Netdiscover

Netdiscover 是一款基于 ARP（地址解析协议） 的主动/被动网络探测工具。

## 功能

Netdiscover 的核心作用是通过 ARP 协议识别局域网内的在线设备，获取其 IP 地址与 MAC 地址的对应关系。它支持两种工作模式：

- 主动模式：主动向目标 IP 范围发送 ARP 请求，通过接收响应来探测活跃主机（速度快，但可能被网络监控设备检测）。
- 被动模式：仅监听网络中自然产生的 ARP 数据包，不主动发送请求（隐蔽性高，适合不想暴露扫描行为的场景）。

## 工作原理

ARP 协议基础：在以太网中，设备之间通信需要使用 MAC 地址，而不是 IP 地址。当一台主机（假设为 A）需要与同一局域网内的另一台主机（假设为 B，IP 为  192.168.1.10）通信时，如果 A 不知道 B 的 MAC 地址，它就会向整个局域网广播一个 ARP 请求包：“谁的 IP 地址是  192.168.1.10？请告诉 192.168.1.1（A 的 IP）”。

主动扫描：Netdiscover 扮演主机 A 的角色，但它会为指定 IP 范围内的每一个 IP 地址都发送一个这样的 ARP 请求。如果某个 IP  地址存在对应的主机，该主机就会向 Netdiscover 回复一个 ARP 应答，包含其 MAC 地址。Netdiscover  通过捕获这些应答来发现主机。

被动扫描：Netdiswork 将自己设备的网卡设置为混杂模式，监听网络上所有的 ARP 数据包。无论这些包是请求还是应答，只要它们出现在网络上，Netdiscover 就能捕获它们，并从中提取出 IP 和 MAC 地址信息，从而构建网络拓扑。

## 语法

```bash
netdiscover [-i interface] [-r range | -l file | -p] [-s time] [-n node] [-c count] [-f] [-S] [-P]
```

## 参数

| 参数             | 描述                                                         |
| ---------------- | ------------------------------------------------------------ |
| -i  \<interface> | 指定要使用的网络接口，如果不指定，工具会自动选择一个         |
| -r \<range>      | 指定要扫描的 IP 范围（主动模式）                             |
| -p               | 启用被动模式，在此模式下，-r 参数无效。                      |
| -l  \<file>      | 从文件中读取 IP 范围列表进行扫描。                           |
| -f               | 启用快速模式扫描。减少等待 ARP 回复的时间，加快扫描速度，但可能漏掉一些响应慢的主机。 |
| -s  \<time>      | 每两个 ARP 请求之间的睡眠时间（微秒）。可以用于降低扫描速度，避免触发警报。 |
| -c  \<count>     | 发送 ARP 请求的次数。默认是无限的，直到用户手动停止。        |
| -S               | 启用“超级模式”，即强制使用主动 ARP 扫描，即使在某些情况下工具认为不应该使用。 |
| -P               | 以可解析的格式输出结果。这种格式更适合用其他工具（如 grep, awk) 进行处理。 |
| -N               | 不打印头信息（与 -P 一起使用效果更好）。                     |

## 示例

> 主动扫描特定的子网

```bash
sudo netdiscover -i eth0 -r 192.168.1.0/24
```

> 被动监听

```bash
sudo netdiscover -i eth0 -p
```

> 输出结果

```bash
Currently scanning: (passive)   |   Screen View: Unique Hosts                                                                                                                                                                          
                                                                                                                                                                                                                                        
 35 Captured ARP Req/Rep packets, from 4 hosts.   Total size: 2100                                                                                                                                                                      
 _____________________________________________________________________________
   IP            At MAC Address     Count     Len  MAC Vendor / Hostname      
 -----------------------------------------------------------------------------
 192.168.186.1   00:50:56:c0:00:08     32    1920  VMware, Inc.                                                                                                                                                                         
 192.168.186.136 00:0c:29:ce:38:c2      1      60  VMware, Inc.                                                                                                                                                                         
 192.168.186.2   00:50:56:ec:88:83      1      60  VMware, Inc.                                                                                                                                                                         
 192.168.186.254 00:50:56:e6:44:83      1      60  VMware, Inc.   
```

- IP：发现的活跃主机的 IP 地址。
- At MAC Address：该 IP 地址对应的物理 MAC 地址。
- Count：在扫描过程中收到来自该主机的 ARP 回复次数（在被动模式中，是捕获到该主机的数据包数量）。
- Len：ARP 数据包的长度。
- MAC Vendor / Hostname：通过查询 MAC 地址厂商数据库得出的设备制造商信息。这对于识别设备类型（如路由器、苹果手机、戴尔电脑等）非常有价值。