Kann jemand erklären, wie das passiert ist?

752
Iszi

Ich habe scheinbar ein paar merkwürdige Ergebnisse, wenn netdiscoverich in meinem Heimnetzwerk laufe. Vom Kabelmodem bis zu meinem Scanner (einige Peripheriegeräte überspringen), hier das grundlegende Layout:

Das Kabelmodem ist mit unserem Router verbunden, der auch als DHCP-Server und primärer WLAN-AP dient.

Von dort aus (wieder ohne Peripheriegeräte) geht die Verbindung zu einem LAN-Port an einem anderen Router, der seiner Router-Rolle (DHCP usw.) entzogen wurde und nur als sekundärer WLAN-Zugriffspunkt fungiert.

Mein Laptop ist an den sekundären Zugriffspunkt angeschlossen, auf dem Windows 7 x64 ausgeführt wird.

Ich arbeite netdiscovervon einer virtuellen Maschine auf meinem Laptop, auf dem Backtrack Linux ausgeführt wird.

Die virtuelle Maschine ist über einen VirtualBox-Adapter mit dem Netzwerk verbunden, der im "Bridged" -Modus ausgeführt wird.

Die Adressen des Netzwerks liegen im Bereich 10.0.0.0/8 des Adressraums von RFC 1918.

Also lief ich netdiscoverauf der Backtrack-VM. Die meisten der zurückgegebenen Adressen waren ziemlich genau wie erwartet, mit Ausnahme von zwei.

 IP At MAC Address Count Len MAC Vendor  -----------------------------------------------------------------------------  192.168.2.1 00:17:9a:8f:69:cf 01 060 D-Link Corporation  192.168.2.1 00:17:9a:8f:69:d0 01 060 D-Link Corporation

Ich habe eine ziemlich feste Vermutung, was das ist - ein D-Link VoIP-Router, den wir für seine VoIP-Funktionen nur verbunden lassen (fest mit dem Router verbunden). Die IP-Adresse sieht aus, als wäre es eine Werksvorgabe für das Gerät.

Was ich jetzt am Kopf kratzte, ist: Warum konnte das D-Link-Gerät bei 192.168.2.1 die ARP-Pakete über ein 10.xxx-Netzwerk empfangen und zurücksenden?

5
Gerade als ich mit dem Schreiben fertig bin, glaube ich, dass ich meinen Kopf darum gewickelt habe. Aber für die Gemeinschaft würde ich gerne sehen, was jemand anderes dafür schreibt. Iszi vor 13 Jahren 2

1 Antwort auf die Frage

5
Paul

Wenn Sie nicht ausdrücklich einen zu verwendenden Bereich angeben, netdiscoverwird nach gängigen Netzwerken gesucht. Dies würde 192.168.0.0/16 umfassen.

Eine ARP-Anforderung wird auf Schicht 2 gesendet. Wenn sich der Backtrack-PC in einem anderen IP-Netzwerk als die Voip-Box befindet, wird die Arp-Anforderung jedoch weiterhin angezeigt und beantwortet. Die Anfrage würde in Form eines ARP-Tests sein, der keine IP-Adresse enthält, auf die er antworten soll. Die Antwort wird auf Schicht 2 an die MAC-Adresse des Geräts gesendet, von dem die Anfrage stammt.

Ein ARP-Probe ist eine Methode zum Bestimmen, ob derzeit eine IP-Adresse verwendet wird. Sie wird normalerweise von einem Gerät verwendet, bevor eine IP-Adresse "beansprucht" wird, um sicherzustellen, dass keine andere Person im lokalen Netzwerk diese Adresse verwendet. Es kann jedoch verwendet werden, um zu sehen, welche Adressen im lokalen Netzwerk verwendet werden, und es ist wahrscheinlich, dass netdiscover es verwendet.

Ein Arp-Probe ist zwar Teil des IP-Protokolls der Schicht 3, arbeitet jedoch auf der Schicht 2. Das Paket sieht ein bisschen so aus:

From MAC: <host mac address>, To MAC: ff:ff:ff:ff:ff:ff, Payload: "Is anyone using IP address 192.168.1.1"

Der Ziel-MAC ist also die Broadcast-MAC-Adresse. Alle Adressen entsprechen allen Adressen. Daher sendet ein beliebiges Layer-2-Gerät, z. B. ein Switch, alle Ports in derselben Broadcast-Domäne, auf der das Paket empfangen wurde. In einem inländischen Router sind dies alle LAN-Ports (die LAN-Ports eines inländischen Routers sind Switchports). Wenn einer der LAN-Ports mit den LAN-Ports eines anderen Routers verbunden ist, befinden sich alle LAN-Ports in derselben Broadcast-Domäne. Das Paket wird über den Port des ersten Routers, der mit dem zweiten Router, dem zweiten Router, verbunden ist, gesendet wird sehen, dass das Paket für ff: ff: ff: ff: ff: ff bestimmt ist, und wird es aus seinen eigenen LAN-Ports senden.

Der Punkt hier ist, dass ein Broadcast-Paket der Schicht 2 von jedem Gerät im Netzwerk unabhängig von IP-Adressen gesehen wird.

So sieht jedes Gerät es. Das VoIP-Gerät erkennt, dass es sich um einen ARP-Test handelt, und dass die IP-Adresse, nach der der Sender gesendet wird, mit der konfigurierten IP-Adresse übereinstimmt und antwortet.

Es kann nicht auf die IP-Adresse der Ursprungsgeräte antworten, da ein ARP-Test gerade von einem Gerät verwendet wird, das noch keine IP-Adresse hat. Es wird verwendet, um festzustellen, ob die gewünschte IP-Adresse bereits verwendet wird . Die Stelle im Paket, an der sich die IP-Adresse des Absenders normalerweise befinden würde, sind also Nullen.

Die Antwort der ARP-Probe wird daher an die MAC-Adresse des Absenders gesendet.

Ich verfolge immer noch nicht, wie das passiert wäre. Die ARP-Anfrage / Antwort musste zwei andere Layer 2-Geräte (ish) durchlaufen. Sollte es nicht bei einem von ihnen unterwegs gewesen sein? Oder erinnere ich mich nicht richtig an meine Routing- und Schaltprinzipien? Iszi vor 13 Jahren 2
Wenn die "Router" alle über ihre Switch-Ports miteinander verbunden sind, sind sie effektiv Switches - es findet kein Routing statt, also alle auf Layer 2 in derselben Broadcast-Domäne. Paul vor 13 Jahren 3
Sieht aus, als wäre ich nicht der einzige, der etwas verwirrt war. Denken Sie daran, ein wenig Switching 101 zu werfen? Iszi vor 13 Jahren 0
Der Nachteil dabei sollte sein, dass ich nicht genau weiß, wie netdiscover seine Sache macht, aber so könnte es funktionieren. Ich habe meine Antwort mit mehr Details aktualisiert. Ich mache das gerne so lange, bis es klar ist :) Paul vor 13 Jahren 0
NetDiscover spendet so ziemlich nur ARP-Anfragen an RFC 1918-Adressen und zeigt, was zurückkommt. Iszi vor 13 Jahren 0
Ja genau richtig. Paul vor 13 Jahren 0
Hervorragendes Schreiben und ursprüngliche Klarheit der Fragen. Wenn Sie aus einem Support-Aspekt kommen, wissen und verstehen, wie DHCP und die Grundlagen von Switches funktionieren. Was wäre mein nächster Schritt beim Verständnis von Paketen, Schichten und Broadcasting? HaydnWVN vor 12 Jahren 0

Verwandte Probleme