2/4

ch2.md

@@ -276,3 +276,66 @@ Host is up (0.00017s latency).
 ### 工作原理
 
 Nmap 已经高度功能化，需要很少甚至无需调整就可以运行所需的扫描。 底层的原理是一样的。 Nmap 将 ARP 请求发送到一系列 IP 地址的广播地址，并通过标记响应来识别活动主机。 但是，由于此功能已集成到 Nmap 中，因此可以通过提供适当的参数来执行。
+
+## 2.4 使用 NetDiscover 探索第二层
+
+NetDiscover是一个工具，用于通过 ARP 主动和被动分析识别网络主机。 它主要是在无线接口上使用; 然而，它在其它环境中上也具有功能。 在这个特定的秘籍中，我们将讨论如何使用 NetDiscover 进行主动和被动扫描。
+
+### 准备
+
+要使用 NetDiscover 执行 ARP 发现，你将需要在 LAN 上至少拥有一个响应 ARP 请求的系统。 提供的示例使用 Linux 和 Windows 系统的组合。 有关在本地实验环境中设置系统的更多信息，请参阅第一章入中的“安装 Metasploitable2”和“安装 Windows Server”秘籍。
+
+### 操作步骤
+
+NetDiscover 是专门为执行第2层发现而设计的工具。 NetDiscover 可以用于扫描一系列 IP 地址，方法是使用`-r`选项以 CIDR 表示法中的网络范围作为参数。 输出将生成一个表格，其中列出了活动 IP 地址，相应的 MAC 地址，响应数量，响应的长度和 MAC 厂商：
+
+```
+root@KaliLinux:~# netdiscover -r 172.16.36.0/24
+ 
+Currently scanning: Finished!   |   Screen View: Unique Hosts
+5 Captured ARP Req/Rep packets, from 5 hosts.   Total size: 300
+________________________________________________________________________ _____   
+IP            At MAC Address      Count  Len   MAC Vendor
+----------------------------------------------------------------------------
+172.16.36.1     00:50:56:c0:00:08    01    060   VMWare, Inc.
+172.16.36.2     00:50:56:ff:2a:8e    01    060   VMWare, Inc.
+172.16.36.132   00:0c:29:65:fc:d2    01    060   VMware, Inc.
+172.16.36.135   00:0c:29:3d:84:32    01    060   VMware, Inc.
+172.16.36.254   00:50:56:ef:b9:9c    01    060   VMWare, Inc. 
+```
+
+NetDiscover 还可用于扫描来自输入文本文件的 IP 地址。 不是将 CIDR 范围符号作为参数传递，`-l`选项可以与输入文件的名称或路径结合使用：
+
+```
+root@KaliLinux:~# netdiscover -l iplist.txt 
+
+Currently scanning: 172.16.36.0/24   |   Screen View: Unique Hosts
+39 Captured ARP Req/Rep packets, from 5 hosts.   Total size: 2340
+________________________________________________________________________ _____
+IP            At MAC Address      Count  Len   MAC Vendor                    ----------------------------------------------------------------------------
+172.16.36.1     00:50:56:c0:00:08    08    480   VMWare, Inc.
+172.16.36.2     00:50:56:ff:2a:8e    08    480   VMWare, Inc.
+172.16.36.132   00:0c:29:65:fc:d2    08    480   VMware, Inc.
+172.16.36.135   00:0c:29:3d:84:32    08    480   VMware, Inc.
+172.16.36.254   00:50:56:ef:b9:9c    07    420   VMWare, Inc. 
+```
+
+将此工具与其他工具区分开的另一个独特功能是执行被动发现的功能。 对整个子网中的每个 IP 地址广播 ARP 请求有时可以触发来自安全设备（例如入侵检测系统（IDS）或入侵防御系统（IPS））的警报或响应。 更隐秘的方法是侦听 ARP 流量，因为扫描系统自然会与网络上的其他系统交互，然后记录从 ARP 响应收集的数据。 这种被动扫描技术可以使用`-p`选项执行：
+
+```
+root@KaliLinux:~# netdiscover -p
+
+Currently scanning: (passive)   |   Screen View: Unique Hosts
+4 Captured ARP Req/Rep packets, from 2 hosts.   Total size: 240
+________________________________________________________________________ _____
+IP            At MAC Address      Count  Len   MAC Vendor                    
+----------------------------------------------------------------------------
+172.16.36.132   00:0c:29:65:fc:d2    02    120   VMware, Inc.
+172.16.36.135   00:0c:29:3d:84:32    02    120   VMware, Inc.   
+```
+ 
+这种技术在收集信息方面明显更慢，因为请求必须作为正常网络交互的结果产生，但是它也不会引起任何不必要的注意。 如果它在无线网络上运行，这种技术更有效，因为混杂模式下，无线适配器会接收到目标是其他设备的 ARP 应答。 为了在交换环境中有效工作，你需要访问 SPAN 或 TAP，或者需要重载 CAM 表来强制交换机开始广播所有流量。
+
+### 工作原理
+
+NetDiscover ARP 发现的基本原理与我们之前所讨论的第2层发现方法的基本相同。 这个工具和我们讨论的其他一些工具的主要区别，包括被动发现模式，以及在输出中包含 MAC 厂商。 在大多数情况下，被动模式在交换网络上是无用的，因为 ARP 响应的接收仍然需要与发现的客户端执行一些交互，尽管它们独立于 NetDiscover 工具。 然而，重要的是理解该特征，及其它们在例如集线器或无线网络的广播网络中可能会有用。 NetDiscover 通过评估返回的 MAC 地址的前半部分（前3个字节/ 24位）来识别 MAC 厂商。 这部分地址标识网络接口的制造商，并且通常是设备其余部分的硬件制造商的良好标识。