我就简单说网络传输数据会经过7层的转换那么基本会用到的ARP和TCP就位于Data Link layer和Network Layer就是侦察这两层来发现设备. (想了解更多可以上网看看还有这事IT Course一定会要你学)
为什么有不同的方式扫描?
因为某些设备可以设防火墙来阻挡某个包(ARP or TCP)所以不一样的扫描方式可以提高设备被发现的几率.
使用#netdiscover --help 命令可以查看配置,那么我就大概翻译一下.
-i device 选择你监控的网卡
-r range 指定IP范围
-l file 指定扫描范围列表文件
-p passive mode 使用被动扫描的方式,不发送任何数据
-m file 扫描已知 mac 地址和主机名的电脑列表
-F filter 指定 pcap 筛选器表达式(默认:“arp”)
-s time 每个 arp 请求之间的睡眠时间(毫秒)
-c count 发送 arp 请求的时间次数
-n node 使用八字节的形式扫描(2 - 253)
-d 忽略配置文件
-f 使用快速主动模式的扫描
-P 打印结果
-L 将捕获的信息输出(-P), 并继续进行扫描
-N 不打印头. 只有启用- p时有效
-S 启用每个 arp 请求之间抑制的等待时间
那么我就稍微介绍一下大概的使用方式
1.默认扫描, 扫描范围0/16非常广而且慢, 不建议小型网络使用
#netdiscover
2. 固定IP地址扫描 ip地址后面可以使用8, 16 或24来选择扫描范围而且容易被人发觉.
#netdiscover -i [网卡] -r [ip地址/范围]
3. 被动式扫描比较慢但隐蔽.
#netdiscover -p
感谢阅读
No comments:
Post a Comment