Cos'è ARP Scan?

La scansione ARP è una tecnica di ricognizione di rete utilizzata per scoprire i dispositivi su una rete locale (LAN). Funziona inviando richieste ARP (Indirizzo Resolution Protocol) a ogni indirizzo IP in un intervallo specificato o a un elenco di indirizzi IP di destinazione. Le risposte rivelano quali indirizzi IP hanno indirizzi MAC attivi ad essi associati, identificando efficacemente i dispositivi connessi alla rete.

Ecco una rottura di come funziona:

* Protocollo ARP: ARP è un protocollo utilizzato dai dispositivi su una LAN per trovare l'indirizzo MAC associato a un indirizzo IP noto. Quando un dispositivo desidera inviare dati a un altro dispositivo sulla stessa LAN, richiede l'indirizzo MAC del destinatario. Utilizza ARP per richiedere queste informazioni.

* La scansione: Una scansione ARP invia queste richieste ARP, non per trovare un indirizzo MAC specifico, ma per vedere chi risponde. Ogni risposta fornisce un indirizzo IP e il corrispondente indirizzo MAC.

* Dispositivi di identificazione: Esaminando gli indirizzi MAC ricevuti, un utente malintenzionato può potenzialmente identificare il tipo di dispositivo (ad es. Windows Computer, Linux Server, Stampante) in base ai prefissi dell'indirizzo MAC assegnato dai produttori (sebbene ciò sta diventando meno affidabile poiché i produttori cambiano i loro schemi di assegnazione dell'indirizzo MAC).

* Tipi di scansioni ARP: Esistono diversi tipi di scansioni ARP, che variano nel modo in cui inviano le richieste:

* ARP gratuito: Questo invia una richiesta ARP che annuncia l'indirizzo IP di un dispositivo e la combinazione di indirizzo MAC. Viene utilizzato per verificare se un altro dispositivo ha già lo stesso indirizzo IP. Sebbene non sia strettamente una scansione, può rivelare informazioni sullo schema di indirizzamento IP della rete.

* Scansione ARP mirata: Invia richieste ARP a indirizzi IP specifici.

* Scansione ARP trasmessa: Invia richieste ARP all'indirizzo di trasmissione (in genere `ff:ff:ff:ff:ff:ff`), raggiungendo tutti i dispositivi sulla LAN. Questo è il tipo più comune di scansione ARP.

Perché viene utilizzata la scansione ARP?

La scansione ARP viene utilizzata sia per scopi legittimi che maliziosi:

* Amministrazione di rete: Gli amministratori di rete lo utilizzano per mappare la propria rete, identificare i dispositivi e risolvere i problemi di connettività.

* Auditing di sicurezza: I professionisti della sicurezza lo utilizzano per identificare i dispositivi non autorizzati sulla rete.

* Attività dannosa: Gli hacker possono utilizzare la scansione ARP per scoprire potenziali obiettivi e identificare i dispositivi vulnerabili prima di lanciare attacchi come l'avvelenamento da ARP.

Limitazioni:

* richiede l'accesso a livello 2: Le scansioni ARP funzionano solo all'interno della stessa rete di livello 2 (LAN).

* può essere rilevato: Gli strumenti di monitoraggio della rete possono rilevare scansioni ARP, sollevando allarmi.

* Non sempre accurato: I dispositivi potrebbero non rispondere alle richieste ARP, portando a risultati incompleti.

In sintesi, la scansione ARP è un potente strumento per la scoperta di rete, ma il suo potenziale per uso improprio significa che è fondamentale implementare misure di sicurezza della rete appropriate.

• Cosa significa il codice 7 sullo scanner della polizia? 
• Quali sono i parametri accettabili per uno scanner?