Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
ARP разрешает имена для хостов в одной ethernet \ нескольких... 09.02.09 09:53 Число просмотров: 2952
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 09.02.09 10:10 Количество правок: 1
|
> > arp-cache; эта запись имеет время жизни, то есть через некоторое время она удаляется во избежание распухания кеша.
> Для класса С всего-то 256 записей максимум. Даже для В всего 64к записей, но это максимум.
ARP разрешает имена для хостов в одной ethernet \ нескольких ethernet, между которыми стоит rarp, предел определяется именно этим. Класс сети ( маска подсети ) - всего лишь ограничение области применения arp и указывает, какая часть IP идентифицирует подсеть, а какая - адрес узла в подсети.
Например:
Если ты имеешь ip 192.168.1.1/24, враг - 192.168.0.1/24, вы в одной ethernet и у тебя нет ip маршрутов (в том числе основного шлюза, т.е. работает только arp-маршрутизация), то 192.168.1.1>ping 192.168.0.1 даст результат host unreachable и арп-запрос не пошлётся; если ты сменишь себе маску подсети на /23 (255.255.254.0), то 1) произойдёт arp-resolve, 2) от тебя уйдёт icmp echo 3) вернётся request timedout, так как враг не знает, что до тебя надо звонить внутри сети и резольвить по arp (ХОТЯ никто не мешает ему отловить твой анонс IP (если таковой имеется) и твой arp-запрос к нему, посланный на этапе 1. Весь абзац верен для реализаций сетевого стека в WinXP и FreeBSD7.0, так как больше негде проверить)
> Все-таки можно пассивно поймать коллизию!
Ethernet L2 свитчи на то и L2 (и свитчи), что определяют в какой порт свистеть на основании внутренней таблицы #порта\mac сетёвки на этом порту и заголовка канального уровня. Так что если свитч не в promiscuous mode, то ты услышишь только широковещательные арп-пакеты (анонсы ip (если есть в реализации врага) и запросы, от которых получается адрес инициатора).
> > так как общепринятая реализация (типа венды и фри) отбрасывает все arp-ответы, не относящиеся непосредственно к ним.
> То есть на уровне операционки, сетевой части ядра.
? а где ещё может быть?
> > Так что если поставить сниффер вылавливать только arp-ответы, можно в принципе получить полное представление о соответствии IP-MAC в ethernet в произвольный достаточно удалённый от момента запуска сниффера момент времени.
> Круто. Это что ж, снифер операционку задвигает и операционка позволяет любой проге пролезть до таких ресурсов!
(:
> 1. Первую строчку откусывать надо.
for /?
if /?
а ещё есть куча всяких типо unixtools {cat,grep,awk,sed под венду}, с ними батники ваще сила :)
|
|
|
подробно о проекте
Анализ криптографических сетевых...
ARP разрешает имена для хостов в одной ethernet \... - Ustin