Huub Reuver schreef: > On Sat, May 08, 2010 at 02:25:01PM +0200, Geert Stappers wrote: >> Samenvatting: Welke nodes zijn er in het IP netwerk >> >> Hallo, >> >> Een van de goede dingen van een IP netwerk, >> is dat het rustig is er niets te vertellen is. >> >> Er netwerken waar altijd wat geroepen wordt. >> >> Nu zoek ik iets wat daar een mix van is. >> >> Wat ik wil, is weten welke nodes er in het IP netwerk zijn. >> >> >> Ik heb wel wat idee"en, maar dan beperk ik zelf met mijn eigen ideeen. >> Deze posting naar een groep mensen zou nieuwe ideeen op kunnen leveren. >> >> Mijn ideeen: >> 1: Op alle devices "samba" installeren. SMB is een luidruchtig protocol, >> alle devices roepen dat ze er zijn. >> 2: SNMP deamons installeren. >> 3: DHCP server bevragen wat er uitgedeeld is. >> >> Nadelen daarvan: >> 1: Zwaar overkill, er is geen SMB nodig. >> 2: SNMP zou kunnen, ik heb geen idee hoe zwaar een SNMP management host is. >> 3: DHCP leases worden bewaart voor een volgende keer dat de node er is, >> ookal gaat ie nooit meer terug komen. >> >> >> >> Enfin, >> toen was het open vraag E-mailtje klaar. >> >> Nu een minder open vraag: >> Wat is jullie favoriete ARP watch tool? Mijn favoriete 'alles watch tool' is Wireshark of tshark. Of tcpdump, als er geen tshark is. > Vroeger was het eenvoudig: > Je stuurde 1 broadcast ping en alle pc's stonden in je arp-table > (/usr/sbin/arp -a). > > Toen leerde Microsoft TCP/IP en was een broadcast ping nutteloos. > Toen kwamen er verschillende exploits via ICMP en werd een normale ping > ook al minder bruikbaar. > > Als je zeker weet dat een ip-filter het niet blokkeert kun je gewoon een > ping naar iedere pc sturen en de arp-tabel uitlezen. > > Het basisidee is dit: > for (( i=0 ; i<255 ; i++ )) ; do > /bin/ping -c 1 -W 1 192.168.72.$i > /dev/null 2>&1 & > done > sleep 10 > /usr/sbin/arp -a | grep -v incomplete Ik zou in dit geval 'nmap' gebruiken: nmap -sP 192.168.72.0/24 geeft een lijst van hosts die reageren op ICMP ping met hun MAC adressen. Nmap heeft ook nog honderdduizend andere mogelijkheden om netwerk-scans te doen, met TCP, UDP, ICMP, verzin het maar. > Algemene netwerktools als ntop hebben echter ook al een overzicht van verkeer > per arp. Maar dan moet je actief gaan monitoren. Groeten, Martijn.
Attachment:
smime.p7s
Description: S/MIME Cryptographic Signature