问如何检测无源网络主机？

EN

你可以让Nmap的发现慢下来，这样就不会干扰易碎的设备。

首先做一个简单的平扫。你可以走得很慢，如果需要的话需要几个小时(或几天)。

一旦了解了活动主机，就使用它们的MAC地址通过OUI查找供应商。这将帮助您从个人电脑中识别工业设备。这不是百分之百可靠，但它会给你一个非常好的近似。

从那里，你可以决定哪些设备需要进一步的探测。再说一次，你可以像你想的那样慢慢来。

如果所有相关的流量都运行在核心交换机上，并且有足够的链路净空，您可以设置端口镜像到核心交换机上的监视器端口，捕获并分析流量。如果单个端口不受通信量的影响，您就会捕捉到在核心交换机上运行的每一个帧。

或者，您可以分别访问每个核心交换机端口，以查看其承载的通信量。

如果访问交换机中有相关的流量，您也需要点击它们。但是，镜像通过核心上行链路的流量是不可取的，除非链路上有足够的空间。我会使用一个单独的，专用的监控链接到监控系统。

或者，您可以使用sFlow或Netflow来监视更大的流。缺点是，它们并不能捕捉每一个帧，而是使用一个统计子集。根据您要寻找的内容，该流可能被表示，也可能不被表示。好处是您可以连续运行sFlow/Netflow，而不需要任何专用电缆。

您可以查看所有的ARP请求，任何必须发送数据包的设备都会生成一个ARP请求，以知道目的地的MAC地址，同时告诉他自己的地址。您只需将ARP请求重定向到需要知道连接设备列表的机器。

如果您的开关是可管理的，它应该有自己的ARP表，并且您将能够读取它。