칼리 리눅스 - ARP 스캐너 도구(netdiscover)

netdiscover

네트워크에 흐르고 있는 ARP 트래픽을 분석을 통해 호스트를 검색할 수 있는 도구이다. Active(능동적) / Passive(수동적) 모드를 지원한다. Passive 모드로 ARP Requests를 보내지 않고 몰래 스니핑이 가능하다. 
 

명령어

netdiscover -r 192.168.130.0/24

-r range : 스캔 범위를 설정한다. 네트워크 대역은 0.0.0.0/8, /16, /24까지 입력 가능함(각각 A 클래스, B 클래스, C 클래스 서브넷 마스크임)
 

사용 방법

1. ifconfig로 현재 호스트의 아이피 대역을 확인

192.0.0.0~으로 시작하는 주소는 C클래스인 것을 확인한다. 

2. netdiscover 명령어로 현재 아이피 대역에 있는 호스트들을 검색

-r 옵션으로 검색 범위를 설정한다. 내 네트워크가 C 클래스에 속하고 있으니 주소 뒤에 /24를 추가한다. 
만약 아이피 범위를 입력하지 않으면 프로그램이 주소를 하나하나를 증가하면서 스캔을 하므로 시간이 오래 소요되고 발견될 가능성이 높아진다. 
 
 
3. 실시간 스캔 모니터링
명령어가 실행되고 나서 두 호스트 간 통신이 있을 경우엔 리스트가 실시간으로 반영이 된다. 

처음 실행 후에 호스트가 새로 발견되지 않은 상태이다.
 
만약 다른 호스트가 ping 명령어로 칼리 리눅스에게 통신을 할 경우에는

목록에서 ping을 보낸 호스트가 새로 감지되었다. 

 

액티브 모드와 패시브 모드의 차이

액티브 모드(능동적 모드) : netdiscover 명령어를 실행하게 되면 바로 ARP Requests를 요청하게 되면서 요청 응답을 받은 호스트들이 자신의 아이피 주소를 응답하게 된다. 
 
패시브 모드(수동적 모드) : netdiscover 명령어를 실행하게 돼도 ARP Requests를 보내지 않고 지나가는 패킷의 흐름을 감청하기만 한다. 만약 A 호스트가 B 호스트의 아이피 주소를 모를 경우에 마찬가지로 ARP Requests를 브로드캐스팅 방식으로 보내고 B 호스트가 그에 응답을 하는데 공격자는 이런 정보들을 캡처한다. 
 
 

패시브 모드 사용

 

-p 옵션을 넘겨서 패시브 모드를 실행한다. (아이피 범위를 입력하지 않아도 된다.)
 

확실히 액티브 모드와 달리 수집되는 정보가 아예 없거나 적어졌다. 

이때 다른 호스트가 통신을 요청하게 될 경우에 통신과정에 생기는 ARP 패킷을 수집해 새로운 호스트들을 찾아낸 것을 확인할 수 있었다. 
 
 
 
 
 
https://www.kali.org/tools/netdiscover/

netdiscover | Kali Linux Tools