Netdiscover工具的详细教程

Netdiscover工具的详细教程

什么是Netdiscover？

netdiscover 是一种主动/被动ARP侦察工具，最初开发用于在战争场景中获取有关没有DHCP服务器的无线网络的信息。它也可以用于交换网络。建立在libnet（用C语言编写的小型接口函数库，提供了底层网络数据包的构造、处理和发送功能）和libpcap（UNIX/LINUX下的网络数据包捕获函数包，也是一个小型的接口函数库，用于捕获网络数据包）之上，它可以被动地检测在线主机或通过发送ARP请求来搜索它们。此外，它还可用于检查网络的ARP流量，或使用自动扫描模式查找网络地址，这将扫描常见的本地网络。

Netdiscover的基本用法

基本参数说明：

• -i device：嗅探和注入数据包的网络接口。如果未指定接口，则将使用第一个可用的网卡接口（可用ifconfig命令查看）。
• -r range：扫描给定范围而不是自动扫描。有效范围值区域例如：192.168.0.0/24,192.168.0.0/16或 192.168.0.0/8。目前，可接受的范围只有/8,/16和/24.(/8,/16,/24代表掩码)。
• -l file：扫描包含在给定文件中的范围，每行必须只包含一个范围。
• -p：启用被动模式。在被动模式下，netdiscover不会发送任何内容，而只会嗅探。
• -m file：扫描已知MAC和主机名的列表。
• -F filter：自定义pcap过滤器表达式（默认值："arp"，过滤器表达式可以自己定义）。
• -s time：每次ARP请求注入之间的睡眠给定时间（指定等待时间，以毫秒为单位）。（默认1）
• -n node：用于扫描的源IP的最后一个IP八位字节（八位二进制）。如果已使用默认主机(x.x.x.67)，您可以更改它。（允许范围是2到253,默认67）
• -c count：发送每个ARP请求的次数。对于有数据包丢失的网络很有用，因此它将扫描每个主机的给定时间。（默认1）
• -d：忽略主目录中的配置文件（仅适用于自动扫描和快速模式）。这将使用默认范围和IP进行自动扫描和快速模式。有关配置文件的信息，请参见下文。
• -f：启用快速模式扫描。这只会扫描每个网络上的 .1、.100 和 .254，此模式在搜索正在使用的范围时很有用，找到此类范围后，您可以进行特定范围扫描以查找在线主机。
• -P：生成适合重定向到文件或由另一个程序解析的输出，而不是使用交互模式。启用此选项，netdiscover将在扫描给定范围后停止（输出一个能让另一个程序解析的格式）。
• -L：与-P类似，但在主动扫描后继续执行程序以被动捕获ARP数据包。
• -N：不打印标题。仅在启用-P或-L时有效。

常用命令示例：

• netdiscover -i eth0：用eth0扫描常见的LAN地址
• netdiscover -i eth0 -f：用eth0快速扫描常用局域网地址（只搜索和自己主机在同一局域网的网关）
• netdiscover -s 0.5：扫描常见LAN地址的睡眠（间隔）时间为0.5秒（默认值为1秒）
• netdiscover -i eth0 -r 192.168.43.0/24 -f -s 0.5：主动发现：-i指定所要侦听的网卡，-r指定ip段，-f快速扫描，-s指定时间
• netdiscover -p：被动发现，只嗅探ARP流量，不发送任何内容

Netdiscover的输出解析

Netdiscover的输出通常包含以下信息：

• IP地址：设备在网络中的IP地址。
• MAC地址：设备的物理地址。
• 厂商信息：通过MAC地址前缀识别的设备制造商。

实用场景示例

指定IP段扫描

netdiscover -r X.X.X.X/24

监听特定网卡

netdiscover -i eth0

按文件指定扫描范围

netdiscover -l XXX.txt

渗透测试中的网络发现

在进行渗透测试时，您需要识别目标网络中的活动设备。使用Netdiscover的被动扫描模式，您可以在不引起注意的情况下收集网络信息：

netdiscover -p