte simplu. Pentru a converti adresa fizică în IP este furnizat ARP, Pe scurt, este un protocol de rezolvare a adreselor. Atunci când un computer intră în rețea, acesta face o cerere către celelalte PC-uri și pune întrebarea - ""Cine are adresa IP XXX.XXX.X.X.X"". Răspunsul său nu este ignorat, dar arată puțin diferit - "Eu, adresa mea este xx:xx:xx:xx:xx:xx:xx". Adică, în răspuns este trimisă o adresă fizică. Această adresă este introdusă într-un tabel special.

Trebuie spus că formatul mesajelor ARP este extrem de simplu. Mesajul ascunde fie o cerere cu o adresă IP, fie un răspuns. Dimensiunea mesajului depinde de protocol - IPv4 sau IPv6, de tipul de echipament de rețea. Antetul mesajului specifică tipurile și dimensiunile acestor mesaje. Antetul se încheie cu un cod al mesajului. Pentru o cerere, codul este 1, iar pentru un răspuns, codul este 2. Corpul mesajului conține cele patru adrese, hardware și de rețea, aparținând expeditorului și destinatarului.

Instalarea utilitarului

Utilitarul ARP Scan, denumit și MAC Scanner, este un instrument util și funcțional pentru scanarea unei rețele locale Linux folosind ARP. Programul afișează adresele Pv4 ale dispozitivelor de rețea. Particularitatea ARP este că nu implică rutarea. Acest tip de scanare este adecvat numai pentru rețelele locale. Programul detectează dispozitivele active, calculatoarele nu se pot ascunde de ARP. Dacă un computer trebuie detectat în afara rețelei locale, se utilizează scanarea ping.

Network Scanner este disponibil pentru următoarele sisteme de operare:

1. Debian;
2. Ubuntu;
3. Fedora;
4. RedHat;
5. Gentoo;
6. ArchLinux.

Pentru instalare, vom efectua:

$ sudo apt install arp-scan

Scanare

Cu ajutorul programului veți putea găsi toate calculatoarele active atât în rețelele ethernet cu fir, cât și în rețelele Wifi fără fir. Conexiunile PPP și SLIP nu sunt furnizate, deoarece nu există ARP în ele. Ar trebui să lucrați cu utilitarul cu drepturi de superutilizator.

La început aflăm interfața de rețea cu ajutorul programului ip:

$ ip addr list

Vedem aici enp24s0. Cel mai simplu mod de a face acest lucru cu ARP, prin scanarea și ieșirea fiecărui PC conectat la rețea - se execută programul prin setarea parametrilor:

$ sudo arp-scan --interface=enp24s0 --localnet

Vedem parametrul --interface, specificând interfața de scanare, și --localnet, indicând aplicarea tuturor adreselor IP posibile pentru rețeaua curentă.

Dacă omitem primul parametru, atunci programul va căuta toate nodurile pentru interfața cu numărul cel mai mic din sistem. În cazul nostru, acesta este enp24s0.

În locul parametrului --localnet, puteți specifica masca de rețea:

$ sudo arp-scan --interface=enp24s0 10.0.1.0/24

ARP este potrivit și în cazul în care interfața nu are propria adresă IP. În acest caz, adresa de ieșire este 0.0.0.0.0.0. Dar nu toate sistemele vor răspunde la o astfel de cerere Prin urmare, în această situație, scanerul va fi ineficient.

De ce ARP nu funcționează

Există mai multe motive pentru care ARP poate să nu funcționeze corect într-o rețea. Unele dintre cele mai frecvente probleme includ:

1. Conflict de adrese IP: Dacă două dispozitive din rețea utilizează aceeași adresă IP, acest lucru poate cauza un conflict ARP.
2. Configurarea incorectă a rețelei: Adresarea IP, subrețelele sau setările gateway incorecte pot cauza eșecul ARP.
3. Probleme hardware de rețea: Comutatoarele, routerele sau NIC-urile defecte pot cauza funcționarea defectuoasă a ARP.
4. Setările de securitate sau de filtrare de pe dispozitivele de rețea pot bloca pachetele ARP.
5. Atacatorii pot utiliza atacuri precum ARP poisoning sau ARP flooding, care pot provoca, de asemenea, probleme ARP în rețea.

Pentru diagnosticarea și depanarea problemelor ARP, se recomandă verificarea setărilor hardware ale rețelei, analiza configurației de adresare IP și utilizarea instrumentelor de monitorizare și analiză a traficului de rețea.