информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Все любят медГде водятся OGRыСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Линуксовый ботнет, распространяющийся... 
 Конец поддержки Internet Explorer 
 Рекордное число уязвимостей в 2021 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Ну, не от балды... тем более, если/чтобы мимикрировать подо... 18.01.12 11:17  Число просмотров: 2146
Автор: lazy_anty Статус: Member
<"чистая" ссылка>
> Или там МАК вручную от балды вводился?
Ну, не от балды... тем более, если/чтобы мимикрировать подо что-то в той сети. ;) Под XP это легко.Кстати, так же легко сбить эту настройку, пройдясь по настройкам стека tpcip (а не выключить RDP, поскольку тогда хоть один порт да ответил бы, на известном-то ip!) Если сеть проводная, задача тривиально решается "с нейтральной территории" опросом порта с [псевдо-рандомным] перебором адресов [и доп. "тепловыми" стандартными запросами].
Как "взрослый" вариант - коллеги "по сторону" уже с недоумением нашли сей дывайс по выявленному дупу МАСа, и уже запаслись попкорном в ожидании поисковиков.
<networking>
Можно ли при помощи каких-нить низкоуровневых утилит навроде arping поднять список всех сетевых устройств в локалке, поддерживающих ARP протокол? 14.01.12 19:00  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
"Потеряли" некий device в одном труднодоступном месте.
Никто не помнит какой у него IP и что за подсеть.
IP-cканирование по популярным приватным подсетям ничего не выявило.
Но оно там есть! :-)

Вопрос: как бы послать в локалку такой многоадресный ethernet-фрейм, чтобы все кинулись на него отвечать, ну и конечно, отловить весь список.

Заранее всем спасибо за советы.
Если у тебя управляемые коммутаторы, то для начала надо собрать MAC адреса всех устройств в сети, а после InARP в помощь. 16.01.12 15:16  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Или попробовать снифать arp запросы и сопоставлять с известными устройствами сети. Авось неизвестное устройство засветится. Что хоть за устройство? Оно пытается периодически слать что-нибудь по сети?
Устройство -- самосборный видеорегистратор на WinXP со статическим IP адресом на сетевухе. 16.01.12 15:33  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 16.01.12 15:34  Количество правок: 1
<"чистая" ссылка>
Свич там неуправляемый, попробую поснифать...
Ходят слухи, что один нехороший человек, будучи в сеансе RDP, отключил регистратору сетевуху, а теперь молчит, как рыба об лёд ;)
Чую, прийдётся отправлять бойца на место расположения...
А что толку? 15.01.12 08:33  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Он же ответит-то только езернет-фреймом! Ну, узнаешь ты его МАК...

Лучше попробуй его обесточить, тогда он включившись сам пошлет АРП-запрос.
А потом его маку сделать InARP запрос, не? А вот обесточить не получится. 16.01.12 14:34  
Автор: HandleX <Александр М.> Статус: The Elderman
<"чистая" ссылка>
А по производителю и типу устройства определить диапазон МАК-адресов и просканить? 17.01.12 15:16  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Или там МАК вручную от балды вводился?

Мдя... У меня недавно была похожая задача: сконнектиться по езернету с сименсовским контроллером, но я решил ее соц-инженерным путем, прикинув, что у производителя сетка наверняка а файрволлом, а внутренние адреса все начинают незамысловато с 192.168. Так оно и оказалось после 15 минут скана.
Ну, не от балды... тем более, если/чтобы мимикрировать подо... 18.01.12 11:17  
Автор: lazy_anty Статус: Member
<"чистая" ссылка>
> Или там МАК вручную от балды вводился?
Ну, не от балды... тем более, если/чтобы мимикрировать подо что-то в той сети. ;) Под XP это легко.Кстати, так же легко сбить эту настройку, пройдясь по настройкам стека tpcip (а не выключить RDP, поскольку тогда хоть один порт да ответил бы, на известном-то ip!) Если сеть проводная, задача тривиально решается "с нейтральной территории" опросом порта с [псевдо-рандомным] перебором адресов [и доп. "тепловыми" стандартными запросами].
Как "взрослый" вариант - коллеги "по сторону" уже с недоумением нашли сей дывайс по выявленному дупу МАСа, и уже запаслись попкорном в ожидании поисковиков.
Порты тут не при чём - они на другом уровне OSI. Для того чтобы инициировать arp-ответ, достаточно послать любой 3+(ip)-запрос (icmp, udp,tcp...) на искомый хост - в винде arp-запись появится не зависимо от наличия 3+ файрвола. 19.01.12 10:45  
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 19.01.12 11:19  Количество правок: 6
<"чистая" ссылка>
Я, помнится, кидал батник для получения arp-записей во всей :) подсетке (http://bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=5&m=153964), но проблему, как я понял, это не решит - не известна именно подсеть. Хотя ВДРУГ на том тазе крутится dhcp? Может подискаверить?
Тут же загвоздка в том, что IP неизвестен. Хотя... Сколько ресурсов «стоит» програть запросы на предполагаемые диапазоны? ) В «локалке» (10/8, 192.168/16) — почти ничего. 22.01.12 10:30  
Автор: kstati <Евгений Борисов> Статус: Elderman
Отредактировано 22.01.12 10:30  Количество правок: 1
<"чистая" ссылка>
Ресурсов? Смотря что сканировать... 22.01.12 14:46  
Автор: HandleX <Александр М.> Статус: The Elderman
Отредактировано 22.01.12 18:21  Количество правок: 1
<"чистая" ссылка>
http://www.nta-monitor.com/wiki/index.php/Arp-scan_User_Guide#Memory_Usage

Ну и в общем, arp-scan просканировал 192.168/16 достаточно шустро, а вот на сетке 10/8 отожрал на роутере со 256М памяти ~512М, утопив его в своп, вывода начала сканирования я не дождался, плюнул на это дело, роутер перезагрузил -))

Да мне кажется, в той сетке никто не стал бы выставлять адреса в подсети 10.x.x.x, так что поездки на место не избежать.

А для сети 192.168.0.0/16 сканирование заняло около минуты, arp-scan рулит и педалит.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2022 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach