Herramientas de monitorización ARP ARPING

Si estamos de administradores en una red relativamente grande o en una red vulnerable ataques, tenemos que tener en cuenta estas herramientas gratuitas de Linux, simplemente con una máquina virtual instalada y montada en un vmware, puede estar todo corriendo sobre una plataforma Windows, es decir una máquina virtual creada en vmware e instalado sobre un windows 7, por poner un ejemplo, auque lo ideal sería tener uno o varios linux corriendo en máquinas distintas en nuestra red.

Una herramienta sencilla es Arping
Es la más popular para buscar direcciones ARP duplicadas.
Su funcionalidad es muy parecida a la de un ping solo que se realiza sobre capa 2, preguntando a la MAC.

Por ejemplo desde modo superusuario:
#su root
root@carafasiax:/home/miguel# arping -I eth0 -c 3 192.168.1.1
ARPING 192.168.1.1
60 bytes from 64:68:0c:4c:28:a5 (192.168.1.1): index=0 time=338.078 usec
60 bytes from 64:68:0c:4c:28:a5 (192.168.1.1): index=1 time=334.024 usec
60 bytes from 64:68:0c:4c:28:a5 (192.168.1.1): index=2 time=352.144 usec

— 192.168.1.1 statistics —
3 packets transmitted, 3 packets received, 0% unanswered (0 extra)

Acabo de lanzar tres consultas a la ip del router ya que ahora mismo no tengo más activas en la red y me resuelve perfectamente (OJO) por MAC no por IP.
La “I” (no es una L es una i mayúscula) significa interface por eso luego le pasamos el interface de salida para la consulta, en mi caso es la tarjeta de red cableada 0, eth0.
-c 3 significa que pare al llevar 3 consultas arp.

Para buscar MAC duplicadas para una Ip en concreto lo podemos hacer de la siguiente manera:

root@carafasiax:/home/miguel# arping -D -I eth0 -c 2 192.168.1.1
!! 0% packet loss

La “D” activa el modo de detección de MAC duplicadas

Tambien puedo hacer un ARP(PING) a una máquina en concreto por su nombre:
arping -f servidor1
ARPING 192.168.1.22 from 192.168.10.13 eth0
Unicast reply from 192.168.1.254 [00:15:28:4B:EA:20]
Sent 1 probes (1 broadcast(s))
Received 1 response(s)

Otro ejemplo, ahora tenemos dos equipos con la misma ip:
# arping -b 192.168.1.1 -c 3
ARPING 192.168.1.1 from 192.168.1.22 eth0
Unicast reply from 192.168.1.1 [64:68:0c:4c:28:a5]  0.720ms
Unicast reply from 192.168.1.1 [00:15:5D:78:47:10]  0.916ms
Unicast reply from 192.168.1.1 [64:68:0c:4c:28:a5]  0.679ms
Unicast reply from 192.168.1.1 [00:15:5D:78:47:10]  0.963ms
Unicast reply from 192.168.1.1 [64:68:0c:4c:28:a5]  0.745ms
Unicast reply from 192.168.1.1 [00:15:5D:78:47:10]  1.059ms
Sent 3 probes (3 broadcast(s))
Received 6 response(s)

Y por último hacer una consulta a una MAC viene muy bien en caso de las wifi, donde algun programa nos puede mostrar la mac de conexión pero no sabemos la IP del router que pone el SSID:
#arping -I eth0  00:26:55:2e:95:EE
 
ARPING 00:26:55:2e:95:EE
98 bytes from 192.168.0.1 (00:26:55:2e:95:EE): icmp_seq=2738 time=771.392 msec
98 bytes from 192.168.0.1 (00:26:55:2e:95:EE): icmp_seq=2740 time=770.830 msec

Publicado el diciembre 12, 2011 en Linux y etiquetado en . Guarda el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: