ネットワーク内にどのくらいのデバイスがあるか見てみよう!(実用編)

      2015/11/04




arp-scan-eyecon

カフェでくつろいでネットしたいな〜って思う方は沢山いると思います。そんなくつろぎをゲットする前にカフェのWiFiが安全なのか簡単にチェックできますよ!

前回は導入編を紹介(←クリックして記事に移動)

今回は実用してみます。

ターミナルを開いたら

以下コマンド

sudo arp-scan -l --interface eth0

ネットワークインターフェイスを記します。もしWiFiを使っている場合は例としてeth0ではなくwlan0になります。

どのネットワークインターフェイスを使うかifconfigで確認できます。

 

コマンドの出力結果

インターフェイス名が表示された後, 左からネットワーク内のIPアドレス,MACアドレス,メーカー名が表示されます。メーカー名はMACアドレスから情報を得ています。

私のUbuntu12.04LTS環境ではメーカー名がUnknownとなってしまいました。

画像ではMACアドレスを伏せています。

arp-scan-ubuntu

 

Arch Linuxの場合

Archでやってみるとメーカー名も出ました。Rasberry Pi Foundationはラズベリーパイです。Appleが2つ表示されていますがAppleTVとiPad, CADMUS Computer systtemsはVirtualBox上の仮想マシンです。

Ubuntu12.04LTSにてメーカー名が出ない理由はarp-scanのバージョンの違いによるものです。Archではバージョン1.9,Ubuntu12.04LTSでは1.8.1を使用しました。

arp-scan-arch

ちょっとセキュリティーの話し

カフェやあらゆる場所のWiFiにつなげた時、そのネットワークがisolation(隔離)を施しているかarp-scanコマンドを使うことで確認できます。

isolation機能を使っていない場合arp-scanコマンドの結果に複数のデバイスIPアドレスが表示されます。この状態で平文(Non HTTPS)の通信はMITM(Man in the Middle Attack)の危険性にさらされます。

また他のデバイスが検出可能ということは悪意のあるものがユーザーに対してNmap Scanやその他各種攻撃が可能となります。

 

ファイヤウォール設定を施すことで最低限セキュアになりますがMITMに対してファイヤウォールはなんの役目も果たしません。

多くの商用セキュリティーソフトもウィルス・スパイウェアからの保護はされるもののMITMを検知するものは別途用意する必要があるためウィルス対策が施されていると言って安心できないのも事実です。

 

uptownespresso-with-my-x220

uptown espressoでの一枚

Amazonで働く私の恩師の話を紹介。

シアトルはとても沢山のカフェがあります。どのカフェもWiFiがありユーザー登録なしで利用できる(2011年当時)場所ばかりです。そんなカフェのWiFiにつなぐ際,ある人物はノートパソコンがWiFiに接続された時MACアドレス,ホストネームをランダムに変えるスクリプトを用いていた。という話がありました。この話しが示すものは可能性としてその人物が攻撃者である。または最大限の注意を払っている防衛者である。じつはこの手法を実行しているということはどちらでもある可能性があります。

以上arp-scanコマンドの紹介でした。




 - Linuxの取り説 , , , , ,