1

Решение, которое я хочу решить, состоит в том, чтобы обнаружить недавно подключенный ip (и, предпочтительно, mac и vendor) в локальной сети.

До сих пор я пробовал arp-scan и nmap.

Мне нравится arp-scan в основном потому, что быстро и довольно легко создавать выходные данные из bash-скрипта в файл.

Тем не менее, кажется, что он обнаруживает не более одного подключенного компьютера, где их фактически 3. nmap делает лучшую работу, но сложнее создать требуемый вывод и он работает медленнее.

Это запускается в скрипте bash (в цикле):

sudo arp-scan --interface=wlan0 --localnet | sed '1, 2d' | head -n -3 > ipDump.lst 

Каналы предназначены только для форматирования и печати в файл (ipDump.lst).

Я застрял в поиске только одного компьютера.

Мои вопросы:

Что я делаю не так с arp-scan?

Есть ли другая программа, которая лучше соответствует моим потребностям?

Является ли мое лучшее решение nmap и, если да, то как мне настроить его так, чтобы оно было быстрым (мне не нужна информация о порте или любая другая информация) и создавало выходные данные, которые можно фактически выводить в виде IP-адресов в каждой строке файла?

2 ответа2

2

Есть демон arpwatch , который делает это довольно хорошо. Его можно настроить для предоставления различных уведомлений. Обычно они доставляются по электронной почте соответствующему администратору.

Вы можете отключить уведомления в течение первых нескольких часов или дней (в зависимости от сети), пока создается база данных arpwatch.

Можно определить системы, которые исчезли из файла состояния arpwatch. Один из столбцов содержит последний раз, когда устройство было замечено.

0

Если ваша цель состоит в том, чтобы программа зависла и ждала появления новых компьютеров, то прослушивание ARP-трафика - это путь.

Когда компьютер загружается, он должен отправить сообщение "У кого есть ARP", которое вы должны получить на своем компьютере, так как объявление "у кого есть" транслируется на все компьютеры в этом сегменте Ethernet.

Вы можете настроить tcpdump (или другие приложения) так, чтобы они просто записывали эти arp-запросы в файл, а затем читали файл на досуге (в формате pcap). Чтобы получить только соответствующие пакеты ARP, вам нужно правильно установить фильтр для типа пакета, который вы ищете. Если вам нужен IP-адрес, связанный с широковещательным MAC-адресом, вам необходимо сгенерировать собственный запрос ARP.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .