Arp scan

arp-scan es una herramienta de escaneo de red que utiliza el protocolo ARP (Address Resolution Protocol) para identificar dispositivos conectados en una red local. A diferencia de herramientas como [[nmap]] que utilizan protocolos de capa de red o transporte (ICMP, TCP, UDP), arp-scan opera a nivel de capa de enlace de datos (capa 2 del modelo OSI), lo que le permite descubrir dispositivos incluso si tienen firewall o no responden a pings.

Desglose del Comando

arp-scan -I wlp2s0 --localnet --ignoredups

1. arp-scan: Invoca la herramienta arp-scan. Es usada principalmente para detectar dispositivos en la red local.

2. -I wlp2s0: Especifica la interfaz de red a utilizar. En este caso, wlp2s0 es el nombre de la interfaz Wi-Fi del sistema. Se debe cambiar este valor dependiendo de la interfaz de red que se quiera usar (eth0 para Ethernet, por ejemplo).

3. --localnet: Escanea todo el rango de la red local a la que está conectada la interfaz especificada. Determina automáticamente la red y la máscara de subred, también se puede poner como -l.

4. --ignoredups: Ignora las respuestas duplicadas de ARP. Esto es útil para evitar mostrar múltiples entradas para el mismo dispositivo si se reciben respuestas duplicadas, también se puede poner como -g.

Salida estándar

Interface: wlp2s0, type: EN10MB, MAC: 28:cd:c4:94:85:c5, IPv4: 192.168.43.58
Starting arp-scan 1.10.0 with 256 hosts (https://github.com/royhills/arp-scan)
192.168.43.1	20:32:6c:31:fd:db	Samsung Electronics Co.,Ltd
192.168.43.53	a8:81:95:81:9e:f4	Samsung Electronics Co.,Ltd

2 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.10.0: 256 hosts scanned in 2.029 seconds (126.17 hosts/sec). 2 responded

• Interface: wlp2s0 -> Interfaz de red que usamos.

• MAC: 28:cd:c4:94:85:c5 -> Nuestra Dirección MAC.

• IPv4: 192.168.43.58 -> Nuestra IP.

• Lista de IP encontradas con su MAC ->

192.168.43.1	20:32:6c:31:fd:db	Samsung Electronics Co.,Ltd
192.168.43.53	a8:81:95:81:9e:f4	Samsung Electronics Co.,Ltd

• 256 hosts scanned -> Total de hosts escaneados.

Opciones Comunes de arp-scan

1. -I <interfaz>: Especifica la interfaz de red a utilizar.

2. --localnet: Escanea el rango de la red local a la que está conectada la interfaz.

3. --numeric or -N: Los objetivos deben ser direcciones IP, no nombres de host.

4. -D: Calcular y mostrar el tiempo de ida y vuelta del paquete.

5. --ignoredups: Ignora respuestas duplicadas de ARP.

6. --retry-send=<i> o -Y <i>: Establece el número de intentos de envío en <i>, predeterminado=20

Usos Prácticos de arp-scan

• Descubrimiento de Dispositivos en la Red: Identificar todos los dispositivos conectados a una red local, incluso aquellos que pueden no estar visibles para herramientas que operan en capas superiores (por ejemplo, dispositivos que bloquean ICMP o TCP).

• Identificación de Direcciones MAC: Útil para mapear direcciones IP a direcciones MAC, lo que puede ayudar en la resolución de problemas de red o en la administración de direcciones.

• Auditoría de Seguridad: Detectar dispositivos desconocidos o sospechosos en la red, que podrían indicar la presencia de dispositivos no autorizados.