三层发现
二层发现使用的技术是arp协议。
三层使用的是IP、ICMP协议。
ICMP协议:internet控制管理协议,用来做网络的控制管理使用的。主要的作用是进行一些路径的发现、主机网络通断的侦测。
三层协议优点:
- 可路由
- 速度比较快。
缺点: - 速度比二层慢
- 经常被边界防火墙过滤。发数据包,但是目标机器没有给我相应,我的扫描软件就会判断目标机器是不在线的状态,就会出现错误的判断结果,这是无法回避的问题。
1.ping
ping命令使用的是ICMP的其中两种类型的数据包。
ICMP协议会根据ICMP包头的type字段,一共有0-15个定义,每种定义都表示一种不同的包的类型,他的用途也不一样。
我们在发送ping包的时候,我们发送ping包的机器发出的就是ICMP的type8,即第8号类型的数据包,而接收到ping包的机器,如果他没有防火墙过滤,可以正常的ping包的返回相应,他返回的其实是ICMP的type0,0号类型的ICMP数据包。
windows发送ping包默认发送4个,Linux会不停止的发送ping包。
ping命令
ping 1.1.1.1 -c 5 #ping 1.1.1.1,发送5个ping包
#-c:ping包的个数
ping -R ip #和traceroute命令作用类似
ping 1.1.1.1 -c 1 |grep "fytes from" |cut -d " " -f 4 |cut -d ":" -f 1 #只获取到最后返回的ip结果
本机发送的ping包,数据包头中type=8:
收到的响应的ping包,数据包头中type=0
2.traceroute
traceroute #追踪路由
补充:
ip包头里的ttl值,不同操作系统的ttl不同,可以通过抓包看到。
linux或unix系统默认ttl值是64,每经过一跳路由器会减1,经过多少跳,最终会减掉多少把这个包到达目标服务器。
traceroute和ping不同的是,traceroute会先设定自己的ttl值是1,当把这个包发送到第一跳路由器,路由器会减1变成0,这一跳路由器看到包的ttl值已经变成0,就会直接回一个包,并且会提示ttl值已经到头了“time to exceeded in transit”,通过ttl值方式来实现每一跳路由器的追踪。
2.scapy
先定义IP包头,再定义ICMP包头,然后再发出去
IP的上层协议类型是ICMP
sr1(IP(dst="192.168.1.1")/ICMP(), timeout=1)
3.nmap
之前讲过namp做二层扫描的时候,是发送arp包,使用“-sn”参数。namp做三层扫描,也是使用“-sn”参数
区别在于:
nmap做二层扫描,发送的是arp包。
nmap做三层扫描,发送的是icmp包。抓包分析,nmap还发送了tcp的包,tcp是四层的协议,其实nmap没有严格意义上的一个参数是只发送icmp包的。他通常会使用综合大量的多种技术对一个目标进行探测。
4.fping
fping 1.1.1.1 -c 1 #对1.1.1.1只发送10个ping包
fping -g 192.168.1.100 192.168.1.200 -c 1 #对192.168.1.100-200之间的ip进行扫描,每个ip只发送一个包
fping -g 192.168.1.0/24 #对192.168.1.0一个地址段进行扫描
fping -f iplist.txt
5.hping
几乎可以完成所有的TCP/IP协议包,类似scapy,功能强大,同时还可以对基于TCP的服务器进行压力测试,发大量的ping包,发各种各样特殊定制出来的包头内容。
hping3 192.168.1.1 --icmp -c 2
for addr in $(seq 1 254); do hping3 192.168.1.$addr --icmp -c 1 >> iplist.txt & done
824
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
