ubuntuでarp-scanを使用してローカルネットワークをスキャンします

Arpスキャン

Arp-scanは、Linux用のコマンドラインユーティリティであり、特定のインターフェイスのネットワークをスキャンして、生きているホストを探すことができます。見つかったすべてのホスト/ノードのIPアドレスとMACアドレスが表示されます。

プロジェクトのウェブサイト
http://www.nta-monitor.com/tools-resources/security-tools/arp-scan

ubuntuにインストール

$ sudo apt-get install arp-scan

ドキュメントは
http://www.nta-monitor.com/wiki/index.php/Arp-scan_Documentation

にあります。

使用法

簡単な例

$ sudo arp-scan --interface=eth0 --localnet
Interface: eth0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.8.1 with 256 hosts (http://www.nta-monitor.com/tools/arp-scan/)
192.168.1.1     00:21:2c:82:08:87       SemIndia System Private Limited
192.168.1.2     6c:f0:49:69:c1:25       GIGA-BYTE TECHNOLOGY CO.,LTD.
2 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.8.1: 256 hosts scanned in 1.435 seconds (178.40 hosts/sec). 2 responded

したがって、上記の例では、arp-scanを使用してデバイスeth0のネットワークをスキャンし、ローカルホストマシンから離れた2つの稼働中のノードを検出しました。オプションlocalnetは、arp-scanでローカルネットワークをスキャンします。

localnetオプションの代わりに、arp-scanはスキャンするIPアドレスの範囲を取ることもできます。例：

$ sudo arp-scan --interface=eth0 192.168.1.1/24
Interface: eth0, datalink type: EN10MB (Ethernet)
WARNING: host part of 192.168.1.1/24 is non-zero
Starting arp-scan 1.8.1 with 256 hosts (http://www.nta-monitor.com/tools/arp-scan/)
192.168.1.1     00:21:2c:82:08:87       SemIndia System Private Limited
192.168.1.2     6c:f0:49:69:c1:25       GIGA-BYTE TECHNOLOGY CO.,LTD.
2 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.8.1: 256 hosts scanned in 1.421 seconds (180.15 hosts/sec). 2 responded

ip範囲はCIDR表記で指定されています。スラッシュの後の数字は、左から一定に保たれるビット数を示します。つまり、24は、最初の24個の左ビットが一定のままで、残りが変更される可能性があることを意味します。これは、最後のオクテットが変更される可能性があることを意味します。したがって、範囲は実質的に192.168.1.1〜192.168.1.256です