¿Cómo encontrar hosts en vivo en mi red?

Question

¿Cómo encontrar hosts en vivo en mi red?

#1 de Shurmajee (248 votos)
#2 de Teun Vink (67 votos)
#3 de AbsoluteƵERØ (24 votos)
#4 de Ricky Wilson (8 votos)
#5 de D.G. (6 votos)
#6 de PraveenMax (3 votos)
#7 de slayer owner (1 votos)
#8 de rocket (1 votos)
#9 de Cybres.1 (-2 votos)

222

Estoy tratando de encontrar los hosts en vivo en mi red usando nmap. Estoy escaneando la red en Ubuntu usando el comando sudo nmap -sP 192.168.2.1/24 . Sin embargo, no puedo encontrar los anfitriones vivos. Acabo de recibir la dirección de red de mi propia PC como en vivo. Cuando veo la lista de clientes DHCP a través de mi navegador (se puede acceder a mi enrutador a través del IP de mi red), obtengo alrededor de 10 hosts en vivo en la red. ¿Alguien puede decirme la razón por la que esto podría estar sucediendo y cómo puedo encontrar los hosts en vivo en mi red?

nmap host-discovery

pregunta TheRookierLearner 19.05.2013 - 20:03

fuente

9 respuestas

67

La forma más fácil de verificar esto es verificar las tablas ARP después de hacer el barrido de ping usando nmap:

arp -a -n

Enumera todos los hosts que respondieron a una consulta ARP, incluso los que filtran ICMP.

respondido por el Teun Vink 19.05.2013 - 22:31

fuente

24

Wireshark también es genial.

Es posible que desee revisar Wireshark . Registra todo el tráfico en la red local. Le dirá qué nodos están transmitiendo. También puedes ver lo que se está transmitiendo. Está disponible en el Centro de software de Ubuntu.

Además, aquí hay un enlace sobre instalando Wireshark en Ubuntu a través de la línea de comandos.

Con respecto al tráfico que se muestra en las tablas de enrutamiento de DHCP, recuerde que muchas máquinas virtuales se mostrarán como máquinas separadas en la lista. Cualquier cosa que esté conectada a su red, por lo general dentro del tiempo predeterminado de arrendamiento de 24 horas (para la mayoría de los enrutadores de WiFi) aún se mostrará en la lista. Es posible que desee verificar la duración de los arrendamientos en el enrutador. Podría decirle si alguien está en su red durante la noche. En algunos dispositivos que tienen NIC duales o una NIC y una tarjeta inalámbrica, aparecerán dos veces si ambas interfaces están habilitadas.

Otras cosas que mucha gente olvida de estar en la red:

Interruptores administrados
Algunas impresoras
Tarjetas de administración remota del servidor
teléfonos celulares
Tivo y otros DVRs
televisores de Apple
Algunos televisores
reproductores de DVD
Receptores A / V de red
Playstations, XBox, Etc.
Dispositivos de juego portátiles
Ipads y otras tabletas
iPods y reproductores de música
PDAs
Teléfonos IP como Magic Jack Plus

Hace aproximadamente 6 años en la oficina en la que trabajaba en nuestra pequeña conexión de 3 mb se redujo a 128 k debido a todo el exceso de tráfico. Los propietarios querían saber si era posible ver qué estaba pasando. El viejo empleado de TI de medio tiempo se encogió de hombros porque no todo el tráfico pasaba por su servidor Windows 2000. Comprobó las tablas de enrutamiento y los registros de tráfico en el servidor y no vio nada. Extrañamente no estaban usando un enrutador, por lo que cualquier cosa en la red podría obtener una dirección del módem. Las tablas de enrutamiento que miró en el servidor eran solo para mapeos estáticos que existían un par de años antes. Noté que no estaban en la misma subred. Luego les mostré que DHCP no estaba en el servidor.

Encontré todo el tráfico que llegaba después de las horas en un barrido nocturno con Wireshark. Uno de mis compañeros de trabajo estaba alojando, sin saberlo, un sitio de sexo japonés en su máquina. Los atacantes habían arraigado su máquina después de que instaló una puerta trasera que venía con una versión agrietada de un software de edición de video de alta gama. También descubrimos que estaban ejecutando Tor , demonoid y bitTorrent en varias máquinas en diferentes departamentos en diferentes momentos. Wireshark lo encontró todo. Al día siguiente, Internet estaba a toda velocidad ... también instalamos un enrutador.

Si no estás preparado para Wireshark, es posible que también quieras probar tcpdump .

respondido por el AbsoluteƵERØ 19.05.2013 - 22:57

fuente

8

Este script de bash generará las direcciones IP de todos los hosts en vivo en una red.

#!/bin/bash

nmap $1 -n -sP | grep report | awk '{print $5}'

Ejemplo de uso

rwilson@rwilson-Aspire-E5-521:~/Scripts/Utils$ 
Mon Jul 27 06:41 AM> ./livehosts.sh 192.168.1.1/24
192.168.1.1
192.168.1.11
192.168.1.12
192.168.1.13
192.168.1.14
192.168.1.15
192.168.1.118
192.168.1.122
192.168.1.123
192.168.1.126
192.168.1.129
192.168.1.133
192.168.1.134
192.168.1.156
192.168.1.159
192.168.1.168
192.168.1.170

respondido por el Ricky Wilson 27.07.2015 - 13:46

fuente

6

Conozco un método que siempre funciona para mí, si dices:

nmap -sP 192.168.0.*

enviará el paquete ICMP a todos los destinatarios de IP en esa red, y se mostrarán todos los activos (los asignados a computadoras, dispositivos móviles, etc.), junto con su dirección MAC y su tarjeta de red fabricante.

respondido por el D.G. 09.04.2017 - 09:43

fuente

3

A veces, arp -a -n no obtiene la dirección IP. Al realizar nmap -sP 192.168.1.1/24 se recuperarán los hosts en vivo y después de eso, si vuelve a intentar arp , se mostrarán los hosts en vivo. Así es como me funcionó en linux mint. Pero puedes confiar en nmap anyday.

respondido por el PraveenMax 18.05.2017 - 19:58

fuente

1

Cuando tiene privilegios de administrador como root , por ejemplo, puede usar netdiscover(8) . Utiliza la clase de red C / 24 por defecto. Puede usar el indicador -r para especificar diferentes clases y máscaras.

Por ejemplo:

$ sudo netdiscover -r 172.16.17.0/24

La salida será algo así como:

 Currently scanning: Finished!   |   Screen View: Unique Hosts                                                                                     

 3 Captured ARP Req/Rep packets, from 3 hosts.   Total size: 180                                                                                   
 _____________________________________________________________________________
   IP            At MAC Address     Count     Len  MAC Vendor / Hostname      
 -----------------------------------------------------------------------------
 172.16.17.1    00:50:56:c0:00:08      1      60  VMware, Inc.                                                                                    
 172.16.17.2    00:50:56:f9:b9:b6      1      60  VMware, Inc.                                                                                    
 172.16.17.254  00:50:56:fc:e4:76      1      60  VMware, Inc.

respondido por el slayer owner 25.10.2018 - 16:25

fuente

1

Ejemplo para encontrar un host en una red:

arp-scan 192.168.12.0/24   # if vlan tagged interface use -Q vlanid

etherape (GUI) muestra gráficos de la actividad de la red.

Algunas otras herramientas se mencionaron aquí también.

respondido por el rocket 25.10.2018 - 14:44

fuente

-2

Solo hazlo:

nmap -sn xxx.xxx.xxx.0/24

Ejemplo:

nmap -sn 192.168.1.0/24

No sé por qué se complican las cosas.

respondido por el Cybres.1 24.12.2018 - 22:06

fuente

Lea otras preguntas en las etiquetas nmap host-discovery

Las contraseñas se envían en texto sin cifrar debido a un error de los usuarios al escribirlas en el campo de nombre de usuario ¿Dónde puedo aprender criptografía / criptoanálisis de la manera más difícil, sin ir a la escuela? ¿Algún buen libro?

score 248 · Accepted Answer

Esta es la forma más sencilla de realizar descubrimiento de host con nmap.

nmap -sP 192.168.2.1/24

¿Por qué no funciona todo el tiempo?

Cuando se ejecuta este comando, nmap intenta hacer ping al rango de la dirección IP dada para verificar si los hosts están vivos. Si el ping falla, intenta enviar paquetes syn al puerto 80 (escaneo SYN). Esto no es cien por ciento confiable porque los firewalls modernos basados en host bloquean el ping y el puerto 80. El firewall de Windows bloquea el ping de forma predeterminada. Los hosts que tiene en la red están bloqueando el ping y el puerto 80 no está aceptando conexiones. Por lo tanto, nmap asume que el host no está activo.

Entonces, ¿hay una solución para este problema?

Sí. Una de las opciones que tiene es usar el indicador -P0 que omite el proceso de descubrimiento de host e intenta realizar un escaneo de puertos en todas las direcciones IP (en este caso, incluso las direcciones IP vacías serán escaneadas). Obviamente, esto llevará mucho tiempo completar el escaneo, incluso si está en una red pequeña (20-50 hosts). pero te dará los resultados.

La mejor opción sería especificar puertos personalizados para la exploración. Nmap le permite probar puertos específicos con paquetes SYN / UDP. En general, se recomienda probar los puertos de uso común, p. TCP-22 (ssh) o TCP-3389 (escritorio remoto de Windows) o UDP-161 (SNMP).

sudo nmap -sP -PS22,3389 192.168.2.1/24 #custom TCP SYN scan
sudo nmap -sP -PU161 192.168.2.1/24 #custom UDP scan

N.B. Incluso después de especificar puertos personalizados para escanear, es posible que no obtenga un host activo. Mucho depende de cómo está configurado el host y de qué servicios está usando. Así que solo tiene que seguir investigando con diferentes combinaciones. Recuerde, no realice escaneos en una red sin la debida autorización.

actualización : al escanear una red, nunca puede estar seguro de que un comando en particular le dará todos los resultados deseados. El enfoque debe ser comenzar con un barrido de ping básico y, si no funciona, intente adivinar las aplicaciones que pueden estar ejecutándose en los hosts y pruebe los puertos correspondientes. La idea de usar Wireshark también es interesante. Es posible que desee intentar enviar paquetes ACK.

nmap -sP -PA21,22,25,3389 192.168.2.1/24 #21 is used by ftp

actualización dos: los indicadores -sP y -P0 ahora se conocen como -sn y -Pn respectivamente. Sin embargo, las banderas más antiguas aún funcionan en las versiones más nuevas.