• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

Specjalista od sieci potrzebny - protokół ARP

Aruba Cloud VPS - 50% taniej przez 3 miesiące!
+5 głosów
206 wizyt
pytanie zadane 7 maja w Sieci komputerowe, internet przez tubylec01 Obywatel (1,550 p.)

Budowa sieci:

Karta sieciowa pod USB (IP 192.168.0.248; 192.168.1.248; 192.168.10.248, MASKA: 255.255.255.0) ==> Switch aktywny ==> urządzenie IoT

 

Problem:

Jest program, który szuka adresu IP podłączonego urządzenia spośród puli 13 adresów (urządzenie ma jeden z tych 13 adresów i jest to zazwyczaj 192.168.10.40) . W czasie pingowania urządzenia w sieci jest tylko jedno urządzenie. Używa do tego komendy:

f'ping -n {no_echo} -l {buffer} -S {ip_s} {ip_d}'

 

Po odnalezieniu urządzenia jest na nim przeprowadzane kilka operacji ale to nie istotne, po operacjach jest odłączone urządzenie i przychodzi nowe z prawdopodobieństwem 90% tego samego adresu IP (192.168.10.40)

Problem wydaje mi się, że leży w tablicy ARP, gdzie to jest przypisany adres MAC do adresy IP.
Wireshark pokazał:

Dlaczego w przypadku adresów 192.168.1.206 i 192.168.1.205 rozsyła Broadcast a w przypadku adresów 192.168.10.40 i 192.168.1.250 pyta już o jakieś konkretne urządzenia (pamięta je z tablicy arp?)? Można to obejść, tak aby mogły przychodzić urządzenia z nowym adresem MAC ale identycznym adresem IP, takim jak poprzednik lub żeby zawsze był rozsyłał Broadcast i na nowo mapował tablicę arp?

Dodam, że komenda arp -a pokazała taki rezultat, nie wiem czym są wszystkie urządzenia - ktoś wie skąd to? - poza tymi pokolorowanymi na żółto  (to są adresy IP z mojej puli 13 adresów, które szukam w podłączonym urządzeniu)

Te adresy 192.168.1.200 i 192.168.10.40 nie usuwają się same pomimo upływu czas... 

Ktoś się zna na tym i wie jak mi pomóc?
Jakieś ustawienia karty sieciowej?

1
komentarz 7 maja przez Oscar Nałogowiec (29,340 p.)
edycja 7 maja przez Oscar

To arp trzyma dane dłużej niż myślałem - u mnie nawet kilka minut.

Skasowanie wskazanego rekordu arp pod Linuxem:

arp -i {interface} -d {ip_addr}

Trzeba być rootem albo użyć sudo.

Nie mam windy ale pewnie podobnie...

Pokaż trochę więcej tego wiresharka, bo nawet nie wiadomo czy przyszła odpowiedź. Przypuszczam, że najpierw próbuje na ostatnio pamiętany adres, ale jak nie dostanie odpowiedzi powinien spróbować na broadcast.

Wykonałem próbe na linuxie i dostałem:

20:41:45.955998 f0:79:59:61:53:2c > b8:27:eb:aa:d9:6f, ethertype ARP (0x0806), length 42: Request who-has 192.168.1.19 tell 192.168.1.4, length 28
20:41:46.983978 f0:79:59:61:53:2c > b8:27:eb:aa:d9:6f, ethertype ARP (0x0806), length 42: Request who-has 192.168.1.19 tell 192.168.1.4, length 28
20:41:48.003995 f0:79:59:61:53:2c > b8:27:eb:aa:d9:6f, ethertype ARP (0x0806), length 42: Request who-has 192.168.1.19 tell 192.168.1.4, length 28
20:42:30.378551 90:4d:4a:7f:0a:fd > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 60: Request who-has 192.168.1.19 tell 192.168.1.1, length 46
20:43:27.664790 f0:79:59:61:53:2c > ff:ff:ff:ff:ff:ff, ethertype ARP (0x0806), length 42: Request who-has 192.168.1.19 tell 192.168.1.4, length 28

 

Wyłączyłem komputer z końcówką IP .19 - oczywiście po ssh, czyli miałem nawiązane połączenie i rekord w arp. Najpierw .4 pytał się po MAC-adresie, po jakieś 2 minutach dane zostały przeterminowane i poszedł broadcast.

$ arp -en
Address                  HWtype  HWaddress           Flags Mask            Iface
192.168.1.19                     (niekompletny)                            enp3s0

 

komentarz 8 maja przez tubylec01 Obywatel (1,550 p.)

Filtrowanie dla wybranego adresu MAC:

Widać, że całość zaczęła się od protokołu ICMP, a nie powinno od ARP?

komentarz 8 maja przez tubylec01 Obywatel (1,550 p.)

Nowe badanie dzisiaj.

  • Adres urządzenia 192.168.10.41
  • Tablica arp:
  • Całość z rekina dla filtru (coś więcej dać w filtrach?): 
    arp.dst.proto_ipv4 == 192.168.10.41 || ip.dst == 192.168.10.41 || ip.src == 192.168.10.41 || arp.src.proto_ipv4 == 192.168.10.41
    7	3.105517	192.168.10.248	192.168.10.41	ICMP	58	Echo (ping) request  id=0x0001, seq=29/7424, ttl=128 (no response found!)
    60	7.853132	ASIXElectron_4f:d1:f4	unknow_75:05:2b	ARP	42	Who has 192.168.10.41? Tell 192.168.10.248
    64	8.846593	ASIXElectron_4f:d1:f4	unknow_75:05:2b	ARP	42	Who has 192.168.10.41? Tell 192.168.10.248
    67	9.317902	192.168.10.248	192.168.10.41	ICMP	58	Echo (ping) request  id=0x0001, seq=52/13312, ttl=128 (no response found!)
    75	9.861308	ASIXElectron_4f:d1:f4	unknow_75:05:2b	ARP	42	Who has 192.168.10.41? Tell 192.168.10.248

     

komentarz 17 listopada przez st_krzysiek Początkujący (400 p.)

@tubylec01, chcąc wysłać ping'a musisz prawidłowo zaadresować ramkę. Brak MAC adresu w tablicy ARP skutkuje uruchomieniem protokołu w celu pozyskania MAC'a zupełnie naturalne i prawidłowe

1 odpowiedź

+1 głos
odpowiedź 9 maja przez mokrowski Mędrzec (156,420 p.)
Polską wersję także znajdziesz z 2-giej ręki: https://archive.org/details/TCPIPIllustratedVol.1TheProtocols1stEdition

Podobne pytania

0 głosów
0 odpowiedzi 339 wizyt
pytanie zadane 14 stycznia 2017 w Sieci komputerowe, internet przez Ramquest Nowicjusz (120 p.)
0 głosów
1 odpowiedź 290 wizyt
0 głosów
0 odpowiedzi 263 wizyt

93,187 zapytań

142,201 odpowiedzi

322,012 komentarzy

62,514 pasjonatów

Advent of Code 2024

Top 15 użytkowników

  1. 2127p. - dia-Chann
  2. 2092p. - Łukasz Piwowar
  3. 2079p. - Łukasz Eckert
  4. 2037p. - Tomasz Bielak
  5. 2006p. - rucin93
  6. 2006p. - Michal Drewniak
  7. 2005p. - Łukasz Siedlecki
  8. 1964p. - CC PL
  9. 1946p. - Adrian Wieprzkowicz
  10. 1901p. - Mikbac
  11. 1744p. - rafalszastok
  12. 1734p. - Anonim 3619784
  13. 1586p. - Dawid128
  14. 1520p. - Marcin Putra
  15. 1480p. - ssynowiec
Szczegóły i pełne wyniki

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj

Wprowadzenie do ITsec, tom 1 Wprowadzenie do ITsec, tom 2

Można już zamawiać dwa tomy książek o ITsec pt. "Wprowadzenie do bezpieczeństwa IT" - mamy dla Was kod: pasja (użyjcie go w koszyku), dzięki któremu uzyskamy aż 15% zniżki! Dziękujemy ekipie Sekuraka za fajny rabat dla naszej Społeczności!

...