Como ver todos os dispositivos na sua rede com o nmap no Linux

Acha que sabe o que está ligado à sua rede doméstica? Você pode se surpreender. Saiba como verificar usando o nmap no Linux, o que permitirá explorar todos os dispositivos conectados à sua rede.

Você pode pensar que sua rede doméstica é bastante simples e não há nada a ser aprendido de ter uma visão mais profunda disso. Você pode estar certo, mas as chances são que você vai aprender algo que você não sabia. Com a proliferação de dispositivos da Internet of Things, dispositivos móveis como telefones e tablets, e a revolução da casa inteligente - além de dispositivos de rede "normais", como roteadores de banda larga, laptops e computadores de mesa - pode ser uma grande surpresa.

Se precisar, instale o nmap

Vamos usar o comando nmap. Dependendo de outros pacotes de software que você tenha instalado no seu computador, o nmap pode já estar instalado para você.

Se não, é como instalá-lo no Ubuntu.

 sudo apt-get instalar nmap 

Isto é como instalá-lo no Fedora.

 sudo dnf install nmap 

Isto é como instalá-lo no Manjaro.

 sudo pacman -su nmap 

Você pode instale-o em outras versões do Linux usando o gerenciador de pacotes para suas distribuições Linux.

Encontre seu endereço IP

A primeira tarefa é descobrir qual é o endereço IP do seu computador Linux. Existe um endereço IP mínimo e máximo que sua rede pode usar. Este é o escopo ou intervalo de endereços IP da sua rede. Nós precisaremos fornecer endereços IP ou um intervalo de endereços IP para o nmap, então precisamos saber quais são esses valores.

O Linux fornece um comando chamado ip e tem uma opção chamada addr (address ). Digite ip, um espaço, addr e pressione Enter.

 ip addr 

IMAGEM_4

Na seção inferior da saída, você encontrará seu endereço IP. É precedido pelo rótulo “inet”.

O endereço IP deste computador é “192.168.4.25”. O "/ 24" significa que há três conjuntos consecutivos de oito 1s na máscara de sub-rede. (E 3 x 8 = 24.)

Em binário, a máscara de sub-rede é:

 11111111.11111111.11111111.00000000 

e, em decimal, é 255.255.255.0.

A máscara de sub-rede e o endereço IP são usados ​​para indicar qual parte do endereço IP identifica a rede e qual parte identifica o dispositivo. Essa máscara de sub-rede informa ao hardware que os três primeiros números do endereço IP identificarão a rede e a última parte do endereço IP identifica os dispositivos individuais. E como o maior número que você pode armazenar em um número binário de 8 bits é 255, o intervalo de endereços IP dessa rede será de 192.168.4.0 até 192.168.4.255.

Tudo isso é encapsulado no "/ 24". Felizmente, o nmap funciona com essa notação, por isso temos o que precisamos para começar a usar o nmap.

RELACIONADO: Como funcionam os endereços IP?

Primeiros passos com o nmap

nmap é uma ferramenta de mapeamento de rede. Ele funciona enviando várias mensagens de rede para os endereços IP no intervalo em que vamos fornecê-lo. Ele pode deduzir muito sobre o dispositivo que está investigando ao julgar e interpretar o tipo de respostas que recebe.

Vamos dar início a uma simples verificação com o nmap. Vamos usar a opção -sn (digitalizar sem porta). Isso diz ao nmap para não testar as portas nos dispositivos por enquanto. Ele fará uma varredura leve e rápida.

Mesmo assim, pode demorar um pouco para o nmap rodar. Obviamente, quanto mais dispositivos você tiver na rede, mais tempo levará. Ele faz todo o seu trabalho de sondagem e reconhecimento primeiro e depois apresenta suas descobertas assim que a primeira fase é concluída. Não fique surpreso quando nada visível acontecer por um minuto ou mais.

O endereço IP que vamos usar é o que obtivemos usando o comando ip antes, mas o número final é definido como zero. . Esse é o primeiro IPAddress nesta rede. O “/ 24” diz ao nmap para escanear todo o alcance desta rede. O parâmetro “192.168.4.0/24” traduz como “iniciar no endereço IP 192.168.4.0 e funcionar diretamente em todos os endereços IP até e incluindo 192.168.4.255”.

Note que estamos usando o sudo. p>

 sudo nmap -sn 192.168.4.0/24

Após uma breve espera, a saída é gravada na janela do terminal.

Você pode executar essa verificação sem usar o sudo, mas o uso do sudo garante que ele possa extrair o máximo de informações possível. Sem sudo esta varredura não retornaria as informações do fabricante, por exemplo.

A vantagem de usar a opção -sn - além de ser uma digitalização rápida e leve - é uma lista simples dos endereços IP ativos. Em outras palavras, temos uma lista dos dispositivos conectados à rede, juntamente com o endereço IP deles. E, sempre que possível, o nmap identificou o fabricante. Isso não é ruim para a primeira tentativa.

Aqui está a parte inferior da lista.

Nós estabelecemos uma lista dos dispositivos de rede conectados, então nós sabemos quantos deles existem. Existem 15 dispositivos ligados e conectados à rede. Conhecemos o fabricante para alguns deles. Ou, como veremos, temos o que o nmap relatou como fabricante, com o melhor de sua capacidade.

Quando você analisa seus resultados, provavelmente verá dispositivos que reconhece. Pode haver alguns que você não tem. Estes são os que precisamos investigar mais.

O que alguns desses dispositivos são claros para mim. Raspberry Pi Foundation é auto-explicativo. O dispositivo da Amazon Technologies será meu Echo Dot. O único dispositivo Samsung que tenho é uma impressora a laser, o que reduz o problema. Há alguns dispositivos listados como fabricados pela Dell. São fáceis, isso é um PC e um laptop. O dispositivo Avaya é um telefone Voice Over IP que me fornece uma extensão no sistema de telefonia na matriz. Isso permite que eles me incomodem em casa com mais facilidade, por isso estou bem ciente desse dispositivo.

Mas ainda tenho dúvidas.

Existem vários dispositivos com nomes isso não significa nada para mim. Tecnologia Liteon e sistemas Elitegroup Computer, por exemplo.

Eu tenho (mais) um PI de Raspberry. Quantos estão conectados à rede sempre variarão, porque eles são continuamente trocados dentro e fora de serviço, à medida que são re-imaginados e redefinidos. Mas definitivamente, deve haver mais de um exibido.

Existem alguns dispositivos marcados como Desconhecido. Obviamente, eles precisarão investigar.

Faça uma varredura mais profunda

Se removermos a opção -sn, o nmap também tentará investigar as portas nos dispositivos. As portas são pontos de extremidade numerados para conexões de rede em dispositivos. Considere um bloco de apartamentos. Todos os apartamentos têm o mesmo endereço (o equivalente ao endereço IP), mas cada apartamento tem seu próprio número (o equivalente da porta).

Cada programa ou serviço dentro de um dispositivo tem um número de porta . O tráfego de rede é entregue para um endereço IP e uma porta, não apenas para um endereço IP. Alguns números de porta são pré-alocados ou reservados. Eles são sempre usados ​​para transportar tráfego de rede de um tipo específico. A porta 22, por exemplo, é reservada para conexões SSH e a porta 80 é reservada para o tráfego HTTP da Web.

Vamos usar o nmap para verificar as portas em cada dispositivo e informar quais estão abertas.

nmap 192.168.4.0/24

IMAGEM_9

Desta vez, vamos obter um resumo mais detalhado de cada dispositivo. Nos disseram que há 13 dispositivos ativos na rede. Espere um minuto; nós tivemos 15 dispositivos há pouco.

O número de dispositivos pode variar quando você executa essas varreduras. É provável que seja devido a dispositivos móveis que chegam e saem do local, ou equipamentos sendo ligados e desligados. Além disso, lembre-se de que, quando você liga um dispositivo que foi desligado, ele pode não ter o mesmo endereço IP da última vez que estava em uso. pode, mas pode não ser.

Houve muitos resultados. Vamos fazer isso de novo e capturá-lo em um arquivo.

 nmap 192.168.4.0/24 > nmap-list.txt 

E agora podemos listar o arquivo com menos e pesquisá-lo, se desejar.

 menos nmap -list.txt 

Conforme você rola pelo relatório nmap, você está procurando por algo que não possa explicar ou que pareça incomum. Quando você revisa sua lista, anote os endereços IP de qualquer dispositivo que você queira investigar mais.

De acordo com a lista que geramos anteriormente, 192.168.4.10 é um Raspberry Pi. Ele estará executando uma distribuição Linux ou outra. Então, o que está usando a porta 445? É descrito como "microsoft-ds". Microsoft, em um Pi rodando Linux? Certamente analisaremos isso.

192.168.4.11 foi marcado como "Desconhecido" na varredura anterior. Tem muitas portas abertas; precisamos saber o que é isso.

192.168.4.18 também foi identificado como um Raspberry Pi. Mas esse Pi e o dispositivo 192.168.4.21 têm a porta 8888 aberta, que é descrita como sendo usada pelo “livro de respostas do sol”. O Sun AnswerBook é um sistema de recuperação de documentação (elementar) retirado por muitos anos. Escusado será dizer que eu não tenho instalado em qualquer lugar. Isso precisa ser visto.

O dispositivo 192.168.4.22 foi identificado anteriormente como uma impressora Samsung, que é verificada aqui pela tag que diz "impressora". O que me chamou a atenção foi a porta HTTP 80 estar presente e aberta. Esta porta é reservada para o tráfego do site. A minha impressora incorpora um site?

O dispositivo 192.168.4.31 é supostamente fabricado por uma empresa chamada Elitegroup Computer Systems. Eu nunca ouvi falar deles, e o dispositivo tem muitas portas abertas, então vamos investigar isso.

Quanto mais portas um dispositivo tiver aberto, maiores serão as chances de um cibercriminoso para ele, se for exposto diretamente à Internet. É como uma casa. Quanto mais portas e janelas você tiver, mais pontos potenciais de entrada um ladrão tem.

Alinhamos os suspeitos; Vamos fazer com que eles falem

O dispositivo 192.168.4.10 é um Raspberry Pi que tem a porta 445 aberta, que é descrita como “microsoft-ds.” Uma rápida pesquisa na Internet revela que a porta 445 é normalmente associada ao Samba . O Samba é uma implementação de software livre do protocolo SMB (Server Message Block) da Microsoft. O SMB é um meio de compartilhar pastas e arquivos em uma rede.

Isso faz sentido; Eu uso esse Pi em particular como uma espécie de mini-Network Attached Storage Device (NAS). Ele usa o Samba para que eu possa me conectar a ele de qualquer computador da minha rede. Ok, isso foi fácil. Um abaixo, muitos mais para ir.

RELACIONADOS: Como transformar um Raspberry Pi em um dispositivo de armazenamento de rede de baixo consumo

Dispositivo desconhecido com muitas portas abertas

O dispositivo com endereço IP 192.168.4.11 tinha um fabricante desconhecido e muitas portas abertas.

Podemos usar o nmap mais agressivamente para tentar tirar mais informações do dispositivo. A opção -A (varredura agressiva) força o nmap a usar a detecção do sistema operacional, detecção de versão, varredura de scripts e detecção de traceroute.

A opção -T (modelo de tempo) nos permite especificar um valor de 0 a 5. Isso define um dos modos de temporização. Os modos de temporização têm grandes nomes: paranóide (0), sorrateiro (1), educado (2), normal (3), agressivo (4) e insano (5). Quanto menor o número, menor o impacto que o nmap terá na largura de banda e outros usuários da rede.

Não fornecemos o nmap com um intervalo de IPs. Estamos focando o nmap em um único endereço IP, que é o endereço IP do dispositivo em questão.

 sudo nmap -A -T4 192.168.4.11 

Na máquina usada para pesquisar este artigo, levou nove minutos para o nmap executar esse comando. Não se surpreenda se você tiver que esperar um pouco antes de ver qualquer saída.

Infelizmente, neste caso, a saída não nos dá as respostas fáceis Uma coisa extra que aprendemos é que está executando uma versão do Linux. Na minha rede, isso não é uma grande surpresa, mas essa versão do Linux é estranha. Parece ser bem antigo. O Linux é usado em quase todos os dispositivos da Internet das Coisas, então isso pode ser uma pista.

Mais abaixo na saída, o nmap nos forneceu o endereço de controle de acesso à mídia (endereço MAC) do dispositivo. Esta é uma referência exclusiva que é atribuída às interfaces de rede.

Os primeiros três bytes do endereço MAC são conhecidos como o OUI (Organizationally Unique Identifier). Isso pode ser usado para identificar o fornecedor ou fabricante da interface de rede. Se você é um geek que montou um banco de dados de 35.909 deles, isto é.

Meu utilitário diz que pertence ao Google. Com a pergunta anterior sobre a versão peculiar do Linux e a suspeita de que poderia ser um dispositivo da Internet das Coisas, isso aponta o dedo de forma justa e direta para meu mini-alto-falante inteligente do Google Home.

Você pode fazer o mesmo tipo de pesquisa OUI on-line, usando a página de pesquisa do fabricante do Wireshark.

Incentivadoramente, isso corresponde aos meus resultados.

Uma maneira de ter certeza sobre o id de um dispositivo é realizar uma varredura, desligar o dispositivo e digitalizar novamente. O endereço IP que está faltando no segundo conjunto de resultados será o dispositivo que você acabou de desligar.

Sun AnswerBook?

O próximo mistério foi a descrição do "sol-livro de respostas" para o Raspberry Pi com o endereço IP 192.168.4.18. A mesma descrição de "lista de respostas do sol" estava aparecendo para o dispositivo em 192.168.4.21. O dispositivo 192.168.4.21 é um computador desktop Linux.

O nmap faz seu melhor palpite quanto ao uso de uma porta de uma lista de associações de software conhecidas. É claro, se qualquer uma dessas associações de portas não for mais aplicável - talvez o software não esteja mais em uso e tenha passado do fim da vida útil -, é possível obter descrições de porta enganosas nos resultados da verificação. Esse foi provavelmente o caso aqui, o sistema Sun AnswerBook remonta ao início dos anos 90, e não é nada mais do que uma memória distante - para aqueles que já ouviram falar dele.

Então, se não for Em alguns softwares antigos da Sun Microsystems, o que esses dois dispositivos, o Raspberry Pi e o desktop, poderiam ter em comum? Pesquisas na Internet não trouxeram nada de volta que fosse útil. Houve muitos acessos. Parece que qualquer coisa com uma interface da Web que não queira usar a porta 80 parece optar pela porta 8888 como alternativa. Então, o próximo passo lógico foi tentar se conectar a essa porta usando um navegador.

Eu usei 192.168.4.18:8888 como um endereço no meu navegador. Este é o formato para especificar um endereço IP e uma porta em um navegador. Use dois pontos: para separar o endereço IP do número da porta.

Um site realmente abriu.

É o portal de administração para qualquer dispositivo que esteja executando o Resilio Sync.

Eu sempre uso a linha de comando, então eu esqueci completamente sobre esse recurso. Assim, a lista de entradas do AnswerBook da Sun era um arenque completo, e o serviço por trás da porta 8888 havia sido identificado.

Um servidor da Web oculto

A próxima edição que eu gravei foi olha foi a porta HTTP 80 na minha impressora. Novamente, peguei o endereço IP dos resultados do nmap e usei como um endereço no meu navegador. Eu não precisei fornecer a porta; o navegador seria o padrão para a porta 80.

Eis e veja; minha impressora possui um servidor da Web incorporado.

Agora, posso ver o número de páginas que passaram por ele, o nível de toner e outras informações úteis ou interessantes.

Outro Dispositivo Desconhecido

O dispositivo em 192.168.4.24 não revelou nada a nenhuma das varreduras do nmap que testamos até agora.

Eu adicionei no -Pn (não ping) opção. Isso faz com que o nmap assuma que o dispositivo de destino esteja ativo e continue com as outras digitalizações. Isso pode ser útil para dispositivos que não reagem como esperado e confundem o nmap em pensar que estão off-line.

 sudo nmap -A-T4 -Pn 192.168.4.24 

Isso recuperou um dump de informações, mas não havia nada que identificasse o dispositivo.

Foi relatado que ele está rodando um kernel Linux do Mandriva Linux. O Mandriva Linux foi uma distribuição que foi descontinuada em 2011. Ele vive com uma nova comunidade que o suporta, como o OpenMandriva.

Outro dispositivo da Internet das Coisas, possivelmente? provavelmente não, eu só tenho dois, e ambos foram contabilizados.

Uma passagem de sala em sala e uma contagem de dispositivos físicos não me renderam nada. Vamos procurar o endereço MAC.

Então, foi meu telefone celular.

Lembre-se de que você pode fazer essas pesquisas on-line, usando a página de pesquisa do fabricante do Wireshark.

Elitegroup Computer Systems

As duas últimas perguntas que eu fiz foram sobre os dois dispositivos com nomes de fabricantes que eu não reconhecia, ou seja, Liteon e Elitegroup Computer Systems .

Vamos mudar de rumo. Outro comando que é útil para fixar a identidade dos dispositivos na sua rede é o arp. arp é usado para trabalhar com a tabela Address Resolution Protocol no seu computador Linux. É usado para traduzir de um endereço IP (ou nome de rede) para um endereço MAC.

Se arp não estiver instalado no seu computador, você pode instalá-lo assim.

Ubuntu, use apt-get:

 sudo apt-get instalar net-tools 

No Fedora use dnf:

 sudo dnf install net-tools 

IMAGEM_27

Em Manjaro use pacman:

 sudo pacman -Suim net-tools 

Para obter uma lista dos dispositivos e seus nomes de rede - se eles tiverem um atribuído - basta digitar arp e pressionar Enter.

Esta é a saída da minha máquina de pesquisa:

Os nomes na primeira coluna são os nomes de máquina (também chamados de nomes de host ou nomes de rede) que foram atribuídos aos dispositivos. Alguns deles eu configurei (Nostromo, Cloudbase e Marineville, por exemplo) e alguns foram configurados pelo fabricante (como Vigor.router).

A saída nos dá dois meios de referência cruzada com a saída do nmap. Como os endereços MAC dos dispositivos estão listados, podemos nos referir à saída do nmap para identificar ainda mais os dispositivos.

Além disso, você pode usar um nome de máquina com ping e porque o ping exibe o endereço IP subjacente , você pode fazer referência cruzada a nomes de máquinas para endereços IP usando ping em cada nome, por vez.

Por exemplo, vamos pingar Nostromo.local e descobrir qual é o endereço IP. Note que os nomes das máquinas não fazem distinção entre maiúsculas e minúsculas.

 ping nostromo.local 

IMAGEM_30

Tem de utilizar Ctrl + C para parar o ping.

A saída nos mostra que seu endereço IP é 192.168.4.15. E esse é o dispositivo que apareceu na primeira varredura do nmap com a Liteon como fabricante.

A empresa Liteon fabrica componentes de computador que são usados ​​por muitos fabricantes de computadores. Neste caso, é um cartão Wi-Fi Liteon dentro de um laptop Asus. Assim, como observamos anteriormente, o nome do fabricante retornado pelo nmap é apenas o melhor palpite. Como foi o nmap saber que o cartão Wi-Fi Liteon foi instalado em um laptop Asus?

E finalmente. O endereço MAC do dispositivo fabricado pela Elitegroup Computer Systems corresponde ao da listagem arp para o dispositivo que eu chamei de LibreELEC.local.

Este é um Intel NUC, executando o media player LibreELEC. Então este NUC tem uma placa-mãe da companhia Elitegroup Computer Systems.

E lá estamos nós, todos os mistérios resolvidos.

Tudo explicado

Verificamos que Não há dispositivos inexplicáveis ​​nessa rede. Você também pode usar as técnicas descritas aqui para investigar sua rede. Você pode fazer isso por interesse - para satisfazer seu nerd interior - ou para se certificar de que tudo que está conectado à sua rede tem o direito de estar lá.

Lembre-se de que os dispositivos conectados vêm em todos os formatos e tamanhos. Passei algum tempo andando em círculos e tentando rastrear um dispositivo estranho antes de perceber que era, de fato, o relógio inteligente no meu pulso.

LEIA PRÓXIMO & rsaquo; O que é "Upscaling" na TV e como funciona? & Rsaquo; Como ver os aplicativos usando sua rede no Windows 10 & rsaquo; Como parar o sobre-humano (e outros aplicativos) ao rastrear seu e-mail abre & rsaquo; Windows 10 pode agora sincronizar notificações do Android para o seu PC & rsaquo; Windows 10 20H1 vai deixar você arrastar e soltar com os olhos

Via: How to Geek