[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: "hoi, ik ben er" in een IP netwerk



Huub Reuver schreef:
> On Sat, May 08, 2010 at 02:25:01PM +0200, Geert Stappers wrote:
>> Samenvatting: Welke nodes zijn er in het IP netwerk
>>
>> Hallo,
>>
>> Een van de goede dingen van een IP netwerk,
>> is dat het rustig is er niets te vertellen is.
>>
>> Er netwerken waar altijd wat geroepen wordt.
>>
>> Nu zoek ik iets wat daar een mix van is.
>>
>> Wat ik wil, is weten welke nodes er in het IP netwerk zijn.
>>
>>
>> Ik heb wel wat idee"en, maar dan beperk ik zelf met mijn eigen ideeen.
>> Deze posting naar een groep mensen zou nieuwe ideeen op kunnen leveren.
>>
>> Mijn ideeen:
>> 1: Op alle devices "samba" installeren. SMB is een luidruchtig protocol,
>> alle devices roepen dat ze er zijn.
>> 2: SNMP deamons installeren.
>> 3: DHCP server bevragen wat er uitgedeeld is.
>>
>> Nadelen daarvan:
>> 1: Zwaar overkill, er is geen SMB nodig.
>> 2: SNMP zou kunnen, ik heb geen idee hoe zwaar een SNMP management host is.
>> 3: DHCP leases worden bewaart voor een volgende keer dat de node er is,
>> ookal gaat ie nooit meer terug komen.
>>
>>
>>
>> Enfin,
>> toen was het open vraag E-mailtje klaar.
>>
>> Nu een minder open vraag:
>>  Wat is jullie favoriete ARP watch tool?

Mijn favoriete 'alles watch tool' is Wireshark of tshark. Of tcpdump,
als er geen tshark is.

> Vroeger was het eenvoudig:
> Je stuurde 1 broadcast ping en alle pc's stonden in je arp-table 
> (/usr/sbin/arp -a).
> 
> Toen leerde Microsoft TCP/IP en was een broadcast ping nutteloos.
> Toen kwamen er verschillende exploits via ICMP en werd een normale ping 
> ook al minder bruikbaar.
> 
> Als je zeker weet dat een ip-filter het niet blokkeert kun je gewoon een
> ping naar iedere pc sturen en de arp-tabel uitlezen.
> 
> Het basisidee is dit:
> for (( i=0 ; i<255 ; i++ )) ; do 
> /bin/ping -c 1 -W 1 192.168.72.$i > /dev/null 2>&1 & 
> done 
> sleep 10
> /usr/sbin/arp -a | grep -v incomplete

Ik zou in dit geval 'nmap' gebruiken:

  nmap -sP 192.168.72.0/24

geeft een lijst van hosts die reageren op ICMP ping met hun MAC
adressen. Nmap heeft ook nog honderdduizend andere mogelijkheden om
netwerk-scans te doen, met TCP, UDP, ICMP, verzin het maar.

> Algemene netwerktools als ntop hebben echter ook al een overzicht van verkeer 
> per arp. Maar dan moet je actief gaan monitoren.

Groeten,
Martijn.

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature


Reply to: