5

Кажется, я получаю некоторые странные результаты при запуске netdiscover в моей домашней сети. От кабельного модема до моего сканера (пропуская несколько периферийных устройств), вот основная схема:

Кабельный модем подключен к нашему маршрутизатору, который также служит DHCP-сервером и основной точкой доступа Wi-Fi.

Оттуда (опять же, пропуская периферийные устройства) соединение переходит к порту LAN на другом маршрутизаторе, который лишен роли маршрутизатора (DHCP и т.д.) И действует только как дополнительная точка доступа Wi-Fi.

Мой ноутбук подключен к вторичной точке доступа под управлением Windows 7 x64.

Я запускаю netdiscover с виртуальной машины на моем ноутбуке, которая работает под управлением Backtrack Linux.

Виртуальная машина подключена к моей сети через адаптер VirtualBox, работающий в "мостовом" режиме.

Адреса сети находятся в диапазоне 10.0.0.0/8 адресного пространства RFC 1918.

Итак, я запустил netdiscover на виртуальной машине Backtrack. Большинство возвращенных адресов были почти такими же, как и ожидалось, за исключением двух.

 IP            At MAC Address      Count    Len   MAC Vendor                   
 ----------------------------------------------------------------------------- 
 192.168.2.1     00:17:9a:8f:69:cf    01    060   D-Link Corporation           
 192.168.2.1     00:17:9a:8f:69:d0    01    060   D-Link Corporation           

У меня есть довольно веское предположение относительно того, что это такое - маршрутизатор D-Link VoIP, который мы оставляем подключенным (жестко подключенным к маршрутизатору) для его функций VoIP. Похоже, что IP-адрес устройства является заводским (по умолчанию я буду устранять неполадки).

Сейчас я ломаю голову над тем, почему устройство D-Link 192.168.2.1 могло принимать и возвращать пакеты ARP через сеть 10.xxx?

1 ответ1

5

Если вы не укажете конкретный диапазон для использования, netdiscover будет сканировать обычные сети, так что это будет включать 192.168.0.0/16.

Запрос ARP транслируется на уровне 2, поэтому, даже если ПК с возвратом находится в IP-сети, отличной от ящика voip, запрос arp будет по-прежнему отображаться и отвечать на него. Запрос будет в форме ARP Probe, который не содержит IP-адрес для ответа - ответ отправляется на уровне 2 на mac-адрес устройства, отправляющего запрос.

ARP Probe - это метод определения того, используется ли IP-адрес в настоящее время. Обычно он используется устройством до "запроса" IP-адреса, чтобы никто другой в локальной сети не использовал его. Однако его можно использовать для просмотра того, какие адреса используются в локальной сети, и, вероятно, его использует netdiscover.

Хотя зондирование arp является частью IP-протокола уровня 3, оно работает на уровне 2. Пакет выглядит примерно так:

From MAC: <host mac address>, To MAC: ff:ff:ff:ff:ff:ff, Payload: "Is anyone using IP address 192.168.1.1"

Таким образом, целевой mac - это широковещательный mac-адрес - все он совпадает со всеми адресами. Поэтому любое устройство уровня 2, такое как коммутатор, будет транслировать его из всех портов в том же домене широковещательной рассылки, на котором был получен пакет. В домашнем маршрутизаторе это означает все порты локальной сети (порты локальной сети на внутреннем маршрутизаторе являются портами коммутации). Если какой-либо из портов LAN подключен к портам LAN другого маршрутизатора, то все порты LAN находятся в одном домене широковещательной рассылки - пакет будет транслироваться из порта на первом маршрутизаторе, который подключен ко второму маршрутизатору, ко второму маршрутизатору. увидит, что пакет предназначен для ff:ff:ff:ff:ff:ff и, следовательно, будет транслировать его из своих портов локальной сети.

Дело в том, что широковещательный пакет уровня 2 будет виден каждому устройству в сети, независимо от IP-адресов.

Так что каждое устройство это видит. VoIP-устройство видит, что это ARP-зонд, и что IP-адрес отправителя соответствует IP-адресу, который он настроил, и отвечает.

Он не может ответить на IP-адрес отправляющего устройства, потому что сама природа ARP-зонда заключается в том, что он используется устройством, у которого еще нет IP-адреса. Он используется для того, чтобы узнать, используется ли уже используемый IP-адрес. , Таким образом, место в пакете, где обычно находится IP-адрес отправителя, - все нули.

Поэтому ответ на запрос ARP отправляется на MAC-адрес отправителя.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .