ARP 偵測工具,透過 ARP 協定(Address Resolution Protocol)來確認目標是否存活, ARP 協定會將IP 解析成 MAC Address,而 MAC address 則對應到網路介面卡,也就是每一個網路介面卡都會有 MAC address。
路由器或交換器廣播 ARP 請求,而設備會回傳 MAC address。
廣播封包
'Who has 172.28.128.3? Tell 172.28.128.253'
來自 172.28.128.3 的 ARP 回應封包
'172.28.128.3 is at 08:00:27:31:e2:96'
Netdiscover 會如同路由器或交換器一樣廣播 ARP 請求來搜尋在網段上的主機。
※ Classless Inter-Domain Routing (CIDR)
IP 範圍採用 CIDR 的表示方法,以下為範例:
[IP位置]/[network mask]
10.11.1.0/24 表示 10.11.1.0 到 10.11.1.255 範圍內的所有 256 個 IP 地址
了解目前的網路介面卡ip addr
1. 使用 tcpdump 攔截封包sudo tcpdump
2. 輸入 netdiscover 指令sudo netdiscover -r 172.28.128.0/24
3. 攔截封包,比較內容
可以看到都是 ARP 封包
1. 使用 tcpdump 攔截封包sudo tcpdump
2. 輸入 ping 指令ping 172.28.128.3
3. 攔截封包,比較內容
可以看到都是 ICMP 封包