这里主要分享介绍一些网络安全中的三层发现工具，第三层网络扫描基于TCP/IP、ICMP协议，这类工具有这样两个优点：

• 可路由
• 速度比较快

但是也存在比较明显的缺点：

• 速度比二层发现工具慢
• 经常被边界防火墙过滤掉

所有扫描发现技术，都会有相应的对抗办法，所以无论是来自二层的网络扫描还是来自三层的网络扫描，可能会存在误报和漏报的情况，所以不能绝对去不加以论证的方式去单纯相信扫描结果，但可以将扫描后的结果当作重要的参考。

ping

如果是计算机从业者，对于ping命令应该都不陌生，这个命令使用了ICMP两种类型的数据包，其中ICMP的TYPE类型字段一共有0-15个定义，每种类型都代表了不同的数据包类型，而PING命令则是使用了TYPE为8的类型的数据包，而接收到PING包的机器如果没有防火墙规则限制那么返回的则是ICMP的TYPE为0类型的数据包。

还是先看使用帮助文档：

再来看实际使用：

实例1：向目标ip发送两包数据
ping 1.1.1.1 -c 2
实例2：路由追踪，可以发现从本机到目标机器具体经过了哪些路由
ping -R 1.1.1.1
相当于：traceroute 1.1.1.1
实例3：
ping 1.1.1.1 -c 1 | grep 'bytes from' | cut -d ' ' -f 4 | cut -d ':' -f 1

抓包看一下实例1：

ping的-R参数不一定每次都好用，有时候会受当前网络状态的影响，这里直接用traceroute来看一下路由追踪的结果：

第一个路由是从我的网段出去，到后面一些显示为*号的，就表示这些设备设置了不响应icmp数据包。

路由追踪主要是通过数据包中的time to live值来实现的，每经过一个路由，这个值就会减一，当这个值减完的时候，走到的机器就会返回一个数据包过来。所以当time to live是1的时候，在到达第一个路由的时候，就会返回信息，本机就知道了第一个路由的ip：

虽然ping -R和traceroute都可以用来路由追踪，但是最终得到的结果会不一样。因为两个工具追踪到的路由地址是一个机器的两个网口，一个是内网口，一个是外网口。不做过多展开，只要遇到的时候别疑惑就行。

实际使用中只是为了获取有效ip地址，可以通过一些管道命令进行连接，让输出的结果只剩一个ip：

如果ip地址无效，上面这个长命令会返回一个空。

通过两者的比较，我们可以写一个shell脚本，用于找出某些ip地址段的所有有效ip：

#!/bin/bash
if [ "$#" -ne 1 ] ;then
   echo 'Usage ./pinger.sh [/24 network address]'
   echo 'Example ./pinger.sh 196.18.34.0'
   echo 'Example will perform an ICMP ping sweep of the 196.18.34.0/24 network'
   exit
fi
prefix=$(echo $1 | cut -d '.' -f 1-3)
for addr in $(seq 1 254);do
    ping -c 1 $prefix.$addr | grep 'bytes from' | cut -d ' ' -f 4 | cut -d ':' -f 1 &
done

脚本执行前不要忘记赋予权限

scapy

在介绍二层发现的时候就介绍过用scapy做二层发现，在这里我们也可以用它来做三层发现。

首先要构造一个ping对象，ping对象由IP()和ICMP()组合而成：

然后要将目标地址赋值给ping对象：

源地址src自动侦测获取了本机网卡的地址。

这个结果和使用ping命令是一致的，感兴趣可以抓包比较一下。

前面那些构造的步骤其实可以在一行代码里完成：

前面也说过sr1()方法如果没有收到回复，会一直重复发送请求，为了节约时间，我们都会传一个timeout：

根据前面的讲解，可以写一个使用scapy的扫描脚本：

#!/usr/bin/python

import logging
import subprocess
logging.getLogger('scapy.runtime').setLevel(logging.ERROR)
from scapy.all import *

if len(sys.argv) != 2:
	print('Usage ./scayp_ping_script.py [/24 network address]')
	print('Example ./scayp_ping_script.py 172.18.14.0')
	print('Example will perform an ICMP scan of the 172.18.14.0/24 range')
	sys.exit()

address = str(sys.argv[1])
ip_num_list = address.split('.')
prefix = ip_num_list[0] + '.' + ip_num_list[1] + '.' + ip_num_list[2] + '.'

for addr in range(1, 254):
	a = sr1(IP(dst=prefix+str(addr))/ICMP(), timeout=0.1, verbose=0)
	if a == None;
		pass
	else:
		print(prefix + str(addr))

执行方式和shell差不多，当然也可以直接作为python脚本，通过python命令进行执行。

如果已经有一个ip文件，需要验证文件中的ip哪些是还活着的，可以改一下addr的赋值：

... ...
filename = str(sys.argv[1])
file = open(filename, 'r')

for addr in file:
	a = sr1(IP(dst=addr.strip())/ICMP(), timeout=0.1, verbose=0)
	if a == None;
		pass
	else:
		print(prefix + str(addr))

nmap

用nmap做三层扫描，其实传参是一样的，都是传一个-sn，nmap如果扫描同网段的ip地址，就会发arp包，如果是不同网段的ip地址，就会发icmp包：

从wireshark的截图中可以看出来，nmap没有严格意义上的参数指定只发送icmp数据包。

fping

用法和ping基本一致，还是先看一下帮助说明：

和ping不同之处是响应结果有所不同：

fping还支持传地址段进行扫描：

可以通过管道符|只显示有效的ip。

fping也可以从文档中取ip，对于文档中的ip进行有效性验证，通过传参-f。

hping

hping能够发送几乎任意TCP/IP包，功能强大但是每次只能扫描一个目标。

由于现在hping版本已经是第3版了，所以命令要输hping3，还是先看一下帮助说明：

用hping3做三层发现：

可以通过一行shell代码扫描一个网段：

for addr in $(seq 1 254); do hping3 36.152.44.$addr --icmp -c 1 >> handle.txt & done

执行结果都会存入handle.txt：

然后再根据有效ip和无效ip返回的不同做一些区分。