Я хочу просканировать включенные компьютеры в моей локальной сети и собрать журналы об этом. Я попытался nmap но это работало не очень хорошо (многие включенные компьютеры не обнаруживаются).
nmap -sP 192.168.2.0/24
Nmap done: 256 IP addresses (10 hosts up) scanned in 6.07 seconds
Я также думал о просмотре сетевых TCP-пакетов для IP-адресов, но я не знаю ни одного инструмента, готового для этого.
В этой сети со всеми компьютерами связаны статические IP-адреса, поэтому IP-адрес идентифицирует компьютер. На ПК установлены разные операционные системы (Windows 7, Ubuntu 10.04, Ubuntu 12.04 и другие).
Какой у меня лучший шанс?
Вы пробовали другие варианты сканирования от Nmap? Параметр ping может не всегда работать, но другие параметры сканирования могут быть более надежными? Пытаться,
nmap -PS 192.168.2.0/24 (TCP SYN ping)
или
nmap -PR 192.168.2.0/24 (Сканирование ARP)
Пытаться Смотри @ LAN для поиска включенных компьютеров.
Есть альтернативы смотреть @ LAN, а некоторые из них даже бесплатны или бесплатны и с открытым исходным кодом.
Лично я могу рекомендовать Злой IP-сканер который является OpenSource и мультиплатформенным, или Расширенный IP-сканер который предназначен для платформ Windows, а не с открытым исходным кодом, но является бесплатным.
Сканирование ARP (-PR) по умолчанию используется в локальной сети. Кроме того, вы также можете использовать расширенные параметры проверки связи, такие как nmap -PS21-23,80,135,139,443,445 target
Или просканируйте 1000 наиболее распространенных портов (или даже все порты -p-) без ping nmap -Pn -p- target что несколько медленнее.
Кажется, проблема заключалась в скорости зондирования (слишком много пакетов в секунду?). Используя параметр --max-rate сделали его производительность намного лучше. Бегать нужно целую вечность, но, по крайней мере, это работает.
$ nmap -sP --max-rate 1 192.168.2.0/24
...
Nmap done: 242 IP addresses (67 hosts up) scanned in 434.04 seconds
ping -b широковещательный IP, затем arp -a
arpwatch может оказаться очень полезным для получения первого впечатления о том, что происходит; Инструмент для просмотра деталей - это wirehark (даже лучше в сочетании с коммутатором, у которого настроен порт мониторинга, или аналогичный сетевой ответвитель). Кстати, поскольку вы, кажется, новичок в таких методах: использование таких инструментов в профессиональной среде допустимо в двух ситуациях: а) вы разработчик и анализируете ТОЛЬКО трафик, касающийся вашего тестируемого приложения, б) вы входите в число ответственных людей для сети / инфраструктуры / серверов и / или были запрошены или разрешены этими людьми. Все остальное обычно считается подозрительным или враждебным действием со стороны одних и тех же людей и может привести к необходимости некоторых объяснений.