关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

安全工程师都在用的网络扫描软件,巧用ARP协议发现主机。

发布时间:2019-06-05 11:35:06

学习nmap的一个基本功能:主机发现。在上一节的入门中,我们没有添加任何参数,直接nmap 192.168.1.20,这种默认形式是会做端口扫描的。本节我们只讲发现主机,不涉及端口扫描,所以呢,为了节约大家时间先接触-sn,这个参数,这个参数只扫描主机存活,不对主机端口进行扫描。如nmap -sn 192.168.1.20

主机发现的方式多种多样,其中包括基于arp协议的、基于icmp协议的、基于tcp、udp协议的等。

本节先介绍一下基于ARP协议的主机发现扫描

基于arp协议的主机发现扫描

ARP协议位于网络层,是接口层和传输层之间的重要协议,起的作用就是地址转换,通过IP地址寻找MAC地址。与之对应的RARP协议。ARP协议是局域网通信中最重要的协议。

nmap中利用ARP协议的参数-PR

命令:nmap -sn -PR 192.168.1/24

在局域网扫描中优先推荐-PR,扫描准确度很高。

基于ICMP协议的主机发现扫描

ICMP报文分为:差错报文和查询报文。在这里呢我们用到的是查询报文。

安全工程师都在用的网络扫描软件,巧用ARP协议发现主机。

ICMP报文种类

1、利用响应请求或应答。

日常经常用到的ping就是利用了icmp的响应请求和应答。实质上和ping一样。

命令:nmap -PE 192.168.1.20

2、利用时间戳请求或应答。

在很多生产环境中,主机一般都会禁止ping。如果ping不通,也不能判定主机就不在线,我们还可以利用时间戳请求或应答。

命令:nmap -PP 192.168.1.1

3、利用地址掩码请求和应答。

如果以上两种方式都不满意,我们也可以试试利用地址掩码请求和应答。(多用于无盘工作站)

命令:nmap -PM 192.168.1.20

虽然我们掌握了以上几种检测方法,但是随着人们安全意识的不断增强,阿全防护设备的不断完善,所以也不能保证100%的检测出目标主机。



/../template/Home/Databay/PC/Static
在线客服
微信公众账号