网络安全分析：介绍一些网络安全工作中常用的三层发现工具

网络安全分析：介绍一些网络安全工作中常用的三层发现工具本机往目标机器发的type 8实例1：向目标ip发送两包数据 ping 1.1.1.1 -c 2 实例2：路由追踪，可以发现从本机到目标机器具体经过了哪些路由 ping -R 1.1.1.1 相当于：traceroute 1.1.1.1 实例3： ping 1.1.1.1 -c 1 | grep 'bytes from' | cut -d ' ' -f 4 | cut -d ':' -f 1抓包看一下实例1：还是先看使用帮助文档：再来看实际使用：ping -h

这里主要分享介绍一些网络安全中的三层发现工具，第三层网络扫描基于TCP/IP、ICMP协议，这类工具有这样两个优点：

• 可路由
• 速度比较快

但是也存在比较明显的缺点：

• 速度比二层发现工具慢
• 经常被边界防火墙过滤掉

所有扫描发现技术，都会有相应的对抗办法，所以无论是来自二层的网络扫描还是来自三层的网络扫描，可能会存在误报和漏报的情况，所以不能绝对去不加以论证的方式去单纯相信扫描结果，但可以将扫描后的结果当作重要的参考。

ping

如果是计算机从业者，对于ping命令应该都不陌生，这个命令使用了ICMP两种类型的数据包，其中ICMP的TYPE类型字段一共有0-15个定义，每种类型都代表了不同的数据包类型，而PING命令则是使用了TYPE为8的类型的数据包，而接收到PING包的机器如果没有防火墙规则限制那么返回的则是ICMP的TYPE为0类型的数据包。

还是先看使用帮助文档：

再来看实际使用：

ping -h

实例1：向目标ip发送两包数据 ping 1.1.1.1 -c 2 实例2：路由追踪，可以发现从本机到目标机器具体经过了哪些路由 ping -R 1.1.1.1 相当于：traceroute 1.1.1.1 实例3： ping 1.1.1.1 -c 1 | grep 'bytes from' | cut -d ' ' -f 4 | cut -d ':' -f 1

抓包看一下实例1：

本机往目标机器发的type 8

目标机器给本机回复的type 0

ping的-R参数不一定每次都好用，有时候会受当前网络状态的影响，这里直接用traceroute来看一下路由追踪的结果：

traceroute www.baidu.com

第一个路由是从我的网段出去，到后面一些显示为*号的，就表示这些设备设置了不响应icmp数据包。

路由追踪主要是通过数据包中的time to live值来实现的，每经过一个路由，这个值就会减一，当这个值减完的时候，走到的机器就会返回一个数据包过来。所以当time to live是1的时候，在到达第一个路由的时候，就会返回信息，本机就知道了第一个路由的ip：

time to live

虽然ping -R和traceroute都可以用来路由追踪，但是最终得到的结果会不一样。因为两个工具追踪到的路由地址是一个机器的两个网口，一个是内网口，一个是外网口。不做过多展开，只要遇到的时候别疑惑就行。

实际使用中只是为了获取有效ip地址，可以通过一些管道命令进行连接，让输出的结果只剩一个ip：

实例3

如果ip地址无效，上面这个长命令会返回一个空。

通过两者的比较，我们可以写一个shell脚本，用于找出某些ip地址段的所有有效ip：

#!/bin/bash if [ "$#" -ne 1 ] ;then echo 'Usage ./pinger.sh [/24 network address]' echo 'Example ./pinger.sh 196.18.34.0' echo 'Example will perform an ICMP ping sweep of the 196.18.34.0/24 network' exit fi prefix=$(echo $1 | cut -d '.' -f 1-3) for addr in $(seq 1 254);do ping -c 1 $prefix.$addr | grep 'bytes from' | cut -d ' ' -f 4 | cut -d ':' -f 1 & done

脚本执行前不要忘记赋予权限

scapy

在介绍二层发现的时候就介绍过用scapy做二层发现，在这里我们也可以用它来做三层发现。

首先要构造一个ping对象，ping对象由IP()和ICMP()组合而成：

构造ping对象

然后要将目标地址赋值给ping对象：

赋值目标地址

源地址src自动侦测获取了本机网卡的地址。

发送ping包

这个结果和使用ping命令是一致的，感兴趣可以抓包比较一下。

前面那些构造的步骤其实可以在一行代码里完成：

一行完成ping包发送

前面也说过sr1()方法如果没有收到回复，会一直重复发送请求，为了节约时间，我们都会传一个timeout：

sr1方法传一个timeout

根据前面的讲解，可以写一个使用scapy的扫描脚本：

#!/usr/bin/python import logging import subprocess logging.getLogger('scapy.runtime').setLevel(logging.ERROR) from scapy.all import * if len(sys.argv) != 2: print('Usage ./scayp_ping_script.py [/24 network address]') print('Example ./scayp_ping_script.py 172.18.14.0') print('Example will perform an ICMP scan of the 172.18.14.0/24 range') sys.exit() address = str(sys.argv[1]) ip_num_list = address.split('.') prefix = ip_num_list[0] '.' ip_num_list[1] '.' ip_num_list[2] '.' for addr in range(1 254): a = sr1(IP(dst=prefix str(addr))/ICMP() timeout=0.1 verbose=0) if a == None; pass else: print(prefix str(addr))

执行方式和shell差不多，当然也可以直接作为python脚本，通过python命令进行执行。

如果已经有一个ip文件，需要验证文件中的ip哪些是还活着的，可以改一下addr的赋值：

... ... filename = str(sys.argv[1]) file = open(filename 'r') for addr in file: a = sr1(IP(dst=addr.strip())/ICMP() timeout=0.1 verbose=0) if a == None; pass else: print(prefix str(addr))nmap

用nmap做三层扫描，其实传参是一样的，都是传一个-sn，nmap如果扫描同网段的ip地址，就会发arp包，如果是不同网段的ip地址，就会发icmp包：

nmap x.x.x.x -sn

数据包截图

从wireshark的截图中可以看出来，nmap没有严格意义上的参数指定只发送icmp数据包。

fping

用法和ping基本一致，还是先看一下帮助说明：

fping -h

和ping不同之处是响应结果有所不同：

fping x.x.x.x -c 1

fping还支持传地址段进行扫描：

ping -g 起始ip 结束ip -c 1

fping -g x.x.x.x/24 -c 1

可以通过管道符|只显示有效的ip。

fping也可以从文档中取ip，对于文档中的ip进行有效性验证，通过传参-f。

hping

hping能够发送几乎任意TCP/IP包，功能强大但是每次只能扫描一个目标。

由于现在hping版本已经是第3版了，所以命令要输hping3，还是先看一下帮助说明：

hping3 -h

用hping3做三层发现：

hping3 x.x.x.x --icmp -c 1

可以通过一行shell代码扫描一个网段：

for addr in $(seq 1 254); do hping3 36.152.44.$addr --icmp -c 1 >> handle.txt & done

执行结果都会存入handle.txt：

shell代码执行hping的结果

然后再根据有效ip和无效ip返回的不同做一些区分。