搜集网段MAC地址的shell程序?[期待中]

yongjian

我想可以这样试试: 写一个短小的历遍目标网段的script,比如说用ping来轮训目标网段,然后tcpdump它的包.如果目标网段不阻止icmp包的话,tcpdump应该可以扑获到所有子机的ack包,这样就可得到目标网段的子机MAC地址了.
命令: tcpdump -tttt -vvvxX -nnef -p -i eth0 icmp
如果你是网管,可以试试.

Snoopy

nmap -sP 网段,,别网段就不清楚
arp -a就看出来,你们用shell一下子就解决了,对吧

home_king

arp -a只是列出本机上的静态路由缓存而已。
至于nmap -sP大可用ping来替代。

还是tcpdump最好。

Snoopy

最初由 home_king 发表
运行tcpdump命令，再从其输出中使用awk工具过滤出irq信息即可。兄弟试试看。我没有写过这样的脚本，但手工尝试过。

请问你运行tcpdump时加什么参数 ?

如果你不是服务器呢 ? nmap -sP好用点,但不=ping

有些windows用天网,禁止icmp,ping不到,但nmap可以,但有时也不可以,也不知道原因

home_king

最初由 pinksnoopy 发表
请问你运行tcpdump时加什么参数 ?

如果你不是服务器呢 ? nmap -sP好用点,但不=ping

有些windows用天网,禁止icmp,ping不到,但nmap可以,但有时也不可以,也不知道原因

就楼主的目的而言，无需为tcpdump添加任何参数，当然添加arp选项最直接。
内网最频繁的主机通讯是arp广播，所以简单地，grep x.x.x.x即可。这与主机是否服务器无关。

nmap有很多高级参数，如半开tcp连接等，天网默认情况是不会过滤这类通讯的（windows用户的水平可见一斑）。

Snoopy

没必要将tcpdump跟nmap谈那么多吧

你可以测试一下就知道,,有些人开机什么都不干呢 ?

x11

tcpdump arp

然后分析ip和mac对应关系，呵呵

home_king

最初由 x11 发表
tcpdump arp

然后分析ip和mac对应关系，呵呵

呵呵，我早就说这种做法最好了。

就楼主的目的而言，无需为tcpdump添加任何参数，当然添加arp选项最直接。

Snoopy

出来的结果很容易被人伪装

home_king

最初由 pinksnoopy 发表
出来的结果很容易被人伪装

这是意料中事～～～～
现代的大多数局域网的交换机都是捆绑端口的，不需要arp协议，所以我们所说的一切对这种情况都不生效。

具体情况具体分析咯，不过再分析下去就是hacker领域了，呵呵～～～