hosteons中文网

ARP 协议是根据目标主机的 IP 地址获取对应的 MAC 地址。如果目标主机存在，将返回 MAC 地址。利用这一点，用户可以基于 ARP 协议对目标主机进行扫描，来判断目标主机是否启用。

扫描单一主机

如果用户想判断一个主机是否启用，可以使用 netwox 工具中编号为 55 的模块对目标主机进行 ARP 协议扫描。

【示例】判断主机 192.168.59.135 是否启用。

1) 查看 netwox 所在主机的 IP 地址，执行命令如下：

root@daxueba:~# ifconfig

输出信息如下：

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
    inet 192.168.59.132  netmask 255.255.255.0  broadcast 192.168.59.255
    inet6 fd15:4ba5:5a2b:1008:20c:29ff:feaa:e027  prefixlen 64  scopeid
    0x0<global>
    inet6 fd15:4ba5:5a2b:1008:b95e:f970:dff4:789  prefixlen 64  scopeid
    0x0<global>
    inet6 fe80::20c:29ff:feaa:e027  prefixlen 64  scopeid 0x20<link>
    ether 00:0c:29:aa:e0:27  txqueuelen 1000  (Ethernet)
    RX packets 28796  bytes 21695251 (20.6 MiB)
    RX errors 0  dropped 0  overruns 0  frame 0
    TX packets 7210  bytes 552808 (539.8 KiB)
    TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

从输出信息可以了解到，netwox 所在主机的 IP 地址为 192.168.59.132，MAC 地址为 00：0c：29：aa：e0：27。

2) 验证目标主机是否启用，执行命令如下：

root@daxueba:~# netwox 55 -i 192.168.59.135

输出信息如下：

Ok
Ok
Ok
Ok
Ok
Ok
…  #省略其他信息

输出信息在持续地显示 OK，表示持续不断地向目标主机进行了扫描。其中，OK 代表目标主机已启用。如果目标主机未启用将不会有任何输出信息。

3) 为了验证 ARP 协议扫描，可以通过 Wireshark 进行抓包，如图所示。