Can someone explain how this happened?

Question

Can someone explain how this happened?

I seem to be having some odd results when running netdiscover on my home network. From the cable modem to my scanner (skipping a few peripherals), here's the basic layout:

The cable modem is connected to our router, which also serves as DHCP server and primary Wi-Fi AP.
From there (again, skipping peripherals) the connection goes to a LAN port on another router, which has been stripped of its router roles (DHCP, etc) and acts only as a secondary Wi-Fi AP.
My laptop is connected to the secondary AP, running Windows 7 x64.
я бегу netdiscover from a virtual machine on my laptop, which is running Backtrack Linux.
The virtual machine is connected to my network via a VirtualBox adapter, running in "bridged" mode.
The network's addresses are in the 10.0.0.0/8 range of RFC 1918 address space.

Итак, я побежал netdiscover on the Backtrack VM. Most of the addresses returned were pretty much as expected, except for two.

 IP            At MAC Address      Count    Len   MAC Vendor                   
 ----------------------------------------------------------------------------- 
 192.168.2.1     00:17:9a:8f:69:cf    01    060   D-Link Corporation           
 192.168.2.1     00:17:9a:8f:69:d0    01    060   D-Link Corporation

У меня есть довольно веское предположение относительно того, что это такое - маршрутизатор D-Link VoIP, который мы оставляем подключенным (жестко к маршрутизатору) для его функций VoIP. Похоже, что IP-адрес устройства является заводским значением по умолчанию (в следующий раз я буду устранять неполадки).

Сейчас я ломаю голову над тем, почему устройство D-Link 192.168.2.1 могло принимать и возвращать пакеты ARP через сеть 10.xxx?

5

wireless-networking arp backtrack netdiscover

Источник

Iszi 16 ноя '11 в 00:41

1 ответ

Решение

Другие вопросы по тегам wireless-networking arp backtrack netdiscover

Paul 16 ноя '11 в 00:52 2011-11-16 00:52 · Accepted Answer · 2011-11-16 00:52

Если вы не указали диапазон для использования, netdiscover будет сканировать общие сети, так что это будет включать 192.168.0.0/16.

Запрос ARP транслируется на уровне 2, поэтому, даже если ПК с возвратом находится в IP-сети, отличной от ящика voip, запрос arp будет по-прежнему отображаться и отвечать на него. Запрос будет в форме ARP Probe, который не содержит IP-адрес для ответа - ответ отправляется на уровне 2 на mac-адрес устройства, отправляющего запрос.

ARP Probe - это метод определения того, используется ли IP-адрес в настоящее время. Обычно он используется устройством до "запроса" IP-адреса, чтобы никто другой в локальной сети не использовал его. Однако его можно использовать для просмотра того, какие адреса используются в локальной сети, и, вероятно, его использует netdiscover.

Хотя проверка arp является частью IP-протокола уровня 3, она работает на уровне 2. Пакет выглядит примерно так:

From MAC: <host mac address>, To MAC: ff:ff:ff:ff:ff:ff, Payload: "Is anyone using IP address 192.168.1.1"

Таким образом, целевой mac - это широковещательный mac-адрес - все он совпадает со всеми адресами. Поэтому любое устройство уровня 2, такое как коммутатор, будет транслировать его из всех портов в том же широковещательном домене, на котором был получен пакет. В домашнем маршрутизаторе это означает все порты локальной сети (порты локальной сети на внутреннем маршрутизаторе являются портами коммутации). Если какой-либо из портов LAN подключен к портам LAN другого маршрутизатора, то все порты LAN находятся в одном домене широковещательной рассылки - пакет будет транслироваться из порта на первом маршрутизаторе, который подключен ко второму маршрутизатору, ко второму маршрутизатору. увидит, что пакет предназначен для ff: ff: ff: ff: ff: ff и, следовательно, будет транслировать его из своих портов локальной сети.

Дело в том, что широковещательный пакет уровня 2 будет виден каждому устройству в сети, независимо от IP-адресов.

Так что каждое устройство это видит. VoIP-устройство видит, что это зонд ARP, и что IP-адрес, по которому отправитель отправляется, соответствует настроенному IP-адресу и отвечает.

Он не может ответить на IP-адрес отправляющего устройства, потому что сама природа ARP-зонда заключается в том, что он используется устройством, у которого еще нет IP-адреса. Он используется для того, чтобы узнать, используется ли уже используемый IP-адрес., Таким образом, место в пакете, где обычно находится IP-адрес отправителя, - все нули.

И ответ на запрос ARP отправляется на MAC-адрес отправителя.