Conosci i tuoi vicini di rete?

In qualità di amministratore di sistema per un sistema VOS, in genere non ti interessa quali altri host si trovano sulla sottorete locale. Ti interessano i gateway configurati e, naturalmente, tutti gli host locali che comunicano con il tuo sistema, ma gli altri host non rientrano nel tuo campo di interesse. Ci sono però due ottimi motivi per sapere chi sono i tuoi vicini di rete. Innanzitutto, in caso di problemi di comunicazione, puoi usare questi altri host per testare la tua connessione di rete. In secondo luogo, questi sono gli host che più probabilmente potrebbero essere la fonte di qualsiasi tipo di attacco basato sulla rete.

Non è una cattiva idea eseguire una scansione della sottorete locale ogni tanto (ad esempio ogni mercoledì mattina) solo per vedere chi c'è in giro. VOS non dispone di uno scanner integrato, ma ha il comando ping che, se circondato da alcune righe di una macro di comando, può essere trasformato in uno scanner.

Ci sono 3 problemi nell'uso del ping per la scansione degli host. Innanzitutto, non è molto efficiente. Il timeout predefinito è di 15 secondi e il comando effettua 4 tentativi, quindi ci vorrà un minuto per eseguire la scansione di un host che non è presente o che non risponde ai ping. Fortunatamente, il numero di tentativi può essere ridotto a 1 e il timeout a 1 secondo. Questo non è ancora efficiente dal punto di vista di uno strumento di scansione dedicato, ma penso che sia sufficiente per le nostre esigenze.

Il secondo problema è che non tutti gli host rispondono ai ping. Tuttavia, questo non è un problema significativo perché con una sola riga in più la nostra macro di comando segnalerà quali host hanno inviato una risposta ARP. Gli ARP vengono utilizzati per mappare un indirizzo IP in un indirizzo MAC Ethernet e VOS deve conoscere l'indirizzo MAC Ethernet prima di poter inviare il ping. Pertanto, invia una richiesta ARP all'host di destinazione e inserisce i dati della risposta nella cache ARP. Tutti gli host risponderanno alla richiesta ARP con una risposta ARP anche se non risponderanno alla successiva richiesta di ping. Il comando arp visualizzerà la voce richiesta, se presente.

La macro di comando sopra riportata contiene richieste e risposte ping mescolate con dati ARP, quindi non è molto leggibile. La macro seguente produce una tabella chiara dei vicini in un file denominato arp_scan.(data).out. Presuppone una rete di classe C, ovvero i primi 3 ottetti sono fissi e la scansione riguarda gli host da 1 a 254. Si consiglia di eseguirla come processo avviato.

Il timeout della cache ARP è di 10 minuti. Se è presente una voce con un tempo inferiore a 10 minuti, significa che il modulo era già in comunicazione con quell'host prima dell'esecuzione della scansione.

Il terzo problema è il reclamo che potresti ricevere dal tuo amministratore di rete per aver eseguito una scansione attiva della rete. Se si oppongono a questa attività, puoi eseguire una scansione passiva utilizzando il comando packet monitor per acquisire i pacchetti di trasmissione.

L'utilizzo di questa tecnica richiede che gli altri host della rete comunichino attivamente e inviino trasmissioni mentre packet_monitor è in esecuzione. Se si utilizza questa tecnica, sarà necessario lasciare packet_monitor in esecuzione per un po' di tempo, la cui durata dipenderà dalla rete. Si consiglia di inserire il comando sopra riportato in una macro di comando (packet_monitor_scan.cm) ed eseguirlo come processo avviato. Non dimenticare di eseguire il processo come privilegiato.

Una volta ottenuta la traccia, sarà necessario convertirla in una tabella di indirizzi utilizzabile. La seguente macro eseguirà questa operazione (presupponendo che packet_monitor_scan fosse un processo avviato che generava un file process_packet_monitor_scan.out).

che produrrà la seguente tabella.