Re: nmap -sP meldet nicht alle Hosts
Am 08.12.2011 22:34, schrieb Heiko Schlittermann:
> SchmiTTT <cv.schmitt@googlemail.com> (Do 08 Dez 2011 01:44:49
> CET):
>> Am 2011-12-08 00:29, schrieb Heiko Schlittermann:
>>> Thomas Schöpfer<t.schoepfer@tmx.ch> (Mi 07 Dez 2011 23:40:40
>>> CET):
>>>> Hallo Liste
>>>>
>>>> Bisher bin ich davon ausgegangen, dass zb. nmap -sP
>>>> 192.168.0.1-254 nichts anderes macht als 254 mal ping
>>>> aufzurufen. Ich nutze das jeweils um schnell die IP-Adresse
>>>> von Geräten zu erfahren, die ihre Adresse über DHCP
>>>> bekommen.
>>>>
>>>> Heute ist mir aufgefallen, dass das nicht zuverlässig
>>>> funktioniert. nmap -sP als user findet einige, aber nicht
>>>> alle hosts. nmap -sP als root findet weniger hosts, aber
>>>> manchmal hosts, die als user nicht angezeigt wurden.
>>> Ich denke, daß das mit dem User nicht viel zu tun hat,
>>> gleichwohl die ARP-Requests leicht unterschiedlich aussehen.
>>>
>>> Da NMAP sich mit einem ARP-Requst je Ziel begnügt (im lokalen
>>> Netz), halte ich es für möglich, daß bei Dir da ARP Requests
>>> oder Antworten verloren gehen.
>>>
>>> Hilft die Option --send-ip weiter? Oder gucke auch mal nach
>>> --max-rate, vielleicht bringt das auch eine reproduzierbare
>>> Veränderung.
>>>
--send-ip und/oder --max-rate 1 brachte keine Verbesserung.
Hab auch mal versucht, das Interface mit -e eth0 festzulegen.
Das bringt auch keine Veränderung.
>> man nmap sagt auf Englisch : "- sP: ping scan - go no further
>> than determining if host is online."
Genau das erwarte ich. Eine Liste aller Hosts, die auf ping antworten.
> Ja, das steht in der Kurz-Referenz. Für den OP interessanter halte
> ich den Satz, den man etwas weiter später im Manual findet (gegen
> Zeile 372, je nach Terminalbreite)
>
> a connect call) to ports 80 and 443 on the target. When a
> privileged user tries to scan targets on a local ethernet network,
> ARP requests are used unless --send-ip was specified.
>
> ... und er probiert es ja in einem lokalen Netz. Unterstelle ich.
> Hat er leider nicht verraten.
Ich teste in einem 192.168.0.0/24er Netz. Der Host, von dem aus
gescannt wird, hat die Adresse 192.168.0.251, läuft mit Debian
Version 6.0.3.
Da steht auch noch:
An exception to this is that an ARP scan is used for any targets
which are on a local ethernet network.
und weiter unten:
Even if different ping types (such as -PE or -PS) are specified,
Nmap uses ARP instead for any of the targets which are on the
same LAN. If you absolutely don't want to do an ARP scan,
specify --send-ip.
Bewirkt nur nichts. Es sieht so aus, dass --send-ip ignoriert wird.
>> Heisst also, nur was online ist, wird angezeigt ! was gerade
>> offline ist, wird nicht angezeigt bei -sP
Warum werden dann Hosts, von denen ich weis, dass sie online sind,
weil die sich pingen lassen, nicht aufgelistet?
> Schön, und wie erklärst Du dem OP, daß er mehr/andere Hosts sieht,
> wenn er root ist bzw. daß bei aufeinanderfolgenden Versuchen (ich
> unterstelle mal, daß sich in der Zwischenzeit nichts im Netz
> geändert hat - insbesondere keine Hosts dazu gekommen oder
> weggegangen sind))?
Zumindest 9 Adressen sind in dem Netzwerk statisch vergeben, permanent
online, und antworten jederzeit auf "ping <ip-adresse>" vom selben Host
aus, wo ich auch nmap starte.
Reply to: