Em diversas situações o administrador bloqueia o ping em seu firewall, e se sente "seguro", mas a confiança é o seu maior erro. Vou mostrar uma alternativa de ping, que usamos quando o ping está bloqueado, nesse caso como podemos saber se um host está UP ou DOWN ?
Tive esse problema hoje pela manhã e depois de horas de pesquisa achei o ARPING.
Arping é uma ferramenta similar ao Ping no quisito envio de pacotes, mas com uma diferença ao invés dele mandar pacotes ICMP ele manda pacotes ARP isso é fantastico para redes locais(LAN'S). Pois o ARP não passa por roteadores, então não poderar sair para a internet.
Digitando apenas arping no shell temos informações de usagem básicas, para
mais informações consulte arping --help ou o manual "man arping".
A sintaxe básica é :
# arping -i eth0 -c 5 192.168.0.156
Onde: -i é a sua interface de Rede;
-c é a quantidade de pacotes que serão enviados.
Seguido pelo Ip da Vitima.
Para esse exercicio usaremos tambem a ferramenta netdiscover que vai ficar
apenas escutando toda minha rede, ele vai nos dizer quantos pacotes arp são
enviados para qual ip.
Sintaxe usada nesse caso é:
# netdiscover -i eth0 -r 192.168.0.0/24 -p
Onde -i é a interface da sua rede;
-r é range de sua rede;
-p é porque ele vai rodar em modo passivo.
Se a opção -p não estivesse abilitada ele enviaria um ARP para rede com uma
frequencia determinada por você, esse não é o nosso objetivo. Queremos apenas
escutar.
Sem mais delongas:
Bloquiei o PING na minha maquina alvo com o IPTABLES:
# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
Em seguida iremos pingar o nosso alvo:
# ping 192.168.0.156
O resultado foi negativo porque existe nosso firewall Rejeitando pacotes ICMP (ping)
Usando o Fping para tentar descobrir a maquina vitima:
# fping -a -g 192.168.0.0/24 > resultado.txt
Onde: -a só mostra os hosts que estão UP;
-g é passado o Range de Rede.
> Direcionamos para um arquivo de texto.
Colocaremos o Netdescover em modo passivo e escutando a nossa rede:
Agora mandamos pacotes ARP:
# arping -i eth0 -c 5 192.168.0.156
O resultado foi diferente :D Obtivemos sucesso em Passar pelo Firewall.
De 5 pacotes conseguimos enviar todos.
Conferindo com o Netdescover:
O netdescover conseguiu enxergar os 5 ARP pacotes enviados para o nosso alvo.
Bom é isso Vimos a eficiencia do ARPING contra um firewall.
Nenhum comentário