我想扫描 LAN 上已开机的计算机并收集相关日志。我试过nmap了,但效果不是很好(很多开机的电脑都没有被检测到)。
nmap -sP 192.168.2.0/24
Nmap done: 256 IP addresses (10 hosts up) scanned in 6.07 seconds
我还考虑过查看 IP 的网络 TCP 数据包,但我不知道有任何工具可以做到这一点。
在这个网络上,所有的计算机都有关联的静态IP,因此一个IP标识一台计算机。这些 PC 具有不同的操作系统(Windows 7、Ubuntu 10.04、Ubuntu 12.04 等)。
我最好的机会是什么?
您是否尝试过 nmap 的其他扫描选项?ping 选项可能并不总是有效,但其他扫描选项可能更可靠?尝试,
nmap -PS 192.168.2.0/24(TCP SYN ping)或者
nmap -PR 192.168.2.0/24(ARP 扫描)尝试使用Look@LAN扫描已开机的计算机。
Look@LAN有替代品,其中一些甚至是免费的或免费且开源的。
我个人可以推荐Angry IP Scanner,它是开源和多平台的,或者是为 Windows 平台而不是开源但免费的Advanced IP Scanner 。
ping -b 广播 IP 然后 arp -a
似乎问题出在探测速率(每秒数据包太多?)。使用该参数
--max-rate使其性能更好。它需要很长时间才能运行,但至少它有效。ARP 扫描 (-PR) 是 LAN 中的默认设置。此外,您还可以使用高级 ping 选项,例如
nmap -PS21-23,80,135,139,443,445 target或者扫描 1000 个最常见的端口(甚至所有端口 -p-)而不执行 ping
nmap -Pn -p- target,这会稍微慢一些。arpwatch 可以非常方便地获得对正在发生的事情的第一印象;查看详细信息的万能工具是 wireshark(与配置了监控端口或类似网络分路器的交换机结合使用效果更好)。顺便说一句,因为您似乎对此类技术不熟悉:在两种情况下,在专业环境中使用此类工具是可以接受的:a)您是开发人员并且仅分析与您的被测应用程序有关的流量,b)您是负责人之一用于网络/基础设施/服务器和/或已被这些人要求或允许这样做。其他任何事情通常都会被同一个人视为可疑或敌对活动,并可能导致需要做一些解释。