前两篇介绍了利用python编写一些脚本实现二层主机的发现,这一篇介绍一下三层主机的发现。
一般来说,三层主机的发现主要是通过ICMP协议来实现的。其中ICMP协议中的ping命令可以探测对面主机是否存活,有点也很显而易见了,就是相比二层发现,三层主机发现可以实现跨网段探测扫描。但是,ping命令的探测是不准确的,因为ping命令是可以被防火墙直接过滤掉。
如果ping命令可达,我们不仅可以基本判断对方主机在线,也可以通过ping命令中的回显请求TTL值来推断对方的主机和我们机器之间的路由距离。如果计算机没有被进行过修改TTL值的设置的话,通过TTL值还可以推测对方主机的操作系统。
一般来说,windows系统的TTL初始值为128,Linux系统的TTL初始值为64,ping命令每经过一个路由设备,TTL值就会减少1,通过返回的TTL值我们基本就能判断对方主机的操作系统了。同样的,由于TTL初始值也是可以被修改的,所以通过TTL来判断对方的操作系统也不是很可靠。
简单说一下禁ping的方法,windows机器就不多赘述了,很简单,进入防火墙ICMPv4相关的设置即可。在Linux防火墙中,有两条相关设置。允许机器被ping:iptables -A INPUT -p icmp -j ACCEPT 。禁止机器被ping:iptables -A INPUT -p icmp -j DROP
最后简单再提一点,在linux中出了ping之外,还有一个增强型的ping————fping。fping命令集成了很多ping命令没有的功能,其中fping在探测母端主机时,如果目标主机可达,那么它在接收到一个应答之后,就立刻停止发送请求了。如果目标主机暂时不可达,那fping尝试连接4次,最后断开。fping的最大优点就是可以扫描一个指定的网段。例如:fping -g | 192.168.1.0/24,加上-g参数即可。
最后附上python扫描三层的脚本,利用原理就是祥目标机器发ICMP报文。
import logging
logging.getLogger("scapy.runtime").setLevel(logging.ERROR)
from scapy.all import *
if len(sys.argv) != 2:
print "Usage - ./pinger.py [filename]"
print "Example - ./pringer.py iplist.txt"
print "Example will perform an ICMP ping scan of the IP addresses listed in iplist.txt"
sys.exit()
filename = str(sys.argv[1])
file = open(filename,'r')
for addr in file:
ans = sr1(IP(dst=addr.strip())/ICMP(),timeout=1,verbose=0)
if ans == None:
pass
else:
print addr.strip()