Vraag Toon alle MAC-adressen en de bijbehorende IP-adressen in mijn lokale netwerk (LAN)


Hoe kan ik alles opsommen MAC-adressen en hun verbonden IP-adressen van de machines aangesloten op mijn lokale netwerk (LAN)?


76
2018-01-17 09:32


oorsprong


het is belangrijk om te begrijpen dat zodra je een niveau 3-netwerklaag uitrust, het niet mogelijk zal zijn om de MAC en ip achter dit apparaat te krijgen - Kiwy
Waarom plaats je ! na een vraagteken? Het is niet noodzakelijk en alleen gebruikt in gevallen waarin de vraag wordt geschreeuwd of van groot belang is. - kiri
@ minerz029 bedankt voor het verduidelijken - Maythux
sudo tail -f /var/log/messages, ontkoppel en replug vervolgens in het apparaat dat u probeert het MAC-adres van of grep / lees-berichten te vinden om het apparaat te vinden. - IceArdor


antwoorden:


U kunt de nmap hulpprogramma hiervoor. Nmap is een gratis hulpprogramma voor netwerkscanner.

Probeer gewoon:

sudo nmap -sn 192.168.1.0/24

Vervang uw netwerk-ID en subnetmasker.

Een netwerk-ID en subnetmasker zoeken

Gebruik commando ip a:

bash~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host valid_lft forever preferred_lft forever
2: wlan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
    link/ether c4:85:08:94:ee:9a brd ff:ff:ff:ff:ff:ff
    inet 192.168.3.66/24 brd 192.168.3.255 scope global wlan0
    inet6 fe80::c685:8ff:fe94:ee9a/64 scope link valid_lft forever preferred_lft forever

Hier bij punt 2 heb ik de wlan0 apparaat. Het zegt inet 192.168.3.66/24 brd 192.168.3.255 scope global wlan0, IP adres: 192.168.3.66, subnetmasker: 24. Netwerk-ID is 192.168.3.0, vervang gewoon het laatste cijfer door 0.

Of als man nmap zegt:

sudo nmap -sn 192.168.1.0/24

Hier is een klein citaat uit de man-pagina, nmap (1):

-sn (No port scan)

Deze optie vertelt Nmap niet om een ​​poortscan na hostontdekking uit te voeren en alleen de beschikbare hosts af te drukken die op de scan hebben gereageerd. Dit staat vaak bekend als een "ping-scan", maar u kunt ook vragen dat traceroute- en NSE-hostscripts worden uitgevoerd.

Dit is standaard één stap meer opdringerig dan de lijstscan en kan vaak voor dezelfde doeleinden worden gebruikt. Het maakt een lichte verkenning van een doelnetwerk mogelijk zonder veel aandacht te trekken.

Weten hoeveel hosts er zijn, is waardevoller voor aanvallers dan de lijst die wordt geboden door een lijst van elk IP-adres en elke hostnaam.

Systeembeheerders vinden deze optie vaak ook waardevol. Het kan eenvoudig worden gebruikt om beschikbare machines op een netwerk te tellen of de beschikbaarheid van servers te controleren. Dit is   vaak een ping-sweep genoemd en is betrouwbaarder dan het pingen van het broadcast-adres omdat veel hosts niet reageren op broadcast-queries.

De standaardhostontkenning gedaan met -sn bestaat standaard uit een ICMP-echoverzoek, TCP SYN naar poort 443, TCP ACK naar poort 80 en een ICMP tijdstempelverzoek.

Wanneer uitgevoerd door een onbevoegde gebruiker, worden alleen SYN-pakketten verzonden (met behulp van a connect oproep) naar poorten 80 en 443 op het doel.

Wanneer een geprivilegieerde gebruiker probeert om doelen op een lokaal ethernet-netwerk te scannen, worden ARP-aanvragen gebruikt tenzij --send-ip is opgegeven. De -sn optie kan worden gecombineerd met elk van de soorten ontdekkingstypen (de -P* opties, exclusief -Pn) voor meer flexibiliteit.

Als een van die probetype- en poortnummeropties worden gebruikt, worden de standaardsondes onderdrukt. Wanneer er strikte firewalls zijn tussen de bronhost met Nmap en het doelnetwerk, wordt het gebruik van deze geavanceerde technieken aanbevolen. Anders kunnen hosts worden gemist wanneer de firewall sondes of hun antwoorden laat vallen.

In eerdere releases van Nmap, -sn was bekend als -sP.


54
2018-01-17 09:48



Het werkt niet - Maythux
Dit moet zo worden aangepast 192.168.1.0/24 wordt gewijzigd in het IP-adresbereik van de gebruiker. - kiri
@ minerz029 Natuurlijk veranderde ik de IP - Maythux
Ik weet niet of dat de reden is, maar op Linux die ik gebruik nmap -sP 192.168.1.0/24 voor een ping-scan. - tiktak
Weet u waarom rootprivileges vereist zijn om MAC-geadresseerden van het netwerk te lezen? - Michael Aquilina


arp zullen langzaam retourneer je een lijst met actieve MAC-adressen en IP-adressen of hun hostnamen als ze die hebben. Als je wilt dat het sneller gaat, kun je gebruiken arp -n die de DNS-lookups moet overslaan. Als je het in iets moet ontleden arp -an zal de kolommen met vaste breedte overslaan.

$ arp
Address                  HWtype  HWaddress           Flags Mask            Iface
10.10.0.11               ether   00:04:ff:ff:ff:d0   C                     eth0
10.10.0.16               ether   00:04:ff:ff:ff:a6   C                     eth0
raspbmc.local            ether   00:1f:ff:ff:ff:9c   C                     eth0
10.10.0.19               ether   00:04:ff:ff:ff:c9   C                     eth0
10.10.0.12               ether   bc:f5:ff:ff:ff:93   C                     eth0
10.10.0.17               ether   00:04:ff:ff:ff:57   C                     eth0
10.10.0.1                ether   20:4e:ff:ff:ff:30   C                     eth0
HPF2257E.local           ether   a0:b3:ff:ff:ff:7e   C                     eth0
10.10.0.15               ether   00:04:ff:ff:ff:b9   C                     eth0
tim                      ether   00:22:ff:ff:ff:af   C                     eth0
10.10.0.13               ether   60:be:ff:ff:ff:e0   C                     eth0

Anders zou uw router u een idee moeten geven van de actieve apparaten (de meeste doen).


Bewerk Volgens de opmerking van davidcl is dit antwoord niet zo perfect als ik had gehoopt.

arp vertrouwt op eerder contact van een of andere soort om te werken. Naar mijn mening zijn moderne apparaten echter allemaal zo spraakzaam (je zou echt moeten kijken naar wireshark - het is een opleiding) op uitzendniveau dat het onwaarschijnlijk is dat een apparaat aanwezig zou zijn op het netwerk zonder op zijn minst een uitzending te beantwoorden. (Om er zeker van te zijn dat je eerst alle apparaten in het netwerk kunt pingen met 10.10.0.255 en dan krijg je waarschijnlijk 90 +% van de apparaten.)

Om je een idee te geven van wat ik bedoel, is 10.10.0.16 onze PVR. Er is geen directe interactie tussen mijn pc en de PVR en er zijn geen services actief op de PVR (ook geen UPNP / DLNA).

Gewoon om de argumenten snel door te spelen ...

  • Maar hoe zit het met hackers in mijn netwerk?! 1
    Ze kunnen ICMP-pings ook blokkeren. Ze kunnen alle antwoorden op elke blokkeren type scan.
  • Oh maar zeker nmap is nog steeds de best mogelijke oplossing
    Als je hier loopt, mist het nog steeds vier apparaten. Vier apparaten die actief zijn op het netwerk. Of ze reageren niet op de pings of nmap wacht niet lang genoeg op ze om te antwoorden ... Ik weet het niet. nmap is een geweldig hulpmiddel (vooral voor de poortscan die je mogelijk wilt gaan doen) maar het is nog steeds een beetje onhandig (en een beetje traag) voor dit probleem. En noem me niet Shirley.

43
2018-01-17 10:00



ALS ik mijn MAC-ID verander met mac-wisselaar, kan het dan het origineel weergeven? - Ten-Coin
@BYEAskUbuntu als je de MAC-wisselaar gebruikt, is je MAC wat je hebt ingesteld. Voor alle netwerkgebruikers is de oorsprong ervan over het algemeen onbekend, dus nee, dat kan niet. - Ruslan
@Ruslan Dat is gewoon paranoïde, ik bedwing ze ... Ik ben er zeker van dat het voor iemand tamelijk moeilijk zou zijn om iets met hem te doen, maar je weet nooit wie je besluipt. - Oli♦
Ik ben verrast door dit antwoord. "arp" toont geen lijst met actieve MAC-adressen op het lokale netwerk. "arp" toont een lijst met MAC-adressen die overeenkomen met machines die interactie hebben gehad met de machine waarop het wordt uitgevoerd. Als er recent geen communicatie is geweest tussen de lokale machine en een andere machine in het netwerk, wordt die machine niet weergegeven in de lijst "arp". - davidcl
Ik heb net een snelle test op mijn netwerk uitgevoerd en arp geeft slechts ongeveer 25% van de apparaten weer die er zijn. Als de computer met arp nog geen pakket van een ander apparaat heeft ontvangen, staat het niet in de arp-lijst. Ik zou graag meer weten over de apparaten die nmap niet in uw netwerk kon detecteren; er zijn manieren om te verbergen voor nmap, maar ik heb gemerkt dat de standaard nmap-scan behoorlijk effectief is. Dat gezegd hebbende, is er geen faalveilig antwoord, want als een apparaat geen verkeer genereert en geen verzoeken beantwoordt, is het onzichtbaar-- maar de meeste apparaten zullen een bepaald soort verzoek beantwoorden. - davidcl


ik gebruik arp-scan voor deze:

$ sudo arp-scan -l
Interface: eth0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.8.1 with 256 hosts (http://www.nta-monitor.com/tools/arp-scan/)
192.168.2.1     ec:1a:59:61:07:b2       (Unknown)
192.168.2.50    90:59:af:3d:6d:bc       (Unknown)
192.168.2.51    3c:97:0e:48:22:12       (Unknown)
192.168.2.52    00:18:31:87:8f:b0       Texas Instruments

4 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.8.1: 256 hosts scanned in 1.282 seconds (199.69 hosts/sec). 4 responded

32
2018-01-17 20:42



Als u de netwerkinterface wilt opgeven, zoals draadloos, gebruikt u deze opdracht sudo arp-scan -l -I wlan0 - HarlemSquirrel
Ja, arp-scan is inderdaad de "beste tool voor de klus". - mivk
Dit werkt niet voor mij ... apparaat reageert niet om wat voor reden dan ook. - Andrew Wagner
om ARP-scan naar het werk te krijgen die ik moest doen brew install arp-scan in OSX El Capitan. - jamescampbell


Je kunt gebruiken arp-scan.

Installeer met behulp van deze opdracht:

sudo apt-get install arp-scan

Gebruik: om alle IP-adressen en bijbehorende MAC-adressen op te sommen:

sudo arp-scan --interface=eth0 --localnet

De uitvoer ziet er als volgt uit:

Interface: eth0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.8.1 with 16777216 hosts (http://www.nta-monitor.com/tools/arp-scan/)
192.168.1.3 38:60:77:29:31:36   (Unknown)
192.168.1.8 4c:72:b9:7c:bb:7e   (Unknown)
192.168.1.110   00:15:17:5f:d2:80   Intel Corporate
192.168.1.111   00:ff:88:5f:fd:f0   (Unknown)
192.168.1.153   00:15:17:5f:d2:82   Intel Corporate
192.168.1.180   52:54:00:70:04:02   QEMU
192.168.1.199   52:54:00:fe:7f:78   QEMU

14
2018-03-24 07:04



Dit is geen apparaat vinden dat nog geen ip heeft ... - Andrew Wagner


GUI

Je kan het proberen avahi-discover Install avahi-discover.

  1. Installeer het met deze opdracht (of door op de bovenstaande link te klikken):

    sudo apt-get install avahi-discover
    
  2. Rennen Avahi Zeroconf-browser of avahi-discover van een terminal.
  3. U zou een venster met een lijst met apparaten op uw lokale netwerk moeten zien.
    Het MAC-adres is de reeks tussen de vierkante haken.

Opdrachtregel

U kunt deze opdracht gebruiken in een terminal:

avahi-browse -a -t -d local

Het is standaard geïnstalleerd.


8
2018-01-17 09:37



Werkt dit om het MAC-adres te tonen van een machine die geen enkele soort van service uitvoert? - Eliah Kagan
In mijn geval werkt dit niet voor elk apparaat op het netwerk. Het is behoorlijk verdomd netjes, maar het zal geen domme klanten tonen zonder avahi / upnp-diensten. - Oli♦


  1. Voer eerst een scan uit van het netwerk om te zien welke hosts bereikbaar / online zijn nmap -sn 1.2.3.4/24 of fping -g 1.2.3.4/24

  2. Zoek vervolgens het MAC-adres dat overeenkomt met het IP-adres met behulp van arping. Pseudo-code vooruit:

    for i in $(cat list-of-reachable-hosts)
    do 
        arping $i
    done
    
  3. Cheatery: raadpleeg de arp-cache van je lokale switch; dat zou je een mooi overzicht moeten geven ...


5
2018-01-17 12:58





In gevallen die de NetBIOS-protocol wordt ondersteund, gebruik ik het liefst

nbtscan 192.168.1.1-192.168.1.255.


3
2018-01-17 11:48



Hiermee worden alleen clients gedetecteerd die NetBIOS-protocol ondersteunen (Windows en Linux + Samba). - Eric Carvalho


Ik was geïntrigeerd door deze post. Ik heb hier de behoefte aan gehad.

Ik schreef een shellscript dat de arp uitvoer met awk statements en genereert HTML-uitvoer. Als u het script uitvoert en de uitvoer omleidt naar een HTML-bestand, blijft er een HTML-bestand over dat het IP-adres, het volledige MAC-adres en een koppeling naar de IEEE OUI-opzoekpagina bevat. Dit helpt bij het bepalen van de client via de NIC-fabrikant.

printf "<html>\n<title>LAN IPs and their MACs</title>\n<body>\n"
arp -a | awk '{print $2,$4}' | awk -F'[().: ]' '{print $2"."$3"."$4"."$5,$6,$7":"$8":"$9":"$10":"$11":"$12,"<a href=\"http://standards.ieee.org/cgi-bin/ouisearch?"$7$8$9"\">IEEE OUI Lookup "$7"-"$8"-"$9"</a><br>"}'
printf "\n</body>\n</html>\n"

Het helpt om een ​​uit te voeren nmap scan eerst op uw LAN zodat u gegevens in de ARP-tabel kunt invoeren. Hopelijk is de opmaak vertaald. Je zou dit kunnen opdringen om de tekst in een tabelopmaak te hebben.


2
2018-01-21 08:46





Na wat werk en zoeken heb ik deze opdracht ontdekt:

nmap -sP -PE -PA21,23,80,3389 192.168.1.*

nmap: Netwerkverkenningstool en beveiliging / poortscanner

-sP (Skip-poortscan). Deze optie vertelt Nmap niet om een ​​poortscan na hostontdekking uit te voeren en alleen de beschikbare uit te printen hosts die op de scan hebben gereageerd. Dit staat vaak bekend als een "ping-scan", maar u kunt dit ook aanvragen     traceroute- en NSE-hostscripts worden uitgevoerd. Dit is standaard een stap meer opdringerig dan de lijst     scannen en kunnen vaak voor dezelfde doeleinden worden gebruikt. Het maakt een lichtverkenning van een doelnetwerk mogelijk     zonder veel aandacht te trekken. Weten hoeveel hosts er zijn, is waardevoller voor aanvallers dan     de lijst die door lijstaftasten van elke enige IP en gastheernaam wordt verstrekt.

-PE; -PP; -PM (ICMP Ping-typen).     Naast de ongebruikelijke TCP-, UDP- en SCTP-hostontdekkingstypen die eerder zijn besproken, kan Nmap verzenden     de standaardpakketten verzonden door het alomtegenwoordige ping-programma. Nmap verzendt een ICMP-type 8 (echoverzoek)     pakket naar de doel-IP-adressen, verwacht een type 0 (echoantwoord) in ruil van beschikbare hosts ..     Helaas voor netwerkverkenners blokkeren veel hosts en firewalls deze pakketten nu in plaats van     reageren zoals vereist door RFC 1122 [2]. Om deze reden zijn ICMP-alleen scans zelden betrouwbaar genoeg     tegen onbekende doelen via internet. Maar voor systeembeheerders die een intern bewaken     netwerk, kunnen ze een praktische en efficiënte aanpak zijn. Gebruik de optie -PE om deze echo in te schakelen     verzoek gedrag.

-A (Agressieve scanopties).     Deze optie maakt extra geavanceerde en agressieve opties mogelijk.

21,23,80,3389  Poorten om door te zoeken

192.168.1.*  Bereik van IP's. vervang met de jouwe


1
2018-03-10 10:01