Conoscete i vostri vicini di rete?

Come amministratore di sistema per un sistema VOS, di solito non ci si può preoccupare di ciò che gli altri host sono nella sottorete locale. Vi preoccupate dei gateway che sono configurati e naturalmente di tutti gli host locali che comunicano con il vostro sistema, ma gli altri host sono al di sotto del vostro radar. Ci sono, comunque, 2 ottime ragioni per sapere chi sono i vostri vicini di rete. In primo luogo, in caso di problemi di comunicazione, potete usare questi altri host per testare la vostra connessione di rete. In secondo luogo, questi sono gli host che più probabilmente sono la fonte di qualsiasi tipo di attacco basato sulla rete.

Non è una cattiva idea scansionare la subnet locale ogni tanto (diciamo ogni mercoledì mattina) solo per vedere chi c'è là fuori. VOS non ha uno scanner integrato - ma ha il comando ping, che quando è circondato da poche righe di una macro di comando può essere trasformato in uno scanner.

Ci sono 3 problemi con l'uso di ping per la ricerca di host. Primo, non è molto efficiente. Il time out predefinito è di 15 secondi e il comando proverà 4 volte, quindi ci vorrà un minuto per scansionare un host che non c'è o che non risponde ai ping. Per fortuna, il numero di tentativi può essere ridotto a 1 e il timeout ridotto a 1 secondo. Questo non è ancora efficiente dal punto di vista di uno strumento di scansione dedicato, ma penso che sia abbastanza buono per le nostre esigenze.

Il secondo problema è che non tutti i padroni di casa risponderanno ai ping. Questo, tuttavia, non è un problema significativo perché con una sola riga in più la nostra macro di comando riporterà quali host hanno inviato una risposta ARP. Gli ARP vengono utilizzati per mappare un indirizzo IP in un indirizzo MAC Ethernet e VOS deve conoscere l'indirizzo MAC Ethernet prima di poter inviare il ping. Pertanto invia una richiesta ARP all'host di destinazione e posiziona i dati della risposta nella cache ARP. Tutti gli host risponderanno alla richiesta ARP con una risposta ARP anche se non risponderanno alla successiva richiesta di ping. Il comando arp visualizzerà la voce richiesta, se presente.

La macro di comando di cui sopra ha le richieste di ping e le risposte intermixate con i dati ARP, non è molto leggibile. La macro seguente produce una bella tabella di vicini in un file chiamato arp_scan.(date).out. Essa assume una rete di classe C, cioè i primi 3 ottetti sono fissi e scansiona per gli host da 1 a 254. Suggerisco di eseguirlo come processo avviato.

Il timeout della cache ARP è di 10 minuti, Se c'è una voce con un tempo inferiore a 10 minuti si saprà che il modulo stava già comunicando con quell'host prima che la scansione fosse fatta.

Il terzo problema è il reclamo che potreste ricevere dal vostro amministratore di rete per la scansione attiva della rete. Se si oppongono a questa attività, è possibile effettuare una scansione passiva utilizzando il comando packet monitor per catturare i pacchetti di trasmissione.

L'utilizzo di questa tecnica si affida agli altri host della rete che comunicano e inviano attivamente le trasmissioni mentre il packet_monitor è in funzione. Se si usa questa tecnica si dovrà lasciare funzionare packet_monitor per un bel po' di tempo, quanto tempo dipenderà dalla rete. Suggerisco di mettere il comando di cui sopra in una macro di comando (packet_monitor_scan.cm) ed eseguirlo come processo avviato. Non dimenticate di eseguire il processo come privilegiato.

Una volta che si dispone di una traccia, è necessario convertirla in una tabella di indirizzi utilizzabili. La macro seguente lo farà (presuppone che packet_monitor_scan sia un processo avviato che genera un file process_packet_monitor_scan.out).

che produrrà la seguente tabella.