NetDiscover : Scan furtif de réseau par ARP

Fonctionnement du protocole ARP :

ARP est un protocole très simple à comprendre :

Pour pouvoir communiquer sur un réseau Ethernet/IP, les hôtes ont nécessairement besoin de connaître :

  • L’adresse Mac (adresse physique) : Adresse unique de l’équipement. Inutilisable en dehors du réseau local (ne passe pas les routeurs).
  • L’adresse IP (adresse logique) : Adresse modifiable. Indique l’appartenance à un réseau. Passe les routeurs.

Quand une machine veut communiquer avec une autre, elle connaît son IP ou son nom mais elle ne connaît pas son adresse Mac.

ARP permet de résoudre l’adresse Mac d’une adresse IP connue.

  1. La machine envoie en broadcast ce message : « quelle est l’adresse Mac de cette IP ? »
  2. La machine concernée répond en unicast : « mon adresse Mac est xx:xx:xx:xx:xx:xx »
  3. L’adresse IP <-> Adresse Mac est alors mise en mémoire pendant quelques minutes

 

Netdiscover :

Netdiscover est un scanner réseau ARP. Par définition, un scanner ARP est bien plus discret qu’un scanner IP ou TCP.

Il fonctionne en deux modes :

  • Scanner actif (par défaut) : Netdiscover génère des requêtes ARP successives aux hôtes du réseau et récupère l’adresse Mac et l’adresse IP.
  • Scanner passif : Écoute les requêtes / réponses ARP sur le réseau (ce mode est invisible sur le réseau). Vous ne verrez que les hôtes qui ont généré du broadcast.

 

Utilisation :

apt-get install netdiscover

En mode actif :

netdiscover -r 192.168.0.0/24

En mode passif :

netdiscover -r 192.168.0.0/24 -p

 

Sur le même sujet :