Day13 主动情蒐-利用 tcpdump 观察 Netdiscover && Ping 封包

Netdiscover

ARP 侦测工具，透过 ARP 协定(Address Resolution Protocol)来确认目标是否存活， ARP 协定会将IP 解析成 MAC Address，而 MAC address 则对应到网路介面卡，也就是每一个网路介面卡都会有 MAC address。

路由器或交换器广播 ARP 请求，而设备会回传 MAC address。
广播封包
'Who has 172.28.128.3? Tell 172.28.128.253'

来自 172.28.128.3 的 ARP 回应封包
'172.28.128.3 is at 08:00:27:31:e2:96'

Netdiscover 会如同路由器或交换器一样广播 ARP 请求来搜寻在网段上的主机。

※ Classless Inter-Domain Routing (CIDR)
IP 范围采用 CIDR 的表示方法，以下为范例：
[IP位置]/[network mask]
10.11.1.0/24 表示 10.11.1.0 到 10.11.1.255 范围内的所有 256 个 IP 地址

实验

了解目前的网路介面卡
ip addr

• eth0 介面卡1
• eth1 介面卡2

1. 使用 tcpdump 拦截封包
sudo tcpdump

2. 输入 netdiscover 指令
sudo netdiscover -r 172.28.128.0/24

3. 拦截封包，比较内容
可以看到都是 ARP 封包

Ping

• ICNP 封包确认目标是否存活

实验

1. 使用 tcpdump 拦截封包
sudo tcpdump

2. 输入 ping 指令
ping 172.28.128.3

3. 拦截封包，比较内容
可以看到都是 ICMP 封包