Conosci i tuoi vicini di rete?

In qualità di amministratore di sistema di un sistema VOS, in genere non ti interessa affatto sapere quali altri host si trovino sulla sottorete locale. Ti interessano i gateway configurati e, ovviamente, gli host locali che comunicano con il tuo sistema, ma gli altri host non rientrano nelle tue priorità. Ci sono, tuttavia, due ottimi motivi per sapere chi sono i tuoi vicini di rete. In primo luogo, in caso di problemi di comunicazione, puoi utilizzare questi altri host per testare la tua connessione di rete. In secondo luogo, questi sono gli host che con maggiore probabilità potrebbero essere la fonte di qualsiasi tipo di attacco basato sulla rete.

Non è una cattiva idea eseguire una scansione della sottorete locale ogni tanto (ad esempio ogni mercoledì mattina) solo per vedere chi c'è in giro. VOS non dispone di uno scanner integrato, ma ha il comando ping, che, se inserito in alcune righe di una macro di comando, può essere trasformato in uno scanner.

L'uso del comando ping per la scansione degli host presenta tre problemi. Innanzitutto, non è molto efficiente. Il timeout predefinito è di 15 secondi e il comando effettua 4 tentativi, quindi ci vorrà un minuto per eseguire la scansione di un host che non esiste o che non risponde ai ping. Fortunatamente, il numero di tentativi può essere ridotto a 1 e il timeout a 1 secondo. Questo non è ancora efficiente dal punto di vista di uno strumento di scansione dedicato, ma penso che sia sufficiente per le nostre esigenze.

Il secondo problema è che non tutti gli host rispondono ai ping. Tuttavia, questo non rappresenta un problema rilevante perché, con l’aggiunta di una sola riga, la nostra macro di comando segnalerà quali host hanno inviato una risposta ARP. Gli ARP vengono utilizzati per mappare un indirizzo IP in un indirizzo MAC Ethernet e VOS deve conoscere l'indirizzo MAC Ethernet prima di poter inviare il ping. Invia quindi una richiesta ARP all'host di destinazione e inserisce i dati della risposta nella cache ARP. Tutti gli host risponderanno alla richiesta ARP con una risposta ARP anche se non risponderanno alla successiva richiesta ping. Il comando arp visualizzerà la voce richiesta, se presente.

La macro di comando sopra riportata presenta le richieste e le risposte di ping mescolate ai dati ARP, il che la rende poco leggibile. La macro seguente genera una tabella chiara dei vicini in un file denominato arp_scan.(data).out. Si basa su una rete di classe C, ovvero i primi 3 ottetti sono fissi, ed esegue la scansione degli host da 1 a 254. Ti consiglio di eseguirla come processo in background.

Il timeout della cache ARP è di 10 minuti; se è presente una voce con un tempo inferiore a 10 minuti, significa che il modulo stava già comunicando con quell'host prima che venisse eseguita la scansione.

Il terzo problema è la possibile lamentela da parte dell'amministratore di rete per aver eseguito una scansione attiva della rete. Se l'amministratore si oppone a questa attività, è possibile eseguire una scansione passiva utilizzando il comando di monitoraggio dei pacchetti per acquisire i pacchetti di broadcast.

L'utilizzo di questa tecnica presuppone che gli altri host della rete comunichino attivamente e inviano messaggi di broadcast mentre packet_monitor è in esecuzione. Se si utilizza questa tecnica, sarà necessario lasciare packet_monitor in esecuzione per un bel po' di tempo; la durata dipenderà dalla propria rete. Suggerisco di inserire il comando sopra riportato in una macro di comando (packet_monitor_scan.cm) ed eseguirlo come processo avviato. Non dimenticare di eseguire il processo con privilegi.

Una volta ottenuta una traccia, sarà necessario convertirla in una tabella di indirizzi utilizzabile. La macro seguente svolge questa operazione (si presuppone che il processo packet_monitor_scan sia stato avviato e abbia generato un file process_packet_monitor_scan.out).

il che produrrà la tabella seguente.