Script para escanear una red local

Ayer en la noche detecte un intruso en mi red local, lo más usual fue restringir el acceso por MAC address, que fue lo que hice. Pero que hubiera pasado si no hubiera revisado la lista de accesos, seguramente no me hubiera dado cuenta. Es por eso que me tome el tiempo para hacer un pequeño script que te notificara cuando hay una nueva conexión en tu red local.

Basicamente para el script use Python como lenguaje, y un herramienta para escaneo ARP-SCAN, todo esto para un sistema operativo GNU/Linux (Ubuntu o ElementaryOS).

Instalamos el arp-scan:

sudo apt-get install arp-scan

Con esta herramienta escanearemos las red en la cual esta conectada la PC, en este caso específico en la interface wlan0, con el siguiente comando:

sudo arp-scan --interface=wlan0 --localnet

Lo que nos retorna lo siguiente:

Interface: wlan0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.8.1 with 256 hosts (http://www.nta-monitor.com/tools/arp-scan/)
192.168.0.1	f0:7b:cb:89:ca:36	Hon Hai Precision Ind. Co.,Ltd.
192.168.0.10	ac:22:0b:84:e8:42	(Unknown)
192.168.0.11	5c:f9:38:a8:d9:32	(Unknown)
192.168.0.13	a8:16:b2:f8:04:5b	(Unknown)
192.168.0.19	00:c0:ca:75:70:98	ALFA, INC.

La primera ip, es del router (192.168.0.1) y las siguientes son de los hosts conectados a la red local (obviando la IP de la PC donde se realiza el escaneo), en este caso tenemos 5 hosts conectados a la red local (4 detectados + 1 de la PC)

Otra funcionalidad que use, son las notificaciones de Ubuntu, ese mensaje que aparece cuando se detecta una red wifi nueva, o cuando la batería de la laptop debe cargarse.

Para esto use el siguiente código:

#!/usr/bin/python
from gi.repository import Notify
Notify.init ("Hello world")
Hello=Notify.Notification.new ("Nueva notificacion","Hola, esta es una nueva notificacion","dialog-information")
Hello.show ()

Lo que nos muestra:

example_extension

Con estas herramientas procedemos a desarrollar el script:

#!/usr/bin/python
from gi.repository import Notify
import subprocess, re, os

path = os.path.dirname(__file__)
with open(os.path.join(path, 'ips')) as i:
    ipOrigin = i.read().splitlines()
f = open(os.path.join(path, 'ips'), 'rw+')
arpScan = "arp-scan --interface=wlan0 --localnet"
process = subprocess.Popen(arpScan.split(), stdout=subprocess.PIPE)
output = process.communicate()[0]
for line in  output.split("\n") :
    ips = re.findall( r'[0-9]+(?:\.[0-9]+){3}', line)
    for ip in ips:
        if ip not in ipOrigin:
            Notify.init ("Hello world")
            Hello=Notify.Notification.new ("Nueva conexion",ip,"dialog-information")
            Hello.show ()
        f.write(ip+'\n')
f.close()

Ese es el codigo inicial, que seguramente ire mejorando, pero la idea es almacenar las ip’s de los host’s en un archivo (llamado ips) para luego realizar un nuevo escaneo y buscar nuevas conexiones.

El codigo lo puse en github, para futuros cambios y versiones: https://github.com/jfabian/scan-lan

Antes de poder usarlo le damos permisos de ejecución (chmod +x), creamos el archivo ips y luego:

$ sudo ./scan

Y notificara una nueva conexión:

test_scan_lan

Lo último sería colocarlo en el crontab del sistema operativo, para que se ejecute cada cierto tiempo.

Abrimos el editor del crontab:

sudo crontab -e

Y agregamos la siguiente linea (el cron se ejecutara cada minuto):

*/1 * * * * env DISPLAY=:0 /usr/bin/python /opt/scan-lan/scan > /tmp/scan-lan.log

Previamente hemos colocado nuestro script scan y el archivo ips en una carpeta de nombre scan-lan dentro de /opt.

Reiniciamos el cron:

sudo service cron restart

Y listo, tenemos nuestro script funcionando.

El siguiente paso será empaquetarlo y colocarlo en un repo de Ubuntu 😀

Anuncios

2 comentarios en “Script para escanear una red local

  1. Hola…Buenisimo el post…. Pero dime como hago para detectar lo contrario osea que no se conecte una nueva sino que se desconecte una de las que ya están…. Por fis

    • Hola, puedes ejecutar en cron que guarde las IP’s conectadas en un archivo, y que evalue la nueva lista con la ya almacenada, y en lugar de mostrar las nuevas, muestren las que estan en ese archivo y no coinciden con las nuevas ip detectadas.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s