我有三个主意给你。它们都有各自的复杂性,您可以根据需要混合和匹配。第一个可能是最简单但最不可靠的(就其本身而言)。
1.被动MAC检测
标准方法是跟踪从路由器请求DHCP地址的MAC地址。大多数路由器都提供“连接的设备”样式的屏幕,该屏幕将告诉您正在连接的人。
这不是自动的,但是您可以(相当容易)编写一些Bash / Python脚本,以拉下路由器页面,解析出MAC地址,并根据已知/允许的MAC地址列表进行检查。
这里的问题是没有什么是即时的。您依靠路由器更新其页面,并且必须经常轮询该页面。有些路由器不喜欢这样。我有一台笨拙的Edimax路由器,如果您在一分钟内加载10页以上(可悲!),它将崩溃,因此这可能无法正常工作。
MAC地址也是可悲的。macchanger例如,可以让您在一个命令中欺骗您的MAC地址。我认为甚至Network Manager都可以帮助您。如果不想被检测到,他们将监视网络流量并欺骗有效的(已知)设备之一。
2.主动嗅探
这是我们撕开轮子并挖掘的地方。您将需要一个备用的无线设备或其他设备,该设备可以拦截去往/来自路由器的流量(理想情况是非常接近路由器)。
简而言之,您挂断电话,airodump-ng然后看到连接到网络的人员。它应该是可能的脚本,这个输出,当一个新的设备显示出来,并开始使用你的网络,你可以立即做的事情。
想法是您在启动时(以root用户身份)运行此命令:
airmon-ng start wlan0
airodump-ng --bssid 00:1F:9F:14:6F:EB -w output --output-format csv mon0
将BSSID替换为您的接入点。
这将写入一个可以定期解析的自动增量文件。上面的版本编写了一个逗号分隔的值文件,该文件非常基本,但是如果您对XML满意(Python可以使它非常简单),则可能需要查看netxmlairodump 的输出格式。
无论哪种方式,这都会为您提供有关哪些设备正在使用网络(以及它们也发送多少流量)的常规信息。它仍然和使用路由器的ARP表一样容易出错,但是它是实时的。
在混杂模式下,如果脚本确实选择了它认为不应该在网络上的客户端,则可以tcpdump用来拖曳数据包并记录感兴趣的交换(HTTP请求等)。这是更多的编程,但是可以完成。
3.指纹识别 nmap
另一种方法是使用nmap。通常,您可能会认为,这对您没有太大帮助,如果有人阻止ping,则可能不会显示。
我建议您将此方法与其他两种方法结合使用。1将为您提供IP地址,以便您可以直接进行nmap操作。2不会为您提供IP,但可以让您知道nmap在该确切时间应该期望有多少客户。确保所有设备均可ping通。
在nmap运行时(例如sudo nmap -O 192.168.1.1/24),它将尝试查找主机,然后对其进行端口扫描以找出它们是什么。您的清单应包括每个设备应如何响应nmap。
如果您想更进一步,则可以在每台计算机上运行一个简单的服务器。只是接受连接然后断开连接的东西。简而言之:nmap寻找的东西。如果发现打开,则可能是您的计算机。
4.更好地保护您的网络
如果您担心,实际上应该先这样做。使用WPA2 / AES。切勿使用WEP(大约5分钟内会破裂)。
如果您仍然担心有人会发现密钥(WPA2需要花费大量数据和计算时间来破解),请改用RADIUS模型。这是一个身份验证框架,它为每个用户设置一个一次性密钥。虽然要建立PITA。
但是该怎么办..?
如果我对事情不满意,我可能会手动观看airodump。如果我仍然不开心,我将开始对所见事物进行指纹识别。但是,编写脚本有些困难(绝不是不可能)。
最容易编写脚本的方法是使用进行指纹识别nmap。简短而简单。