информационная безопасность без паники и всерьез  подробно о проекте
			Анализ криптографических сетевых...   Модель надежности двухузлового...   Специальные марковские модели надежности...   Очередное исследование 19 миллиардов...   Оптимизация ввода-вывода как инструмент...   Зловреды выбирают Lisp и Delphi
	главная обзор RSN блог библиотека закон бред форум dnet о проекте
	bugtraq.ru / форум / networking		Имя Пароль

	если вы видите этот текст, отключите в настройках форума использование JavaScript

ФОРУМ
	все доски
	FAQ
	IRC
	новые сообщения
	site updates
	guestbook
	beginners
	sysadmin
	programming
	operating systems
	theory
	web building
	software
	hardware
	networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация

Легенда:   новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение

• Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
• Новичкам также крайне полезно ознакомиться с данным документом.

	Если у тебя управляемые коммутаторы, то для начала надо собрать MAC адреса всех устройств в сети, а после InARP в помощь. 16.01.12 15:16  Число просмотров: 2482 Автор: Den <Денис Т.> Статус: The Elderman <"чистая" ссылка>
	Или попробовать снифать arp запросы и сопоставлять с известными устройствами сети. Авось неизвестное устройство засветится. Что хоть за устройство? Оно пытается периодически слать что-нибудь по сети?
	<networking>

Можно ли при помощи каких-нить низкоуровневых утилит навроде arping поднять список всех сетевых устройств в локалке, поддерживающих ARP протокол? 14.01.12 19:00   Автор: HandleX <Александр М.> Статус: The Elderman <"чистая" ссылка>

"Потеряли" некий device в одном труднодоступном месте. Никто не помнит какой у него IP и что за подсеть. IP-cканирование по популярным приватным подсетям ничего не выявило. Но оно там есть! :-) Вопрос: как бы послать в локалку такой многоадресный ethernet-фрейм, чтобы все кинулись на него отвечать, ну и конечно, отловить весь список. Заранее всем спасибо за советы.

	Если у тебя управляемые коммутаторы, то для начала надо собрать MAC адреса всех устройств в сети, а после InARP в помощь. 16.01.12 15:16   Автор: Den <Денис Т.> Статус: The Elderman <"чистая" ссылка>
	Или попробовать снифать arp запросы и сопоставлять с известными устройствами сети. Авось неизвестное устройство засветится. Что хоть за устройство? Оно пытается периодически слать что-нибудь по сети?

		Устройство -- самосборный видеорегистратор на WinXP со статическим IP адресом на сетевухе. 16.01.12 15:33   Автор: HandleX <Александр М.> Статус: The Elderman Отредактировано 16.01.12 15:34  Количество правок: 1 <"чистая" ссылка>
		Свич там неуправляемый, попробую поснифать... Ходят слухи, что один нехороший человек, будучи в сеансе RDP, отключил регистратору сетевуху, а теперь молчит, как рыба об лёд ;) Чую, прийдётся отправлять бойца на место расположения...

	А что толку? 15.01.12 08:33   Автор: Zef <Alloo Zef> Статус: Elderman <"чистая" ссылка>
	Он же ответит-то только езернет-фреймом! Ну, узнаешь ты его МАК... Лучше попробуй его обесточить, тогда он включившись сам пошлет АРП-запрос.

		А потом его маку сделать InARP запрос, не? А вот обесточить не получится. 16.01.12 14:34   Автор: HandleX <Александр М.> Статус: The Elderman <"чистая" ссылка>

			А по производителю и типу устройства определить диапазон МАК-адресов и просканить? 17.01.12 15:16   Автор: Zef <Alloo Zef> Статус: Elderman <"чистая" ссылка>
			Или там МАК вручную от балды вводился? Мдя... У меня недавно была похожая задача: сконнектиться по езернету с сименсовским контроллером, но я решил ее соц-инженерным путем, прикинув, что у производителя сетка наверняка а файрволлом, а внутренние адреса все начинают незамысловато с 192.168. Так оно и оказалось после 15 минут скана.

				Ну, не от балды... тем более, если/чтобы мимикрировать подо... 18.01.12 11:17   Автор: lazy_anty Статус: Member <"чистая" ссылка>
				> Или там МАК вручную от балды вводился? Ну, не от балды... тем более, если/чтобы мимикрировать подо что-то в той сети. ;) Под XP это легко.Кстати, так же легко сбить эту настройку, пройдясь по настройкам стека tpcip (а не выключить RDP, поскольку тогда хоть один порт да ответил бы, на известном-то ip!) Если сеть проводная, задача тривиально решается "с нейтральной территории" опросом порта с [псевдо-рандомным] перебором адресов [и доп. "тепловыми" стандартными запросами]. Как "взрослый" вариант - коллеги "по сторону" уже с недоумением нашли сей дывайс по выявленному дупу МАСа, и уже запаслись попкорном в ожидании поисковиков.

					Порты тут не при чём - они на другом уровне OSI. Для того чтобы инициировать arp-ответ, достаточно послать любой 3+(ip)-запрос (icmp, udp,tcp...) на искомый хост - в винде arp-запись появится не зависимо от наличия 3+ файрвола. 19.01.12 10:45   Автор: Ustin <Ustin> Статус: Elderman Отредактировано 19.01.12 11:19  Количество правок: 6 <"чистая" ссылка>
					Я, помнится, кидал батник для получения arp-записей во всей :) подсетке (http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=5&m=153964), но проблему, как я понял, это не решит - не известна именно подсеть. Хотя ВДРУГ на том тазе крутится dhcp? Может подискаверить?

						Тут же загвоздка в том, что IP неизвестен. Хотя... Сколько ресурсов «стоит» програть запросы на предполагаемые диапазоны? ) В «локалке» (10/8, 192.168/16) — почти ничего. 22.01.12 10:30   Автор: kstati <Евгений Борисов> Статус: Elderman Отредактировано 22.01.12 10:30  Количество правок: 1 <"чистая" ссылка>

							Ресурсов? Смотря что сканировать... 22.01.12 14:46   Автор: HandleX <Александр М.> Статус: The Elderman Отредактировано 22.01.12 18:21  Количество правок: 1 <"чистая" ссылка>
							http://www.nta-monitor.com/wiki/index.php/Arp-scan_User_Guide#Memory_Usage Ну и в общем, arp-scan просканировал 192.168/16 достаточно шустро, а вот на сетке 10/8 отожрал на роутере со 256М памяти ~512М, утопив его в своп, вывода начала сканирования я не дождался, плюнул на это дело, роутер перезагрузил -)) Да мне кажется, в той сетке никто не стал бы выставлять адреса в подсети 10.x.x.x, так что поездки на место не избежать. А для сети 192.168.0.0/16 сканирование заняло около минуты, arp-scan рулит и педалит.

1

Copyright © 2001-2025 Dmitry Leonov

Page build time: 0 s

Design: Vadim Derkach