• Indledning til Nping ARP scan
  • Nping ARP scan typer
  • Nmap ARP discovery
  • Konklusion

ARP (Address Resolution Protocol) er en protokol på lavt niveau, der arbejder på Link layer-niveau i Internet-modellen eller Internet-protokolpakken, som blev forklaret i introduktionen til Nmap Basics. Der er tre andre øvre lag: Internetlaget, Transportlaget og Applikationslaget.

Billedkilde:

Note: Nogle eksperter beskriver internetmodellen med 5 lag, herunder det fysiske lag, mens andre eksperter hævder, at det fysiske lag ikke hører til internetmodellen, dette fysiske lag er irrelevant for os i forbindelse med Nmap.

Link Layer er en protokol, der bruges i IPv4 lokale netværk til at opdage online værter, den kan ikke bruges ikke bruges på internettet og er begrænset til lokale enheder, den bruges enten i IPv6 netværk, hvor NDP (Neighbor Discovery) protokollen erstatter ARP protokollen.

Når du bruger Nmap på et lokalt netværk anvendes ARP-protokollen som standard for at være hurtigere og mere pålidelig ifølge de officielle data , du kan bruge flaget -send-ip til at tvinge Nmap til at bruge internetprotokollen inden for et lokalt netværk, du kan forhindre Nmap i at sende ARP ping ved at bruge indstillingen -disable-arp-ping også.

Nping ARP scan typer

Forrige Nmap versioner kom med en række muligheder for at udføre ARP scanninger, i øjeblikket understøtter Nmap ikke disse flag, som nu kan bruges gennem værktøjet Nping inkluderet i Nmap, hvis du har Nmap installeret har du allerede dette værktøj.

Nping giver mulighed for at generere pakker under mange protokoller, som det officielle websted beskriver kan det også bruges til ARP poisoning, Denial of Service og mere. Hjemmesiden opregner følgende funktioner:

  • Generering af brugerdefinerede TCP-, UDP-, ICMP- og ARP-pakker.
  • Støtte til specifikation af flere målværter.
  • Støtte til specifikation af flere målporte.
  • Unprivilegerede tilstande for ikke-root-brugere.
  • Echotilstand til avanceret fejlfinding og opdagelse.
  • Støtte til Ethernet frame-generering.
  • Støtte til IPv6 (i øjeblikket eksperimentelt).
  • Kører på Linux, Mac OS og MS Windows.
  • Funktioner til sporing af ruter.
  • Høj grad af tilpasningsmuligheder.
  • Gratis og open source.

(Kilde https://nmap.org/nping/)

Relevante protokoller for denne vejledning:

ARP: En almindelig ARP-pakkeanmodning leder efter MAC-adressen ved hjælp af enhedens IP-adresse. (https://tools.ietf.org/html/rfc6747)

RARP: En RARP-anmodning (Reverse ARP) opløser IP-adressen ved hjælp af MAC-adressen, denne protokol er forældet. (https://tools.ietf.org/html/rfc1931)

DRARP: en DRARP-protokol (Dynamic RARP) eller protokoludvidelse, der er udviklet til at tildele dynamisk IP-adresse baseret på en enheds fysiske adresse, kan også bruges til at få IP-adressen. (https://tools.ietf.org/html/rfc1931)

InARP: En InARP-anmodning (Inverse ARP) løser DLCI-adressen (Data Link Connection Identifier), som svarer til en MAC-adresse. (https://tools.ietf.org/html/rfc2390)

Basiseksempler på ARP-, DRARP- og InARP-pakker:

Det følgende eksempel sender en ARP-anmodning for at få kendskab til routerens MAC-adresse:

nping –arp-type ARP 192.168.0.1

Som du kan se, returnerede -arp-type ARP-flaget målets MAC-adresse 00:00:CA:11:22:33

Det følgende eksempel vil udskrive oplysninger om protokol-, fysiske og IP-adresser for enheder, der interagerer:

nping –arp-type InARP 192.168.0.1

Where:
HTYPE: Hardwaretype.
PTYPE: Protokoltype.
HLEN: Hardwareadresselængde. (6 bit for MAC-adresse)
PLEN: Længde af protokoladresse. (4 bit for IPv4)
SIP: Source IP Address.
SMAC: Source Mac Address: Source Mac Address.
DMAC: Source Mac Address: Source Mac Address: Destinations-Mac-adresse.
DIP: Destinations-IP-adresse.

Det følgende eksempel returnerer det samme output:

nping –arp-type DRARP 192.168.0.1

Nmap ARP discovery

Det følgende eksempel med nmap er en ARP ping-scanning, der udelader mod alle muligheder i det sidste oktet, ved at bruge wildcardet (*), kan du også indstille intervaller adskilt af bindestreger.

nmap -sP -PR 192.168.0.*

Hvor:-sP: Ping scanner netværket og opregner de maskiner, der svarer på ping.
-PR: ARP discovery

Det følgende eksempel er en ARP-scanning mod alle muligheder i det sidste oktet, herunder portscanning.

nmap -PR 192.168.0.*

Det følgende eksempel viser en ARP-scanning mod alle muligheder i det sidste oktet

nmap -sn -PR 192.168.0.*

Den følgende scanning fremtvinger en ip-scanning over en arp-scanning, igen det sidste oktet ved hjælp af wildcardet.

nmap -sn –send-ip 192.168.0.*

Som du kan se mens scanningen lavet før tog 6 sekunder tog det 23.

Et lignende output og timing sker, hvis du deaktiverer ARP-protokollen ved at tilføje flaget -disable-arp-ping:

nmap -sn –disable-arp-ping 192.168.0.*

Konklusion

Nmap og Nping ARP-scanninger er ok til at opdage værter, mens programmerne ifølge den officielle dokumentation kan være nyttige til DoS, ARP Poisoning og andre angrebsteknikker mine tests virkede ikke, der er bedre værktøjer fokuseret på ARP-protokollen som ARP spoofing, Ettercap, eller arp-scan, som fortjener mere opmærksomhed med hensyn til dette aspekt. Men når man bruger Nmap eller Nping, tilføjer ARP-protokollen til scannings-processen den tillid, at pakker kan mærkes som lokal netværkstrafik, som routere eller firewalls viser mere tålmodighed over for end for ekstern trafik, men det hjælper selvfølgelig ikke, hvis man oversvømmer netværket med pakker. ARP modes og typer er ikke længere brugbare under Nmap, men al dokumentation er stadig brugbar, hvis den anvendes på Nping.

Jeg håber du fandt denne introduktion til Nmap og Nping ARP scan nyttig. Bliv ved med at følge LinuxHint for at få flere tips og opdateringer om Linux og netværk.

  • Sådan scanner du efter tjenester og sårbarheder med Nmap
  • Hvis du bruger nmap-scripts: Nmap banner grab
  • nmap netværksscanning
  • nmap ping sweep
  • Traceroute med Nmap
  • nmap-flag og hvad de gør
  • Nmap Stealth Scan
  • Nmap Alternativer til Nmap
  • Nmap: scan IP-ranges

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.