Netdiscover

ARP 偵測工具，透過 ARP 協定(Address Resolution Protocol)來確認目標是否存活， ARP 協定會將IP 解析成 MAC Address，而 MAC address 則對應到網路介面卡，也就是每一個網路介面卡都會有 MAC address。

路由器或交換器廣播 ARP 請求，而設備會回傳 MAC address。
廣播封包
'Who has 172.28.128.3? Tell 172.28.128.253'

來自 172.28.128.3 的 ARP 回應封包
'172.28.128.3 is at 08:00:27:31:e2:96'

Netdiscover 會如同路由器或交換器一樣廣播 ARP 請求來搜尋在網段上的主機。

※ Classless Inter-Domain Routing (CIDR)
IP 範圍採用 CIDR 的表示方法，以下為範例：
[IP位置]/[network mask]
10.11.1.0/24 表示 10.11.1.0 到 10.11.1.255 範圍內的所有 256 個 IP 地址

實驗

了解目前的網路介面卡
ip addr

• eth0 介面卡1
• eth1 介面卡2

1. 使用 tcpdump 攔截封包
sudo tcpdump

2. 輸入 netdiscover 指令
sudo netdiscover -r 172.28.128.0/24

3. 攔截封包，比較內容
可以看到都是 ARP 封包

Ping

• ICNP 封包確認目標是否存活

實驗

1. 使用 tcpdump 攔截封包
sudo tcpdump

2. 輸入 ping 指令
ping 172.28.128.3

3. 攔截封包，比較內容
可以看到都是 ICMP 封包