Bernd Kloss wrote:
ich möchte herausfinden, welche Rechner im Netzwerk noch eingeschaltet sind. arp -nist nicht aktuell, d. h. es zeigt Rechner, die schon längst runter gefahren sind, bzw. Rechner, die definitiv (kein User eingeloggt) an sind, zweigt das nicht an.
Hm, der ARP Cache wird nicht zeitnah aktualisiert. Ich habe den default timeout jetzt nicht im Kopf, aber fuer Deine Zwecke wird der glatt zu lang sein. Daran hab' ich bei meiner urspruenglichen Idee nicht gedacht, muss ich gestehen.
Man muesste in einer Schleife die kompletten 255 moeglichen ARP Eintraege mit arp -d rausschmeissen, dann einen Connectversuch auf alle 255 moeglichen Rechner machen - im folgenden waere auch die ARP Table auf dem aktuellen Stand (und zwar unabhaengig vom folgenden Problem):
Der Versuch mit nmap -sP 192.168.0.0/24oder nmap -PR 192.168.0.0/24 Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2008-05-04 11:46 UTC Nmap finished: 256 IP addresses (0 hosts up) scanned in 12.299 seconds
Das sieht schwer nach irgendwelchen Tools auf den Rechnern aus, die ein vernuenftiges Netzwerkverhalten aus "Sicherheitsgruenden" beschneiden. Gibt leider eine Menge ADministratoren, die denken, dass "icmp bzw. ping abschalten" irgendwas an der Netzwerksicherheit tut. Wenn extra noch Anfragen an spezielle Ports bei nichtlaufendem Dienst nicht RFC gemaess mit einem TCP-RST (aka: "den Dienst gibt es hier nicht") beantwortet, sondern kommentarlos weggeschmissen werden, dann hat man mit der nmap Methode ein bisschen verloren.
Obige Methode mit dem ARP in der Schleife muss allerdings funktionieren - einen ARP Request kann man nicht wegschmeissen, wenn man Netz will. Respektive kann man schon, dann wird der Rechner "supersicher", weil keiner mehr mit ihm kommunizieren kann :)
Ist halt so - ARP funktioniert einen Layer weiter unten (da unterhaelt sich quasi kein Protokoll von IP, sondern direkt die Netzwerkkarten ueber ihre MAC Adressen - ein Request von nmap fuehrt zu einem ARP Request Marke "who has 192.168.0.1?" und wenn der Rechner wirklich online ist, dann MUSS er mit einem "192.168.0.1 has aa:bb:cc:dd:ee:ff" antworten.
Diese Antwort ist dann auch das todsichere Indiz fuer einen existenten Rechner im LAN. ARP Cache muss allerdings vorher geleert werden, sonst greift der lokale Rechner auf die Eintraege dort zurueck (und der resultierende Connectversuch in der Kommunikationsebene weiter oben laeuft halt ins Leere).
Ist nmap das falsche Tool (habe den Tipp aus einem Thread, bei dem es um online-Rechner ging, wobei aber "online" nicht erläutert war) oder sind die Parameter falsch?
-sP macht halt einen ping-Scan. Kann man auch anders machen.
Tipps?
man nmap :) Gruss Urs...