A solução que quero resolver é descobrir o ip recém-conectado (e, de preferência, o mac e o fornecedor) na rede local.
Até agora eu tentei arp-scan e nmap.
Eu gosto de arp-scan principalmente porque é rápido e muito fácil criar saída de um script bash para um arquivo.
No entanto, não parece descobrir mais do que um dos computadores conectados, onde existe, na verdade, 3. o nmap faz um trabalho melhor, mas é mais complexo criar a saída desejada e é mais lento.
Isso é executado em um script bash (em um loop):
sudo arp-scan --interface=wlan0 --localnet | sed '1, 2d' | head -n -3 > ipDump.lst
Os canais são apenas para formatação e para impressão em um arquivo (ipDump.lst).
Estou bastante preso em apenas descobrir um computador.
Minhas perguntas:
O que estou fazendo errado com o arp-scan?
Existe algum outro programa que atenda melhor às minhas necessidades?
A minha melhor solução é o nmap e, em caso afirmativo: como devo configurá-lo para ser rápido (não preciso de informações de porta ou de qualquer outra informação) e criar resultados que possam ser produzidos como endereços IP em cada linha para um arquivo ?
Existe um daemon arpwatch que faz isso muito bem. Pode ser configurado para fornecer uma variedade de notificações. Normalmente, estes seriam entregues por email ao administrador relevante.
Você pode querer desativar as notificações, nas primeiras horas ou dias (dependendo da rede) enquanto o banco de dados arpwatch é construído.
É possível identificar sistemas que desapareceram do arquivo de estado do arpwatch. Uma das colunas contém a última vez que o dispositivo foi visto.
Se o seu objetivo é ter um programa e esperar que novos computadores cheguem, ouvir o tráfego ARP é o caminho a percorrer.
Quando um computador inicializa, deve enviar uma transmissão "ARP Who Has" que você deve receber no seu computador, pois o anúncio "quem tem" é transmitido para todos os computadores desse segmento de Ethernet.
Você pode configurar o tcpdump (ou outros aplicativos) para apenas descarregar essas solicitações arp para um arquivo e, em seguida, ler o arquivo quando desejar (formato pcap). Para obter somente pacotes ARP relevantes, você precisaria definir o filtro corretamente para o tipo de pacote que está procurando. Se você precisar do IP associado ao endereço MAC que foi transmitido, precisará gerar sua própria solicitação ARP.
Tags networking bash ip nmap arp