带你读《从实践中学习Kali Linux网络扫描》之三:局域网扫描

本文涉及的产品
全局流量管理 GTM,标准版 1个月
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: 本书详细讲解了网络扫描涉及的各项理论知识和技术。书中首先从理论层面帮助读者明确扫描的目的和方式,然后从基本协议的角度讲解了通用的扫描技术,最后过渡到特定类型网络环境的专有扫描技术。在先期扫描完成后,本书继续深入讲解了如何借助响应内容识别目标,并对常见的服务给出了扫描建议。在最后的相关章节,本书详细讲解了高效的数据整理和分析方式。

点击查看第一章
点击查看第二章

第3章 局域网扫描

  局域网(Local Area Network,LAN)是指某一区域内由多台计算机互联成的计算机组。在局域网中,所有的主机之间都可以进行通信。所以,通过对局域网中的主机进行扫描,即可发现活动的主机,并进行数据传输。本章将介绍对局域网中的主机进行扫描的方法。

3.1 网 络 环 境

  在实施局域网扫描之前,需要对其网络环境有所了解,如网络范围、经过的路由等,然后才可以确定扫描的目标。本节将对局域网网络环境进行简单介绍。

3.1.1 网络范围

  当用户实施局域网扫描时,首先要确定一个网络范围,如单个IP地址、多个IP地址、一个地址范围或整个子网,否则将会浪费大量的时间。IP地址是由两部分组成,即网络地址和主机地址。网络地址表示其属于互联网的哪一个网络,主机地址表示其属于该网络中的哪一台主机。二者是主从关系。IP地址根据网络号和主机号,分为A类(1.0.0.0~126.0.0.0)、B类(128.1.0.0~191.255.0.0)和C类(192.0.1.0~223.255.255.0)三类及特殊地址D类和E类。另外,全0和全1都保留不用。下面简单对每类地址作一个分析。

  • A类:该类地址范围为1.0.0.0~126.0.0.0,子网掩码为255.0.0.0。在该地址中,第一个字节为网络号,后三个字节为主机号。该类IP地址的最前面为0,所以地址的网络号取值于1~126之间。
  • B类:该类地址范围为128.1.0.0~191.255.0.0,子网掩码为255.255.0.0。在该地址中,前两个字节为网络号,后两个字节为主机号。该类IP地址的最前面为10,所以地址的网络号取值于128~191之间。
  • C类:该类地址范围为192.0.1.0~223.255.255.0,子网掩码为255.255.255.0。在该地址中,前3个字节为网络号,最后一个字节为主机号。该类IP地址的最前面为110,所以地址的网络号取值于129~223之间。
  • D类:是多播地址。该类IP地址的最前面为1110,所以地址的网络号取值于224~239之间。一般用于多路广播用户。多播地址是让源设备能够将分组发送给一组设备的地址。属于多播组的设备将被分配一个多播组IP地址,多播地址范围为224.0.0.0~239.255.255.255。由于多播地址表示一组设备,因此只能用作分组的目标地址。源地址总是为单播地址。多播MAC地址以十六进制值01-00-5E开头,余下的6个十六进制位是根据IP多播组地址的最后23位转换得到的。
  • E类:是保留地址。该类IP地址的最前面为1111,所以地址的网络号取值于240~255之间。

  在扫描时还可以通过CIDR格式来指定扫描整个子网。其中,CIDR格式是由网络地址和子网掩码两部分组成,中间使用斜杠(/)分隔。下面将给出一个CIDR和子网掩码对应列表,如表3.1所示。

image.png

  在IP地址中,还有一种特殊的IP地址是广播地址。广播地址是专门用于同时向网络中所有工作站进行发送的一个地址。在使用TCP/IP协议的网络中,主机标识段host ID为全1的IP地址为广播地址,广播的分组传送给host ID段所涉及的所有计算机。例如,10.0.0.0(255.0.0.0)网段,其广播地址为10.255.255.255;172.16.0.0(255.255.0.0)网段,其广播地址为172.16.255.255;192.168.1.0(255.255.255.0)网段,其广播地址为192.168. 1.255。其中,广播地址对应的MAC地址为FF-FF-FF-FF-FF-FF。
  1.使用Netmask工具
  在Kali Linux中,默认提供了一个名为Netmask工具,可以用来实现IP地址格式转换。该工具可以在IP范围、子网掩码、CIDR、Cisco等格式中互相转换,并且提供了IP地址的点分十进制、十六进制、八进制、二进制之间的互相转换。
  【实例3-1】使用Netmask工具将IP范围转换为CIDR格式。执行命令如下: 

root@daxueba:~# netmask -c 192.168.0.0:192.168.2.255
      192.168.0.0/23
      192.168.2.0/24

  从以上输出的信息中可以看到,已经成功地将IP范围转换为CIDR格式了。
  【实例3-2】使用Netmask工具将IP范围转换为标准的子网掩码格式。执行命令如下:

root@daxueba:~# netmask -s 192.168.0.0:192.168.2.255
      192.168.0.0/255.255.254.0  
      192.168.2.0/255.255.255.0

  从以上输出的信息中可以看到,已经成功地将IP范围转换为子网掩码格式了。
  【实例3-3】使用Netmask工具将IP范围转换到Cisco格式。执行命令如下:

root@daxueba:~# netmask -i 192.168.0.0:192.168.2.255
      192.168.0.0 0.0.1.255      
      192.168.2.0 0.0.0.255

  从以上输出的信息中可以看到,已经成功地将IP范围转换为Cisco格式了。
  【实例3-4】使用Netmask工具将CIDR格式转换到IP范围格式。执行命令如下:

root@daxueba:~# netmask -r 192.168.0.0/23
      192.168.0.0-192.168.1.255   (512)

  从以上输出的信息中可以看到,已经成功地将CIDR格式转换为IP范围格式了。
  2.使用Nmap工具实施扫描
  Nmap工具提供了一个-iL选项,可以对指定的目标列表实施扫描。使用该工具的语法格式如下:

image.png

  以上语法中的选项及参数含义如下:

  • -iL:从文件列表中读取目标地址。该列表支持任何格式的地址,包括IP地址、主机名、CIDR、IPv6或者八位字节范围,而且每一项必须以一个或多个空格、制表符或换行符分开。
  • inputfilename:地址列表文件名。

  【实例3-5】使用Nmap工具对192.168.33.0/24整个子网中的主机进行扫描。这里将该目标写入hosts.list文件,具体如下: 

root@daxueba:~# vi hosts.list
  192.168.33.0/24

  此时,将使用-iL选项,指定对该目标列表文件实施扫描。执行命令如下:

root@daxueba:~# nmap -iL hosts.list
  Starting Nmap 7.70 ( https://nmap.org ) at 2018-12-21 11:28 CST
  Nmap scan report for 192.168.33.152 (192.168.33.152)
  Host is up (0.00096s latency).
  Not shown: 997 closed ports
  PORT   STATE SERVICE
  21/tcp   open    ftp
  22/tcp   open    ssh
  80/tcp   open    http
  MAC Address: 00:0C:29:FD:58:4B (VMware)
  Nmap scan report for 192.168.33.1 (192.168.33.1)
  Host is up (0.00022s latency).
  All 1000 scanned ports on 192.168.33.1 (192.168.33.1) are filtered
  MAC Address: 00:50:56:C0:00:08 (VMware)
  Nmap scan report for 192.168.33.2 (192.168.33.2)
  Host is up (0.00044s latency).
  All 1000 scanned ports on 192.168.33.2 (192.168.33.2) are closed
  MAC Address: 00:50:56:FE:0A:32 (VMware)
  Nmap done: 3 IP addresses (3 hosts up) scanned in 4.12 seconds

  从以上显示的结果中可以看到,192.168.33.0/24网络内有3台活动主机。其中,活动的主机地址分别是192.168.33.152、192.168.33.1和192.168.33.2。

3.1.2 上级网络

  在一个局域网内,用户也可能会使用多个路由器进行串联,以满足扩大原有的网络范围,或者在原有的网络下构建新的网络(子网络)。如果用户连接的是最底层网络的话,则可以通过路由跟踪的方式扫描到上级网络的路由。根据获取的路由信息,可以猜测上级网络的范围大小。下面将介绍实施路由跟踪的方法。
  1.使用Nmap工具
  Nmap工具提供了一个--traceroute选项,可以用来实现路由跟踪。下面介绍使用Nmap工具实施路由跟踪,以获取上级网络信息。
  【实例3-6】使用Nmap工具找出访问百度服务器(www.baidu.com)所经过的网络节点。执行命令如下:

root@daxueba:~# nmap --traceroute www.baidu.com
  Starting Nmap 7.70 ( https://nmap.org ) at 2019-01-04 15:28 CST
  Nmap scan report for www.baidu.com (61.135.169.125)
  Host is up (0.019s latency).
  Other addresses for www.baidu.com (not scanned): 61.135.169.121
  Not shown: 998 filtered ports
  PORT    STATE SERVICE
  80/tcp  open  http
  443/tcp open  https
  TRACEROUTE (using port 443/tcp)
  HOP RTT      ADDRESS
  1   1.22 ms  192.168.1.1 (192.168.1.1)
  2   3.56 ms  10.188.0.1 (10.188.0.1)
  3   ... 10
  11  18.21 ms 61.135.169.125
  Nmap done: 1 IP address (1 host up) scanned in 9.22 seconds

  从输出的信息中可以看到,Nmap工具自动将百度服务器的IP地址解析出来并进行了扫描。从显示的结果中可以看到,本地到百度服务器经过的上级路由依次为192.168.1.1和192.168.0.1。而且,还可以看到目标服务器上开放了80和443两个端口。
  2.使用Traceroute工具
  Traceroute是一款用来侦测由源主机到目标主机所经过的路由请求的重要工具。Traceroute工具收到目的主机IP后,首先给目的主机发送一个TTL=1(TTL指生存时间)的UDP数据包,而经过的第一个路由器收到这个数据包之后,自动把TTL减去1。当TTL变为0之后,路由器就将这个数据包抛弃了,并同时产生一个主机不可达的ICMP超时数据报给主机。主机收到这个ICMP数据报以后,会发送一个TTL=2的数据报给目的主机,然后刺激第二个路由器给主机发送ICMP数据报,如此反复,直到到达目的主机。这样Traceroute就可以拿到所有路由器的IP,从而避开IP头只能记录有限路由的IP地址。下面介绍使用Traceroute工具实施路由跟踪的方法。
  使用Traceroute工具实施路由跟踪的语法格式如下:

image.png

  【实例3-7】使用Traceroute工具侦测访问百度服务器的所有路由。执行命令如下:

root@daxueba:~# traceroute www.baidu.com
  traceroute to www.baidu.com (61.135.169.125), 30 hops max, 60 byte packets
   1  192.168.1.1 (192.168.1.1)  0.622 ms  0.520 ms  0.616 ms
   2  10.188.0.1 (10.188.0.1)  3.504 ms  3.463 ms  3.528 ms
   3  193.6.220.60.adsl-pool.sx.cn (60.220.6.193) 12.510 ms 12.441 ms 12.364
ms
   4  253.8.220.60.adsl-pool.sx.cn(60.220.8.253) 14.471 ms 169.9.220.60.
adsl-
   pool.sx.cn (60.220.9.169)  12.489 ms 249.8.220.60.adsl-pool.sx.cn (60. 220. 8.249)  12.112 ms
   5  - 219.158.96.89 (219.158.96.89)  24.322 ms 219.158.103.81 (219.158.103.
   81)  21.709 ms
   6  124.65.194.18 (124.65.194.18)  23.039 ms 124.65.194.166 (124.65.194. 166) 23.014 ms 124.65.194.154 (124.65.194.154)  26.398 ms
   7  123.126.0.54 (123.126.0.54)  20.222 ms  19.757 ms 61.51.113.194 (61.51.
   113.194)  32.827 ms
   8  61.49.168.78 (61.49.168.78)  27.969 ms 123.125.248.110 (123.125.248. 110)
   21.597 ms 61.49.168.102 (61.49.168.102)  21.717 ms
   9  - - *
  10  - - *
  11  - - *
  12  - - *
  13  - - *
  14  - - *
  15  - - *
  16  - - *
  17  - - *
  18  - - *
  19  - - *
  20  - - *
  21  - - *
  22  - - *
  23  - - *
  24  - - *
  25  - - *
  26  - - *
  27  - - *
  28  - - *
  29  - - *
  30  - - *

  在以上输出信息中,每条记录序列号从1开始。其中,每个记录就是一跳,每跳表示一个网关。而且我们还可以看到每行有3个时间,单位是ms。这3个时间表示探测数据包向每个网关发送3个数据包后,网关响应后返回的时间。另外,我们还发现有一些行是以星号表示的。出现这种情况,可能是防火墙封掉了ICMP的返回消息,所以我们无法获取到相关的数据包返回数据。从输出的第一行信息可以看到,已经成功解析出百度服务器的IP地址为61.135.169.125,共经过30跳,包大小为60个字节。从显示的记录中可以看到,经过的路由有192.168.1.1、10.188.0.1、60.220.6.193等。

image.png

3.2 ARP扫描

  ARP(Address Resolution Protocol,地址解析协议)是根据IP地址获取物理地址的一个TCP/IP协议。由于主机进行通信时,将会发送一个包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址,所以可以使用主动和被动两种方式来实施ARP扫描。本节将介绍ARP扫描的方法。

3.2.1 主动扫描

  主动扫描就是主动发送一个ARP请求包,等待目标主机的响应。如果目标主机响应了该请求后,则说明该主机是活动的;否则,说明目标主机不在线。下面介绍使用Nmap工具的-PR选项实施ARP主动扫描的方法。
  使用Nmap工具实施ARP主动扫描的语法格式如下:

image.png

  其中,-PR表示实施ARP Ping扫描。
  【实例3-8】使用Nmap实施ARP主动扫描。执行命令如下:
  

root@daxueba:~# nmap -PR 192.168.33.152
  Starting Nmap 7.70 ( https://nmap.org ) at 2018-12-21 11:49 CST
  Nmap scan report for 192.168.33.152 (192.168.33.152)
  Host is up (0.000073s latency).
  Not shown: 997 closed ports
  PORT   STATE SERVICE
  21/tcp   open    ftp
  22/tcp   open    ssh
  80/tcp   open    http
  MAC Address: 00:0C:29:FD:58:4B (VMware)
  Nmap done: 1 IP address (1 host up) scanned in 0.21 seconds

  从以上输出信息中可以看到,目标主机192.168.33.152是活动的。而且,开放的端口有3个,分别是21、22和80。
  1.使用Netdiscover工具
  Netdiscover是一个主动/被动的ARP侦查工具。使用该工具可以在网络上扫描IP地址,检查在线主机或搜索为它们发送的ARP请求。下面介绍使用Netdiscover工具实施ARP主动扫描的方法。语法格式如下:

image.png

  其中,-r [range]表示指定扫描的网络范围。
  【实例3-9】使用Netdiscover工具实施ARP主动扫描。执行命令如下:
  

root@daxueba:~# netdiscover -r 192.168.1.0/24
   Currently scanning: Finished!   |   Screen View: Unique Hosts 
    
   6 Captured ARP Req/Rep packets, from 3 hosts.   Total size: 360  
   ________________________________________________________________
     IP            At MAC Address     Count     Len  MAC Vendor / Hostname      
   ----------------------------------------------------------------
   192.168.1.1   70:85:40:53:e0:35   20   1200   Unknown vendor 
   192.168.1.3    1c:6f:65:c8:4c:89    14    840    GIGA-BYTE TECHNOLOGY 
     CO.,LTD. 
   192.168.1.41   1c:77:f6:60:f2:cc   5   300    GUANGDONG OPPO MOBILE 
  TELECOMMUNICATIONS CORP.,LTD

  从以上输出信息中可以看到,扫描到了3台活动主机,地址分别是192.168.1.1、192.168.1.3和192.168.1.41。
  2.使用arp-scan工具
  arp-scan是一款ARP扫描工具。该工具可以进行单一目标扫描,也可以进行批量扫描。批量扫描的时候,用户可以通过CIDR、地址范围或者列表文件的方式指定。该工具允许用户定制ARP包,构建非标准数据包。同时,该工具会自动解析MAC地址,给出MAC地址对应的硬件厂商,以帮助用户确认目标。其中,使用arp-scan工具扫描的语法格式如下:

image.png

  【实例3-10】使用arp-scan工具对目标主机192.168.1.3实施扫描。执行命令如下:

root@daxueba:~# arp-scan 192.168.1.3
  Interface: eth0, datalink type: EN10MB (Ethernet)
  Starting arp-scan 1.9.5 with 1 hosts (https://github.com/royhills/arp-scan)
  192.168.1.3    1c:6f:65:c8:4c:89    GIGA-BYTE TECHNOLOGY CO.,LTD.
  1 packets received by filter, 0 packets dropped by kernel
  Ending arp-scan 1.9.5: 1 hosts scanned in 0.590 seconds (1.69 hosts/sec). 
  1 responded

  从以上的输出信息中可以看到,目标主机是活动的。此外,还可以看到该目标主机的MAC地址为1c:6f:65:c8:4c:89,网卡生产厂商为GIGA-BYTE TECHNOLOGY CO.,LTD。
  3.使用Arping工具
  Arping是一个ARP级别的Ping工具,主要用来向局域网内的其他主机发送ARP请求的指令。使用该工具可以测试局域网内的某个IP地址是否已被使用。Arping工具的语法格式如下:

image.png

  其中,-c 表示指定发送的ARP包数。
  【实例3-11】使用Arping工具实施ARP扫描,并发送一个ARP请求包。执行命令如下:

root@daxueba:~# arping -c 1 192.168.33.147
  ARPING 192.168.33.147
  60 bytes from 00:0c:29:3e:84:91 (192.168.33.147): index=0 time=238.821 usec
  --- 192.168.33.147 statistics ---
  1 packets transmitted, 1 packets received,   0% unanswered (0 extra)
  rtt min/avg/max/std-dev = 0.239/0.239/0.239/0.000 ms

  从以上输出信息中可以看到,收到了目标主机返回的一个响应包,由此可以说明目标主机是活动的。如果目标主机不在线,将显示如下信息:
  

root@daxueba:~# arping -c 1 192.168.33.128
  ARPING 192.168.33.128
  Timeout
  --- 192.168.33.128 statistics ---
  1 packets transmitted, 0 packets received, 100% unanswered (0 extra)

  从输出的信息中可以看到,返回的消息为Timeout(超时)。

3.2.2 被动扫描

  被动扫描是通过长期监听ARP广播,来发现同一局域网中的活动主机。Netdiscover工具既可以以主动模式扫描主机,也可以以被动模式嗅探存活的主机。下面介绍使用Netdiscover工具实施被动扫描的方法。
  Netdiscover工具实施被动扫描的语法格式如下:

image.png

  其中,-p:被动模式(passive mode),不发送任何数据包,仅嗅探。
  【实例3-12】使用Netdiscover工具实施被动扫描。执行命令如下:  

root@daxueba:~# netdiscover -p

  执行以上命令后,将显示如下信息:

Currently scanning: (passive)   |   Screen View: Unique Hosts     
   
   39 Captured ARP Req/Rep packets, from 3 hosts.   Total size: 2340 
   _________________________________________________________________
     IP          At MAC Address  Coun  Len   MAC Vendor / Hostname      
   -----------------------------------------------------------------
   192.168.1.1   70:85:40:53:e0:35   20   1200  Unknown vendor    
   192.168.1.3   1c:6f:65:c8:4c:89     14    840   GIGA-BYTE TECHNOLOGY 
     CO.,LTD.
   192.168.1.41   1c:77:f6:60:f2:cc  5   300       GUANGDONG OPPO MOBILE 
  TELECOMMUNICATIONS CORP.,LTD 

  从输出的第1行信息中,可以看到正在使用被动模式(passive)实施扫描。从第2行信息中,可以看到嗅探到的包数、主机数及包大小。第3行以下的信息则是嗅探到的包信息。在该部分中共包括6列,分别是IP(IP地址)、At MAC Address(MAC地址)、Count(包数)、Len(长度)、MAC Vendor(MAC地址生产厂商)和Hostname(主机名)。通过分析捕获到的包,可以知道当前局域网中活动的主机IP地址、MAC地址及MAC地址的生产厂商等。例如,主机192.168.13的MAC地址为1c:6f:65:c8:4c:89,MAC地址厂商为GIGA-BYTE,主机名为TECHNOLOGY CO.,LTD.。如果用户不想要继续扫描的话,可以按快捷键Ctrl+C停止被动扫描。

3.2.3 设备MAC查询

  通过对目标主机实施ARP扫描后,可以获取到目标主机的MAC地址,以及MAC生产厂商。但有一些设备无法获取到其生产厂商,此时可以到https://mac.51240.com/ 网站进行查询,以获取更详细的信息。
  【实例3-13】查询设备MAC地址的详细信息。具体操作步骤如下:
  (1)在浏览器中输入MAC地址查询网址https://mac.51240.com/。访问成功后,将显示如图3.1所示的界面。

image.png

  (2)在图3.1所示的“MAC地址”文本框中输入要查询的MAC地址,并单击“查询”按钮即可获取到对应信息。其中,输入的MAC地址格式为00-01-6C-A6-29或00:01:6C:06:A6:29。例如,这里查询MAC地址为70:85:40:53:e0:35的信息,查询结果如图3.2所示。
  (3)从图3.2中可以看到获取到的MAC相关信息,包括组织名称、国家/地区、省份、城市、街道和邮编。

image.png

3.3 DHCP被动扫描

  DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,主要作用就是给内部网或网络服务供应商自动分配IP地址。当一个客户端需要获取一个IP地址时,将会向DHCP服务器发送广播包,收到请求的服务器会提供一个可用的IP地址给客户端,所以可以监听该协议的包。本节将介绍实施DHCP被动扫描的方法。

3.3.1 DHCP工作机制

  DHCP协议采用UDP作为传输协议,主机发送请求消息到DHCP服务器的67号端口,DHCP服务器回应应答消息给主机的68号端口。DHCP协议的具体工作流程如图3.3所示。

image.png

  DHCP工作流程的详细交互过程如下:
  (1)DHCP客户端以广播的方式发出DHCP Discover报文。
  (2)所有的DHCP服务器都能够接收到DHCP客户端发送的DHCP Discover报文,所有的DHCP服务器都会给出响应,向DHCP客户端发送一个DHCP Offer报文。DHCP Offer报文中Your(Client) IP Address字段就是DHCP服务器能够提供给DHCP客户端使用的IP地址,且DHCP服务器会将自己的IP地址放在Option字段中以便DHCP客户端区分不同的DHCP服务器。DHCP服务器在发出此报文后会存在一个已分配IP地址的记录。
  (3)DHCP客户端只能处理其中的一个DHCP Offer报文,一般的原则是DHCP客户端处理最先收到的DHCP Offer报文。DHCP客户端会发出一个广播的DHCP Request报文,在选项字段中会加入选中的DHCP服务器的IP地址和需要的IP地址。
  (4)DHCP服务器收到DHCP Request报文后,判断选项字段中的IP地址是否与自己的地址相同。如果不相同,DHCP服务器不做任何处理只清除相应IP地址分配记录。如果相同,DHCP服务器就会向DHCP客户端响应一个DHCP ACK报文,并在选项字段中增加IP地址的使用租期信息。
  (5)DHCP客户端接收到DHCP ACK报文后,检查DHCP服务器分配的IP地址是否能够使用。如果可以使用,则DHCP客户端成功获得IP地址,并根据IP地址使用租期自动启动续延过程。如果DHCP客户端发现分配的IP地址已经被使用,则DHCP客户端向DHCP服务器发出DHCP Decline报文,通知DHCP服务器禁用这个IP地址。然后,DHCP客户端将开始新的地址申请过程。
  (6)DHCP客户端在成功获取IP地址后,随时可以通过发送DHCP Release报文释放自己的IP地址。DHCP服务器收到DHCP Release报文后,会回收相应的IP地址并重新分配。

3.3.2 被动扫描

  通过对DHCP协议的工作流程进行分析可知,当客户端请求获取IP地址时,会发送一个DHCP Discover广播包,此时,局域网中的所有主机都可以收到该数据包。所以,通过监听方式,即可实现DHCP被动扫描。下面将介绍实施DHCP被动扫描的方法。
  1.使用Nmap工具
  在Nmap中,提供了一个broadcast-dhcp-discover脚本能够用来发送一个DHCP Discover广播包,并显示响应包的具体信息。通过对响应包的信息进行分析,能够找到可分配的IP地址。使用broadcast-dhcp-discover脚本实施被动扫描的语法格式如下:

image.png

  【实例3-14】使用broadcast-dhcp-discover脚本向局域网中发送DHCP Discover广播包。执行命令如下:

root@daxueba:~# nmap --script broadcast-dhcp-discover 
  Starting Nmap 7.70 ( https://nmap.org ) at 2018-12-30 18:30 CST
  Pre-scan script results:
  | broadcast-dhcp-discover: 
  |   Response 1 of 1: 
  |     IP Offered: 192.168.33.156                        #提供的IP地址
  |     DHCP Message Type: DHCPOFFER                    #DHCP消息类型
  |     Server Identifier: 192.168.33.254                #服务器标识符
  |     IP Address Lease Time: 30m00s                    #IP地址释放时间
  |     Subnet Mask: 255.255.255.0                        #子网掩码
  |     Router: 192.168.33.2                            #路由地址
  |     Domain Name Server: 192.168.33.2                #域名服务
  |     Domain Name: localdomain                        #域名
  |     Broadcast Address: 192.168.33.255                #广播地址
  |     NetBIOS Name Server: 192.168.33.2                #NetBIOS名称服务
  |     Renewal Time Value: 15m00s                        #更新时间值
  |_    Rebinding Time Value: 26m15s                    #第二次选择时间值
  WARNING: No targets were specified, so 0 hosts scanned.
  Nmap done: 0 IP addresses (0 hosts up) scanned in 1.32 seconds

  从以上输出信息中可以看到,可以提供的IP地址为192.168.33.156。
  2.使用dhcpdump工具
  dhcpdump是一个命令行格式的DHCP流量嗅探工具,可以捕获DHCP的请求/回复流量,并以用户友好的方式显示解码的DHCP协议消息。使用dhcpdump工具实施被动扫描的语法格式如下:

image.png

  其中,-i [interface]表示指定监听的网络接口。
  在Kali Linux中,默认没有安装dhcpdump工具。如果要使用该工具,则必须先安装。执行命令如下:

root@daxueba:~# apt-get install dhcpdump

  执行以上命令后,如果没有报错,则说明安装成功。
【实例3-15】使用dhcpdump工具实施被动扫描。执行命令如下:

root@daxueba:~# dhcpdump -i eth0
    TIME: 2019-01-02 17:33:29.634                    #时间
      IP: 0.0.0.0 (0:c:29:fd:58:4b) > 255.255.255.255 (ff:ff:ff:ff:ff:ff)                                                        #IP地址
      OP: 1 (BOOTPREQUEST)                            #报文类型
   HTYPE: 1 (Ethernet)                                #客户端的网络硬件地址类型
    HLEN: 6                                        #客户端的网络硬件地址长度
    HOPS: 0                                        #跳数
     XID: 5a162962                                    #事务ID
    SECS: 0                                        #秒数
   FLAGS: 0                                        #标志
  CIADDR: 0.0.0.0                                    #客户端自己的IP地址
  YIADDR: 0.0.0.0                                    #你的IP地址
  SIADDR: 0.0.0.0                                    #服务器的IP地址
  GIADDR: 0.0.0.0                                    #中继代理IP地址
  CHADDR: 00:0c:29:fd:58:4b:00:00:00:00:00:00:00:00:00:00    #客户端硬件地址
   SNAME: .                                        #服务器的主机名
   FNAME: .                                        #启动文件名
  OPTION:  53 (  1) DHCP message type         3 (DHCPREQUEST)    #选项
  OPTION:  12 (  7) Host name                 daxueba
  OPTION:  55 ( 16) Parameter Request List      1 (Subnet mask)
                           28 (Broadcast address)
                            2 (Time offset)
                            3 (Routers)
                           15 (Domainname)
                            6 (DNS server)
                          119 (Domain Search)
                           12 (Host name)
                           44 (NetBIOS name server)
                           47 (NetBIOS scope)
                           26 (Interface MTU)
                          121 (Classless Static Route)
                           42 (NTP servers)
                          249 (MSFT - Classless route)
                           33 (Static route)
                          252 (MSFT - WinSock Proxy Auto Detect)
                          
  ----------------------------------------------------------
    TIME: 2019-01-02 17:33:29.634                    #时间
      IP: 192.168.33.254 (0:50:56:f7:d0:3e) > 192.168.33.152 (0:c:29:fd:58:4b)                                                    #IP地址
      OP: 2 (BOOTPREPLY)                            #报文类型
   HTYPE: 1 (Ethernet)                                #客户端的网络硬件地址类型
    HLEN: 6                                        #客户端的网络硬件地址长度
    HOPS: 0                                        #跳数
     XID: 5a162962                                    #事务ID
    SECS: 0                                        #秒数
   FLAGS: 0                                        #标志
  CIADDR: 0.0.0.0                                    #客户端自己的IP地址
  YIADDR: 192.168.33.152                            #你的IP地址
  SIADDR: 192.168.33.254                            #服务器的IP地址
  GIADDR: 0.0.0.0                                    #中继代理IP地址
  CHADDR: 00:0c:29:fd:58:4b:00:00:00:00:00:00:00:00:00:00    #客户机硬件地址
   SNAME: .                                        #服务器的主机名
   FNAME: .                                        #启动文件名
  OPTION:  53 (  1) DHCP message type         5 (DHCPACK)        #选项
  OPTION:  54 (  4) Server identifier         192.168.33.254
  OPTION:  51 (  4) IP address leasetime      1800 (30m)
  OPTION:   1 (  4) Subnet mask               255.255.255.0
  OPTION:  28 (  4) Broadcast address         192.168.33.255
  OPTION:   3 (  4) Routers                   192.168.33.2
  OPTION:  15 ( 11) Domainname                localdomain
  OPTION:   6 (  4) DNS server                192.168.33.2
  OPTION:  44 (  4) NetBIOS name server       192.168.33.2
  ----------------------------------------------------------

  以上输出的信息,就是一个DHCP请求及响应包信息。通过对以上输出结果的分析,可知道第一个包为BOOTPREQUEST(请求),第二个包为BOOTPREPLY(响应)。

3.4 其 他 监 听

  除ARP和DHCP请求外,在局域网中还有一些协议,会主动发送一些广播或组播包,如BROWSER、SSDP和LLMNR等。此时通过监听方式,可以了解到一些活动主机的信息。本节将介绍对这些协议数据包进行监听的方法。
  1.使用Wireshark工具
  Wireshark是一款非常流行的网络封包分析软件,功能十分强大。使用该工具可以截取各种网络封包,并显示网络封包的详细信息。下面将介绍使用Wireshark工具监听局域网中的各种广播数据包。
  【实例3-16】使用Wireshark进行数据包监听。具体操作步骤如下:
  (1)关闭系统中运行的程序,以免产生流量影响对数据包的分析。然后启动Wireshark工具。在图形界面依次选择“应用程序”|“嗅探/欺骗”|wireshark命令,将弹出如图3.4所示对话框。或者,在命令行输入如下命令:

root@daxueba:~# wireshark

  执行以上命令后,将弹出如图3.4所示对话框。

image.png

  (2)该对话框中显示的是一个警告信息,提示在init.lua文件中使用dofile函数禁用了使用超级用户运行Wireshark。这是因为Wireshark工具是使用Lua语言编写的,并且在Kali Linux中的init.lua文件中有一处语法错误,所以会提示Lua:Error during loading:。此时只需要将init.lua文件中倒数第二行代码修改一下就可以了,原文件中倒数第一、二行代码如下:

root@daxueba:~# vi /usr/share/wireshark/init.lua
  dofile(DATA_DIR.."console.lua")
  --dofile(DATA_DIR.."dtd_gen.lua")

  
  将以上第1行修改如下:

--dofile(DATA_DIR.."console.lua")
  --dofile(DATA_DIR.."dtd_gen.lua")

  修改完该内容后,再次运行Wireshark将不会提示以上警告信息。
  (3)此时,单击OK按钮,即可启动Wireshark工具,如图3.5所示。

image.png

  (4)在其中选择eth0接口,并单击按钮,将开始捕获数据包,如图3.6所示。或者,直接双击选择的网络接口,也可以开始捕获数据包。
  (5)从图3.6中可以看到监听到的所有数据包。从Protocol(协议)列中可以看到每个数据包的协议。例如,监听到的协议数据包有ICMPv6、BROWSER、SSDP、NBNS、LLMNR、ARP、DHCP。此时,通过分析源(Source)和目标地址(Destination),即可知道这些包是由哪个主机发送的,进而确定该主机的状态。为了能够快速找到广播的数据包,可以使用显示过滤器进行过滤。显示过滤器的语法格式如下:

image.png

  在本例中广播地址为192.168.33.255,所以输入的显示过滤器为“ip.dst==192.168.33.255”。当过滤成功后,显示如图3.7所示。
  (6)在图3.7中显示的数据包都是广播数据包。发送这几个广播数据包的源IP地址分别是192.168.33.147和192.168.33.1。由此可以说明,当前局域网中IP地址为192.168.33.147和192.168.33.1的主机是活动的。

image.png

image.png

  2.使用Tcpdump工具
  Tcpdump是一个命令行的嗅探工具,可以基于过滤表达式抓取网络中的报文,分析报文,并且在包层面输出报文内容以便于包层面的分析。其中,使用Tcpdump工具监听数据包的语法格式如下:

image.png

  以上语法中的选项及含义如下:

  • -i < interface >:指定监听的网络接口。
  • -w < file >:指定数据包保存的文件名。
      【实例3-17】使用Tcpdump工具监听局域网(192.168.33.0/24)中的广播数据包。执行命令如下:
root@daxueba:~# tcpdump -i eth0 'dst 192.168.33.255'

  执行以上命令后,将显示如下信息:

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
  listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
  16:42:08.253592 IP 192.168.33.1.netbios-ns > 192.168.33.255.netbios-ns: 
  NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
  16:42:09.003718 IP 192.168.33.1.netbios-ns > 192.168.33.255.netbios-ns: 
  NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
  16:42:09.753975 IP 192.168.33.1.netbios-ns > 192.168.33.255.netbios-ns: 
  NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
  16:43:40.623859 IP 192.168.33.147.netbios-dgm > 192.168.33.255.netbios-dgm:
  NBT UDP PACKET(138)
  16:43:40.623967 IP 192.168.33.147.netbios-dgm > 192.168.33.255.netbios-dgm:
  NBT UDP PACKET(138)
  16:55:47.618389 IP 192.168.33.147.netbios-dgm > 192.168.33.255.netbios-dgm:
  NBT UDP PACKET(138)
  16:55:47.618562 IP 192.168.33.147.netbios-dgm > 192.168.33.255.netbios-dgm:
  NBT UDP PACKET(138)
  16:58:20.188490 IP 192.168.33.1.netbios-ns > 192.168.33.255.netbios-ns: 
  NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
  16:58:20.939089 IP 192.168.33.1.netbios-ns > 192.168.33.255.netbios-ns: 
  NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
  16:58:21.689402 IP 192.168.33.1.netbios-ns > 192.168.33.255.netbios-ns: 
  NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST

  从以上输出信息中可以看到监听到的数据包。从显示的包信息中,可以看到数据包的源和目标IP地址、使用的协议及包长度。如果想停止监听数据包的话,按Ctrl+C组合键后,将显示如下信息:

^C
  10 packets captured
  10 packets received by filter
  0 packets dropped by kernel

  
  从输出的信息中可以看到,捕获到了10个数据包。在以上命令中,没有指定将输出结果写入到一个文件中,所以是标准输出。如果使用-w选项指定捕获文件的话,将不会是标准输出。此外,还可以使用Wireshark工具,以图形界面分析捕获到的包。

相关文章
|
2月前
|
Linux 编译器 开发工具
【Linux快速入门(三)】Linux与ROS学习之编译基础(Cmake编译)
【Linux快速入门(三)】Linux与ROS学习之编译基础(Cmake编译)
143 2
|
2月前
|
监控 安全 Linux
在 Linux 系统中,网络管理是重要任务。本文介绍了常用的网络命令及其适用场景
在 Linux 系统中,网络管理是重要任务。本文介绍了常用的网络命令及其适用场景,包括 ping(测试连通性)、traceroute(跟踪路由路径)、netstat(显示网络连接信息)、nmap(网络扫描)、ifconfig 和 ip(网络接口配置)。掌握这些命令有助于高效诊断和解决网络问题,保障网络稳定运行。
125 2
|
2月前
|
存储 安全 Linux
|
22天前
|
Ubuntu Linux 开发者
Ubuntu20.04搭建嵌入式linux网络加载内核、设备树和根文件系统
使用上述U-Boot命令配置并启动嵌入式设备。如果配置正确,设备将通过TFTP加载内核和设备树,并通过NFS挂载根文件系统。
72 15
|
27天前
|
Ubuntu Unix Linux
Linux网络文件系统NFS:配置与管理指南
NFS 是 Linux 系统中常用的网络文件系统协议,通过配置和管理 NFS,可以实现跨网络的文件共享。本文详细介绍了 NFS 的安装、配置、管理和常见问题的解决方法,希望对您的工作有所帮助。通过正确配置和优化 NFS,可以显著提高文件共享的效率和安全性。
173 7
|
1月前
|
监控 算法 Linux
Linux内核锁机制深度剖析与实践优化####
本文作为一篇技术性文章,深入探讨了Linux操作系统内核中锁机制的工作原理、类型及其在并发控制中的应用,旨在为开发者提供关于如何有效利用这些工具来提升系统性能和稳定性的见解。不同于常规摘要的概述性质,本文将直接通过具体案例分析,展示在不同场景下选择合适的锁策略对于解决竞争条件、死锁问题的重要性,以及如何根据实际需求调整锁的粒度以达到最佳效果,为读者呈现一份实用性强的实践指南。 ####
|
1月前
|
缓存 监控 网络协议
Linux操作系统的内核优化与实践####
本文旨在探讨Linux操作系统内核的优化策略与实际应用案例,深入分析内核参数调优、编译选项配置及实时性能监控的方法。通过具体实例讲解如何根据不同应用场景调整内核设置,以提升系统性能和稳定性,为系统管理员和技术爱好者提供实用的优化指南。 ####
|
2月前
|
Linux Shell 数据安全/隐私保护
|
2月前
|
域名解析 网络协议 安全
|
2月前
|
安全 Linux 网络安全
nmap 是一款强大的开源网络扫描工具,能检测目标的开放端口、服务类型和操作系统等信息
nmap 是一款强大的开源网络扫描工具,能检测目标的开放端口、服务类型和操作系统等信息。本文分三部分介绍 nmap:基本原理、使用方法及技巧、实际应用及案例分析。通过学习 nmap,您可以更好地了解网络拓扑和安全状况,提升网络安全管理和渗透测试能力。
233 5