Jogos e PC

Como ver todos os dispositivos da sua rede com nmap no Linux

Nada Em Troca027 visualizações

Links de salto

  • Se precisar, instale o nmap
  • Encontre o seu endereço IP
  • Introdução ao nmap
  • Execute uma verificação mais profunda
  • Alinhamos os suspeitos; Vamos fazê-los falar
  • Dispositivo desconhecido com muitas portas abertas
  • Livro de respostas da Sun?
  • Um servidor web oculto
  • Outro dispositivo desconhecido
  • Elitegroup Sistemas de Computador
  • Tudo contabilizado

Resumo

  • Instale o nmap se ainda não o tiver em seu computador Linux. Correr “sudo apt-get instalar nmap” no Ubuntu, ou “sudo dnf instalar nmap” no Fedora.
  • Para fazer uma varredura rápida em sua rede e descobrir os endereços IP dos dispositivos conectados sem escanear portas, primeiro encontre seu endereço IP atual e diga ao nmap para começar com ele usando um comando como “sudo nmap -sn 192.168.4.0/24”.
  • Para investigar dispositivos, tente procurar OUIs, verificar portas (se você tiver permissão) e verificar endereços IP para interfaces da web.

Você acha que sabe o que está conectado à sua rede doméstica? Você pode se surpreender. Aprenda como verificar usando nmap no Linux, que permitirá explorar todos os dispositivos conectados à sua rede.

Você pode pensar que sua rede doméstica é muito simples e que não há nada a aprender analisando-a mais profundamente. Você pode estar certo, mas é provável que aprenda algo que não sabia. Com a proliferação de dispositivos da Internet das Coisas, dispositivos móveis como telefones e tablets, e a revolução da casa inteligente – além de “normal” dispositivos de rede, como roteadores de banda larga, laptops e computadores desktop – pode ser uma revelação.

Se precisar, instale o nmap

Nós vamos usar o nmapcomando. Dependendo de quais outros pacotes de software você instalou em seu computador, nmap pode já estar instalado para você.

Caso contrário, é assim que se instala no Ubuntu.

sudo apt-get install nmap

Veja como instalá-lo no Fedora.

sudo dnf install nmap

Veja como instalá-lo no Manjaro.

sudo pacman -Syu nmap

Você pode instalá-lo em outras versões do Linux usando o gerenciador de pacotes de suas distribuições Linux.

Encontre o seu endereço IP

A primeira tarefa é descobrir qual é o endereço IP do seu computador Linux. Há um endereço IP mínimo e máximo que sua rede pode usar. Este é o escopo ou intervalo de endereços IP da sua rede. Precisaremos fornecer endereços IP ou um intervalo de endereços IP para nmapentão precisamos saber quais são esses valores.

Facilmente, o Linux fornece um comando chamado ip e tem uma opção chamada addr (endereço) ou apenas add. Tipo ipum espaço, adde pressione Enter.

ip add

Na seção inferior da saída, você encontrará seu endereço IP. É precedido pelo rótulo “inet”.

O endereço IP deste computador é “192.168.4.25”. O “/24” significa que existem três conjuntos consecutivos de oito 1s na máscara de sub-rede. (E 3 x 8 = 24.)

Em binário, a máscara de sub-rede é:

11111111.11111111.11111111.00000000

Em decimal, é 255.255.255.0.

A máscara de sub-rede e o endereço IP são usados ​​para indicar qual parte do endereço IP identifica a rede e qual parte identifica o dispositivo. Esta máscara de sub-rede informa ao hardware que os três primeiros números do endereço IP identificarão a rede e a última parte do endereço IP identificará os dispositivos individuais. E como o maior número que você pode conter em um número binário de 8 bits é 255, o intervalo de endereços IP para esta rede será de 192.168.4.0 a 192.168.4.255.

Tudo isso está encapsulado no “/24”. Felizmente, nmap funciona com essa notação, então temos o que precisamos para começar a usar nmap.

Introdução ao nmap

nmap é uma ferramenta de mapeamento de rede. Funciona enviando várias mensagens de rede para os endereços IP na faixa que iremos fornecer. Ele pode deduzir muito sobre o dispositivo que está investigando, julgando e interpretando o tipo de respostas que obtém.

Vamos iniciar uma varredura simples com nmap. Nós vamos usar o -sn (não digitalizar porta). Isso diz nmap para não sondar as portas dos dispositivos por enquanto. Ele fará uma verificação leve e rápida.

Mesmo assim, pode demorar um pouco para nmap para correr. Obviamente, quanto mais dispositivos você tiver na rede, mais tempo demorará. Ele faz todo o seu trabalho de sondagem e reconhecimento primeiro e depois apresenta suas descobertas quando a primeira fase estiver concluída. Não se surpreenda quando nada visível acontecer por um minuto ou mais.

O endereço IP que usaremos é aquele que obtivemos usando o ip comando anteriormente, mas o número final é definido como zero. Esse é o primeiro endereço IP possível nesta rede. O “/24” diz nmap para digitalizar todo o alcance desta rede. O parâmetro “192.168.4.0/24” traduz como “comece no endereço IP 192.168.4.0 e trabalhe em todos os endereços IP até 192.168.4.255 inclusive”.

Observe que estamos usando sudo.

sudo nmap -sn 192.168.4.0/24

Após uma breve espera, a saída é gravada na janela do terminal.

Você pode executar esta verificação sem usar sudomas usando sudo garante que ele possa extrair o máximo de informações possível. Sem sudo essa varredura não retornaria as informações do fabricante, por exemplo.

A vantagem de usar o -sn A opção – além de ser uma verificação rápida e leve – fornece uma lista organizada de endereços IP ativos. Ou seja, temos uma lista dos dispositivos conectados à rede, juntamente com seus endereços IP. E sempre que possível, nmap identificou o fabricante. Isso não é ruim para a primeira tentativa.

Aqui está o final da lista.

Estabelecemos uma lista dos dispositivos de rede conectados, para sabermos quantos deles existem. São 15 dispositivos ligados e conectados à rede. Conhecemos o fabricante de alguns deles. Ou, como veremos, temos o que nmap relatou como fabricante, com o melhor de sua capacidade.

Ao analisar os resultados, você provavelmente verá dispositivos que reconhece. Pode muito bem haver alguns que você não conhece. Esses são os que precisamos investigar mais detalhadamente.

O que são alguns desses dispositivos está claro para mim. Raspberry Pi Foundation é autoexplicativo. O dispositivo Amazon Technologies será meu Echo Dot. O único dispositivo Samsung que tenho é uma impressora a laser, o que restringe essa opção. Existem alguns dispositivos listados como fabricados pela Dell. Isso é fácil, é um PC e um laptop. O dispositivo Avaya é um telefone Voice Over IP que me fornece um ramal no sistema telefônico da sede. Isso permite que eles me importunem em casa com mais facilidade, por isso estou bem ciente desse dispositivo.

Mas ainda fico com dúvidas.

Existem vários dispositivos com nomes que não significam nada para mim. Tecnologia Liteon e sistemas informáticos Elitegroup, por exemplo.

Eu tenho (muito) mais de um Raspberry Pi. O número de pessoas conectadas à rede sempre variará porque elas são continuamente trocadas e fora de serviço à medida que são recriadas e reaproveitadas. Mas definitivamente, deveria haver mais de um aparecendo.

Existem alguns dispositivos marcados como Desconhecidos. Obviamente, eles precisarão ser investigados.

6 usos de rede para o comando Linux nc

Tem mais em seu arsenal do que você pensa.

1
Por Zunaid Ali

Execute uma verificação mais profunda

Se removermos o -sn opção nmap também tentará sondar as portas dos dispositivos. As portas são pontos finais numerados para conexões de rede em dispositivos. Considere um bloco de apartamentos. Todos os apartamentos têm o mesmo endereço (equivalente ao endereço IP), mas cada apartamento tem o seu próprio número (equivalente à porta).

Cada programa ou serviço em um dispositivo possui um número de porta. O tráfego de rede é entregue a um endereço IP e a uma porta, não apenas a um endereço IP. Alguns números de porta são pré-alocados ou reservados. Eles são sempre usados ​​para transportar tráfego de rede de um tipo específico. A porta 22, por exemplo, é reservada para conexões SSH e a porta 80 é reservada para tráfego web HTTP.

Você só deve verificar portas em redes onde tenha permissão explícita para fazê-lo. A varredura de portas pode ser detectada e vista como maliciosa, colocando você em maus lençóis. Revise o guia jurídico do nmap para saber mais.

Nós vamos usar nmap para verificar as portas em cada dispositivo e informar quais estão abertas.

nmap 192.168.4.0/24

Desta vez estamos obtendo um resumo mais detalhado de cada dispositivo. Disseram-nos que existem 13 dispositivos ativos na rede. Espere um minuto; tínhamos 15 dispositivos há pouco.

O número de dispositivos pode variar conforme você executa essas verificações. Provavelmente é devido à chegada e saída de dispositivos móveis das instalações ou ao equipamento ser ligado e desligado. Além disso, esteja ciente de que quando você liga um dispositivo que foi desligado, ele pode não ter o mesmo endereço IP da última vez em que foi usado. Pode ser, mas pode não ser.

Houve muita produção. Vamos fazer isso novamente e capturar em um arquivo.

nmap 192.168.4.0/24 > nmap-list.txt

À medida que você percorre o nmap informe que você está procurando por algo que não consegue explicar ou que parece incomum. Ao revisar sua lista, anote os endereços IP de todos os dispositivos que deseja investigar mais detalhadamente.

De acordo com a lista que geramos anteriormente, 192.168.4.10 é um Raspberry Pi. Ele estará executando uma distribuição Linux ou outra. Então, o que está usando a porta 445? É descrito como “microsoft-ds”. Microsoft, em um Pi rodando Linux? Certamente estaremos investigando isso.

192.168.4.11 foi marcado como “Desconhecido” na varredura anterior. Tem muitas portas abertas; precisamos saber o que é isso.

192.168.4.18 também foi identificado como Raspberry Pi. Mas o Pi e o dispositivo 192.168.4.21 têm a porta 8888 aberta, que é descrita como sendo usada por “livro de respostas do sol”. Sun AnswerBook é um sistema de recuperação de documentação (elementar) aposentado há muitos anos. Escusado será dizer que não tenho isso instalado em lugar nenhum. Isso precisa ser examinado.

O dispositivo 192.168.4.22 foi identificado anteriormente como uma impressora Samsung, o que é verificado aqui pela etiqueta que diz “impressora”. O que me chamou a atenção foi a porta HTTP 80 presente e aberta. Esta porta está reservada para o tráfego do site. Minha impressora incorpora um site?

O dispositivo 192.168.4.31 é supostamente fabricado por uma empresa chamada Elitegroup Computer Systems. Nunca ouvi falar deles e o dispositivo tem muitas portas abertas, então estaremos investigando isso.

Quanto mais portas um dispositivo estiver aberto, maiores serão as chances de um cibercriminoso entrar nele – se estiver exposto diretamente à Internet. É como uma casa. Quanto mais portas e janelas você tiver, mais pontos potenciais de entrada um ladrão terá.

Alinhamos os suspeitos; Vamos fazê-los falar

O dispositivo 192.168.4.10 é um Raspberry Pi que possui a porta 445 aberta, que é descrita como “microsoft-ds.” Uma rápida pesquisa na Internet revela que a porta 445 geralmente está associada ao Samba. Samba é uma implementação de software livre do protocolo Server Message Block (SMB) da Microsoft. SMB é um meio de compartilhar pastas e arquivos em uma rede.

Isso faz sentido; Eu uso esse Pi específico como uma espécie de mini-dispositivo de armazenamento conectado à rede (NAS). Ele usa o Samba para que eu possa me conectar a ele de qualquer computador da minha rede. Ok, isso foi fácil. Um já foi, faltam vários.

Como usar curl para baixar arquivos da linha de comando do Linux

O comando curl do Linux é flexível e poderoso.

Dispositivo desconhecido com muitas portas abertas

O dispositivo com endereço IP 192.168.4.11 tinha fabricante desconhecido e muitas portas abertas.

Podemos usar nmap de forma mais agressiva para tentar extrair mais informações do dispositivo. O -A (varredura agressiva) força a opção nmap para usar detecção de sistema operacional, detecção de versão, verificação de script e detecção de traceroute.

O -T (modelo de temporização) nos permite especificar um valor de 0 a 5. Isso define um dos modos de temporização. Os modos de temporização têm ótimos nomes: paranóico (0), sorrateiro (1), educado (2), normal (3), agressivo (4) e insano (5). Quanto menor o número, menor impacto nmap terá na largura de banda e outros usuários da rede.

Observe que não estamos fornecendo nmap com um intervalo de IP. Estamos nos concentrando nmap em um único endereço IP, que é o endereço IP do dispositivo em questão.

sudo nmap -A -T4 192.168.4.11

Na máquina usada para pesquisar este artigo, foram necessários nove minutos para nmap para executar esse comando. Não se surpreenda se tiver que esperar um pouco antes de ver qualquer resultado.

Infelizmente, neste caso, o resultado não nos dá as respostas fáceis que esperávamos.

Uma coisa extra que aprendemos é que ele está rodando uma versão do Linux. Na minha rede isso não é uma grande surpresa, mas esta versão do Linux é estranha. Parece ser bem antigo. O Linux é usado em quase todos os dispositivos da Internet das Coisas, então isso pode ser uma pista.

Mais abaixo na saída nmap nos forneceu o endereço Media Access Control (endereço MAC) do dispositivo. Esta é uma referência exclusiva atribuída às interfaces de rede.

Os primeiros três bytes do endereço MAC são conhecidos como Identificador Único Organizacional (OUI). Isso pode ser usado para identificar o fornecedor ou fabricante da interface de rede. Se acontecer de você ser um geek que montou um banco de dados de 35.909 deles, claro.

Meu utilitário diz que pertence ao Google. Com a pergunta anterior sobre a versão peculiar do Linux e a suspeita de que possa ser um dispositivo da Internet das Coisas, isso aponta o dedo de maneira justa e direta para meu mini alto-falante inteligente Google Home.

Você pode fazer o mesmo tipo de pesquisa OUI online, usando a página Wireshark Manufacturer Lookup.

Felizmente, isso corresponde aos meus resultados.

Uma maneira de ter certeza sobre a identificação de um dispositivo é realizar uma varredura, desligar o dispositivo e verificar novamente. O endereço IP que falta no segundo conjunto de resultados será o dispositivo que você acabou de desligar.

Livro de respostas da Sun?

O próximo mistério foi o “livro de respostas do sol” descrição para o Raspberry Pi com endereço IP 192.168.4.18. O mesmo “livro de respostas do sol” a descrição estava aparecendo para o dispositivo em 192.168.4.21. O dispositivo 192.168.4.21 é um computador desktop Linux.

nmap faz sua melhor estimativa sobre o uso de uma porta a partir de uma lista de associações de software conhecidas. É claro que, se alguma dessas associações de portas não for mais aplicável — talvez o software não esteja mais em uso e tenha chegado ao fim de sua vida útil — você poderá obter descrições de portas enganosas nos resultados da verificação. Provavelmente foi esse o caso aqui, o sistema Sun AnswerBook remonta ao início da década de 1990 e nada mais é do que uma memória distante – para aqueles que já ouviram falar dele.

Então, se não for algum software antigo da Sun Microsystems, o que esses dois dispositivos, o Raspberry Pi e o desktop, poderiam ter em comum?

As pesquisas na Internet não trouxeram nada de útil. Foram muitos acertos. Parece que qualquer coisa com uma interface web que não queira usar a porta 80 parece optar pela porta 8888 como alternativa. Portanto, o próximo passo lógico foi tentar conectar-se a essa porta usando um navegador.

Usei 192.168.4.18:8888 como endereço em meu navegador. Este é o formato para especificar um endereço IP e uma porta em um navegador. Use dois pontos : para separar o endereço IP do número da porta.

Um site realmente foi aberto.

É o portal de administração para qualquer dispositivo que execute o Resilio Sync, um serviço de sincronização de arquivos ponto a ponto.

Eu sempre uso a linha de comando, então esqueci completamente dessa facilidade. Portanto, a listagem de entradas do Sun AnswerBook era uma pista falsa completa e o serviço por trás da porta 8888 havia sido identificado.

Um servidor web oculto

O próximo problema que gravei para dar uma olhada foi a porta HTTP 80 da minha impressora. Novamente, peguei o endereço IP do nmap resultados e usei-o como um endereço no meu navegador. Não precisei fornecer a porta; o navegador usaria como padrão a porta 80.

Veja só; minha impressora possui um servidor web incorporado.

Agora posso ver o número de páginas que passaram, o nível de toner e outras informações úteis ou interessantes.

Outro dispositivo desconhecido

O dispositivo em 192.168.4.24 não revelou nada para nenhum dos nmap varreduras que tentamos até agora.

Eu adicionei no -Pn (sem ping). Isso causa nmap para assumir que o dispositivo de destino está ativo e prosseguir com as outras varreduras. Isto pode ser útil para dispositivos que não reagem conforme o esperado e confundem nmap em pensar que estão offline.

sudo nmap -A -T4 -Pn 192.168.4.24

Isso recuperou um monte de informações, mas não havia nada que identificasse o dispositivo.

Foi relatado que ele estava executando um kernel Linux do Mandriva Linux. Mandriva Linux foi uma distribuição que foi descontinuada em 2011. Ela continua viva com uma nova comunidade de suporte, como OpenMandriva.

Outro dispositivo da Internet das Coisas, possivelmente? provavelmente não – eu só tenho dois, e ambos foram contabilizados.

Uma inspeção sala por sala e uma contagem de dispositivos físicos não me renderam nada. Vamos procurar o endereço MAC.

Então, acontece que era meu celular.

Lembre-se de que você pode fazer essas pesquisas on-line, usando a página Wireshark Manufacturer Lookup.

Elitegroup Sistemas de Computador

As duas últimas perguntas que tive foram sobre os dois dispositivos com nomes de fabricantes que não reconheci, nomeadamente Liteon e Elitegroup Computer Systems.

Vamos mudar de rumo. Outro comando útil para definir a identidade dos dispositivos na sua rede é arp. arp é usado para trabalhar com a tabela Address Resolution Protocol em seu computador Linux. É usado para traduzir de um endereço IP (ou nome de rede) para um endereço MAC.

Se arp não está instalado no seu computador, você pode instalá-lo assim.

No Ubuntu, use apt-get :

sudo apt-get install net-tools

No uso do Fedora dnf :

sudo dnf install net-tools

No uso de Manjaro pacman :

sudo pacman -Syu net-tools

Para obter uma lista dos dispositivos e seus nomes de rede – se eles tiverem um atribuído – basta digitar arp e pressione Enter.

Este é o resultado da minha máquina de pesquisa:

Os nomes na primeira coluna são os nomes das máquinas (também chamados de nomes de host ou nomes de rede) que foram atribuídos aos dispositivos. Alguns deles eu configurei (Nostromo, Cloudbase e Marineville, por exemplo) e alguns foram definidos pelo fabricante (como Vigor.router).

A saída nos dá dois meios de fazer referência cruzada com a saída de nmap. Como os endereços MAC dos dispositivos estão listados, podemos consultar a saída de nmap para identificar melhor os dispositivos.

Além disso, como você pode usar um nome de máquina com ping e porque ping exibe o endereço IP subjacente, você pode fazer referência cruzada de nomes de máquinas para endereços IP usando ping em cada nome por vez.

Por exemplo, vamos executar ping em Nostromo.local e descobrir qual é seu endereço IP. Observe que os nomes das máquinas não diferenciam maiúsculas de minúsculas.

ping nostromo.local

Você deve usar Ctrl+C para parar ping.

A saída nos mostra que seu endereço IP é 192.168.4.15. E esse é o dispositivo que apareceu no primeiro nmap digitalize com Liteon como fabricante.

A empresa Liteon fabrica componentes de computador que são usados ​​por muitos fabricantes de computadores. Neste caso, é uma placa Liteon Wi-Fi dentro de um laptop Asus. Assim, como observamos anteriormente, o nome do fabricante retornado por nmap é apenas o seu melhor palpite. Como foi nmap saber que a placa Liteon Wi-Fi foi instalada em um laptop Asus?

E finalmente. O endereço MAC do dispositivo fabricado pela Elitegroup Computer Systems corresponde ao endereço no arp listagem do dispositivo que chamei de LibreELEC.local.

Este é um Intel NUC, executando o reprodutor de mídia LibreELEC. Portanto, este NUC possui uma placa-mãe da empresa Elitegroup Computer Systems.

E aí estamos, todos os mistérios resolvidos.

Tudo contabilizado

Verificamos que não existem dispositivos inexplicáveis ​​nesta rede. Você também pode usar as técnicas descritas aqui para investigar sua rede. Você pode fazer isso por interesse – para satisfazer seu geek interior – ou para se certificar de que tudo conectado à sua rede tem o direito de estar lá.

Lembre-se de que existem dispositivos conectados de todos os formatos e tamanhos. Passei algum tempo andando em círculos tentando rastrear um dispositivo estranho antes de perceber que era, na verdade, o smartwatch em meu pulso.

Comandos Linux

Arquivos

alcatrão · pv · gato · tático · chmod · grep · diferença · sed · ar · homem · empurrado · popd · fsck · Disco de teste · sequência · fd · pandoc · cd · $PATH · estranho · juntar · jq · dobrar · exclusivo · jornalctl · cauda · estatística · eu · fstab · eco · menos · chgrp · chown · rev · olhar · cordas · tipo · renomear · zip · descompactar · montar · quantidade · instalar · fdisk · mkfs · rm · rmdir · sincronizar novamente · df · gpg · vi · nano · mkdir · de · Em · correção · converter · clone · fragmentar · senhor · scp · gzip · bate-papo · corte · encontrar · umask · Banheiro · tr

Processos

apelido · tela · principal · legal · Renice · progresso · rua · sistema · tocar · chsh · história · no · lote · livre · qual · dmesg · chfn · mod de usuário · obs: · chroot · xargs · tty · mindinho · lsof · vmstat · tempo esgotado · parede · sim · matar · dormir · sudo · são · tempo · adicionar grupo · mod de usuário · grupos · lshw · desligar · reinício · parar · desligar · senha · lscpu · crontab · data · obrigado · fg · pidof · nada · mapa

Rede

netstat · pingar · traceroute · IP · ss · quem é · fail2ban · bmon · escavação · dedo · nmap · FTP · enrolar · wget · Quem · uau · c · iptables · ssh-keygen · ufw · arpar · firewalld

RELACIONADO: Melhores laptops Linux para desenvolvedores e entusiastas

Este artigo foi útil?
Gostei0Não Gostei0

Related posts

Não atualize seu PC Windows criptografado a menos que você saiba sua senha do BitLocker

A T-Mobile disponibiliza mensagens de texto de emergência para o 911 gratuitamente e as leva para AT&T e Verizon

Por favor, pare de usar estes 7 comandos obsoletos do Linux

Add Comment