【注意】このサイトに記載されていることを他人に試すことは「不正アクセス禁止法」に該当する場合があります。詳しくはこちらから

ハッカーはnetdiscoverでネットワーク上のライブホストを調査する(Kali Linuxツール説明)

ホワイトハッカーの知識座学,Kali Linuxツール,netdiscover

ネットワーク上のライブホストを調査する方法を理解するためにまとめてみました。
このnetdiscoverの動作確認は自分のドメインでテストを行っています。

netdiscoverとは

netdiscover は、ネットワーク内のライブホストをスキャンできるシンプルなARPスキャナーです。
複数のサブネットをスキャンすることもできます。表示は別の画面(ライブディスプレイ:ncurse)に出力されます。

機能

・シンプルなArpスキャナー
・アクティブとパッシブの両方のモードで動作できます
・識別されたホストをライブで表示します
・複数のサブネットをスキャンすることが可能です
・タイミングオプション

ツールの場所

[Applications]→[01-Information Gathering]→[Route Analysis]→[netdiscover]

ツールと使用方法

netdiscover [-i device] [-r range | -l file | -p] [-m file] [-F filter] [-s time] [-c count] [-n node] [-dfPLNS]

例 netdiscover -r 192.168.1.0/24

【実行イメージ】少し端折って整形しています。

┌──(root__kali)-[/home/kali]
└─# netdiscover -r 192.168.1.0/24

Currently scanning: Finished! | Screen View: Unique Hosts
0 Captured ARP Req/Rep packets, from 0 hosts. Total size: 0
_____________________________________________________________________________
IP At MAC Address Count Len MAC Vendor / Hostname
-----------------------------------------------------------------------------
whitemarkn
whitemarkn
このツールはコマンド「netdiscover -r 192.168.1.0/24」を実行すると、ウインドウが変わり実行されます。(これがライブディスプレイ?) テスト環境でnetdiscoverツールを実行していますが、上記のタイトルが表示されて以降時間が相当かかっても何も表示されませんでした。シンプルな環境の為何も表示されていないのかもしれません。

オプション

-i

device: your network device.
device: あなたのネットワークデバイス。

-r

range: scan a given range instead of auto scan. 192.168.6.0/24,/16,/8
range: 自動スキャンではなく、指定した範囲をスキャンします。192.168.6.0/24,/16,/8

-l

file: scan the list of ranges contained into the given file.
file: 与えられたファイルに含まれる範囲のリストをスキャンします。

-p

passive mode: do not send anything, only sniff.
パッシブモード:何も送信せず、スニッフィングのみを行います。

-m

file: scan a list of known MACs and host names。
ファイル:既知のMACとホスト名のリストをスキャンします。

-F

filter: customize pcap filter expression.(default: “arp")
filter: pcapのフィルター表現をカスタマイズします。(デフォルト:"arp")

-s

time: time to sleep between each ARP request. (milliseconds)
time: 各ARPリクエストの間にスリープする時間。(ミリ秒

-c

count: number of times to send each ARP request. (for nets with packet loss)
count:各ARPリクエストの送信回数。(パケットロスのあるネットの場合)

-n

node: last source IP octet used for scanning. (from 2 to 253)
node: スキャンに使われた最後のソースIPオクテット。(2~253まで)

-d

ignore home config files for autoscan and fast mode.
オートスキャンと高速モード用のホーム設定ファイルを無視します。

-f

enable fastmode scan, saves a lot of time, recommended for auto.
ファストモードスキャンを有効にすると、時間を大幅に節約できます。

-P

print results in a format suitable for parsing by another program and stop after active scan.
他のプログラムでの解析に適したフォーマットで結果を表示し、アクティブスキャン後に停止します。

-L

similar to -P but continue listening after the active scan is completed.
-Pに似ていますが、アクティブなスキャンが完了した後もリスニングを続けます。

-N

Do not print header. Only valid when -P or -L is enabled.
ヘッダーを印刷しません。Pまたは-Lが有効な場合のみ有効です。

-S

enable sleep time suppression between each request. (hardcore mode)
各リクエスト間のスリープ時間抑制を有効にします。(ハードコアモード)

※If -r, -l or -p are not enabled, netdiscover will scan for common LAN addresses.
-r、-l、-pが有効でない場合、netdiscoverは一般的なLANアドレスをスキャンします。

netdiscoverツールのまとめ

netdiscoverは、ARPリクエストを使用してネットワーク内のライブホストをスキャンです。
ARPリクエストとはIPアドレスに対応するMACアドレスを問い合わせて調べるためのプロトコルがARPになります。

このツールはネットワーク上のライブホストを調査するために最初の段階で使用する非常に便利なツールになります。