информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Сетевые кракеры и правда о деле ЛевинаSpanning Tree Protocol: недокументированное применениеВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Можно ли при помощи каких-нить низкоуровневых утилит навроде arping поднять список всех сетевых устройств в локалке, поддерживающих ARP протокол? 14.01.12 19:00  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
"Потеряли" некий device в одном труднодоступном месте.
Никто не помнит какой у него IP и что за подсеть.
IP-cканирование по популярным приватным подсетям ничего не выявило.
Но оно там есть! :-)

Вопрос: как бы послать в локалку такой многоадресный ethernet-фрейм, чтобы все кинулись на него отвечать, ну и конечно, отловить весь список.

Заранее всем спасибо за советы.
Если у тебя управляемые коммутаторы, то для начала надо собрать MAC адреса всех устройств в сети, а после InARP в помощь. 16.01.12 15:16  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Или попробовать снифать arp запросы и сопоставлять с известными устройствами сети. Авось неизвестное устройство засветится. Что хоть за устройство? Оно пытается периодически слать что-нибудь по сети?
Устройство -- самосборный видеорегистратор на WinXP со статическим IP адресом на сетевухе. 16.01.12 15:33  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 16.01.12 15:34  Количество правок: 1
<"чистая" ссылка>
Свич там неуправляемый, попробую поснифать...
Ходят слухи, что один нехороший человек, будучи в сеансе RDP, отключил регистратору сетевуху, а теперь молчит, как рыба об лёд ;)
Чую, прийдётся отправлять бойца на место расположения...
А что толку? 15.01.12 08:33  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Он же ответит-то только езернет-фреймом! Ну, узнаешь ты его МАК...

Лучше попробуй его обесточить, тогда он включившись сам пошлет АРП-запрос.
А потом его маку сделать InARP запрос, не? А вот обесточить не получится. 16.01.12 14:34  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
А по производителю и типу устройства определить диапазон МАК-адресов и просканить? 17.01.12 15:16  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Или там МАК вручную от балды вводился?

Мдя... У меня недавно была похожая задача: сконнектиться по езернету с сименсовским контроллером, но я решил ее соц-инженерным путем, прикинув, что у производителя сетка наверняка а файрволлом, а внутренние адреса все начинают незамысловато с 192.168. Так оно и оказалось после 15 минут скана.
Ну, не от балды... тем более, если/чтобы мимикрировать подо... 18.01.12 11:17  
Автор: lazy_anty Статус: Member
<"чистая" ссылка>
> Или там МАК вручную от балды вводился?
Ну, не от балды... тем более, если/чтобы мимикрировать подо что-то в той сети. ;) Под XP это легко.Кстати, так же легко сбить эту настройку, пройдясь по настройкам стека tpcip (а не выключить RDP, поскольку тогда хоть один порт да ответил бы, на известном-то ip!) Если сеть проводная, задача тривиально решается "с нейтральной территории" опросом порта с [псевдо-рандомным] перебором адресов [и доп. "тепловыми" стандартными запросами].
Как "взрослый" вариант - коллеги "по сторону" уже с недоумением нашли сей дывайс по выявленному дупу МАСа, и уже запаслись попкорном в ожидании поисковиков.
Порты тут не при чём - они на другом уровне OSI. Для того чтобы инициировать arp-ответ, достаточно послать любой 3+(ip)-запрос (icmp, udp,tcp...) на искомый хост - в винде arp-запись появится не зависимо от наличия 3+ файрвола. 19.01.12 10:45  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 19.01.12 11:19  Количество правок: 6
<"чистая" ссылка>
Я, помнится, кидал батник для получения arp-записей во всей :) подсетке (http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=5&m=153964), но проблему, как я понял, это не решит - не известна именно подсеть. Хотя ВДРУГ на том тазе крутится dhcp? Может подискаверить?
Тут же загвоздка в том, что IP неизвестен. Хотя... Сколько ресурсов «стоит» програть запросы на предполагаемые диапазоны? ) В «локалке» (10/8, 192.168/16) — почти ничего. 22.01.12 10:30  
Автор: kstati <Евгений Борисов> Статус: Elderman
Отредактировано 22.01.12 10:30  Количество правок: 1
<"чистая" ссылка>
Ресурсов? Смотря что сканировать... 22.01.12 14:46  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 22.01.12 18:21  Количество правок: 1
<"чистая" ссылка>
http://www.nta-monitor.com/wiki/index.php/Arp-scan_User_Guide#Memory_Usage

Ну и в общем, arp-scan просканировал 192.168/16 достаточно шустро, а вот на сетке 10/8 отожрал на роутере со 256М памяти ~512М, утопив его в своп, вывода начала сканирования я не дождался, плюнул на это дело, роутер перезагрузил -))

Да мне кажется, в той сетке никто не стал бы выставлять адреса в подсети 10.x.x.x, так что поездки на место не избежать.

А для сети 192.168.0.0/16 сканирование заняло около минуты, arp-scan рулит и педалит.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach