Alguém pode explicar como isso aconteceu?

5

Parece que estou tendo alguns resultados estranhos ao executar netdiscover na minha rede doméstica. Do modem a cabo ao meu scanner (ignorando alguns periféricos), aqui está o layout básico:

The cable modem is connected to our router, which also serves as DHCP server and primary Wi-Fi AP.

From there (again, skipping peripherals) the connection goes to a LAN port on another router, which has been stripped of its router roles (DHCP, etc) and acts only as a secondary Wi-Fi AP.

My laptop is connected to the secondary AP, running Windows 7 x64.

I'm running netdiscover from a virtual machine on my laptop, which is running Backtrack Linux.

The virtual machine is connected to my network via a VirtualBox adapter, running in "bridged" mode.

The network's addresses are in the 10.0.0.0/8 range of RFC 1918 address space.

Então, eu corri netdiscover na VM do Backtrack. A maioria dos endereços retornados foi praticamente como esperado, exceto por dois.

 IP            At MAC Address      Count    Len   MAC Vendor                   
 ----------------------------------------------------------------------------- 
 192.168.2.1     00:17:9a:8f:69:cf    01    060   D-Link Corporation           
 192.168.2.1     00:17:9a:8f:69:d0    01    060   D-Link Corporation           

Eu tenho um palpite bastante sólido sobre o que é isso - um roteador VoIP D-Link que estamos deixando apenas conectado (hard-line ao roteador) para suas funções VoIP. O endereço IP parece que pode ser um padrão de fábrica (resolverei isso em outro momento) para o dispositivo.

O que eu estou passando por cima agora é: Por que o dispositivo D-Link em 192.168.2.1 foi capaz de receber e devolver os pacotes ARP através de uma rede 10.x.x.x?

    
por Iszi 16.11.2011 / 01:41

1 resposta

5

A menos que você especifique especificamente um intervalo a ser usado, netdiscover procurará redes comuns, então isso incluiria 192.168.0.0/16.

Uma solicitação ARP é transmitida na camada 2, portanto, mesmo que o PC do backtrack esteja em uma rede IP diferente da caixa voip, a solicitação arp ainda será vista e respondida. A solicitação seria na forma de um ARP Probe, que não contém um endereço IP para responder - a resposta é enviada na camada 2 para o endereço MAC do dispositivo que originou a solicitação.

Um ARP Probe é um método para determinar se um endereço IP está em uso atualmente. Ele é normalmente usado por um dispositivo antes de "reivindicar" um endereço IP, para garantir que ninguém mais na rede local o esteja usando. No entanto, ele pode ser usado para ver quais endereços estão sendo usados na rede local e parece provável que o netdiscover os usaria.

Enquanto uma sonda arp faz parte do protocolo IP da camada 3, ela opera na camada 2. O pacote se parece com isso:

From MAC: <host mac address>, To MAC: ff:ff:ff:ff:ff:ff, Payload: "Is anyone using IP address 192.168.1.1"

Assim, o destino mac é o endereço mac de broadcast - todos eles correspondem a todos os endereços. Portanto, qualquer dispositivo de camada 2, como um comutador, o transmitirá de todas as portas no mesmo domínio de transmissão em que o pacote foi recebido. Em um roteador doméstico, isso significa todas as portas LAN (as portas lan em um roteador doméstico são switchports). Se alguma das portas LAN estiver conectada às portas LAN de outro roteador, as portas LAN estarão todas no mesmo domínio de transmissão - o pacote será transmitido para fora da porta no primeiro roteador conectado ao segundo roteador, o segundo roteador verá que o pacote está destinado a ff: ff: ff: ff: ff: ff e, portanto, o transmitirá de suas próprias portas lan.

O ponto aqui é que um pacote de broadcast da camada 2 será visto por todos os dispositivos na rede, independentemente dos endereços IP.

Então, todo dispositivo vê isso. O dispositivo voip vê que é um probe ARP e que o endereço IP que o remetente está depois corresponde ao endereço IP que ele configurou e, portanto, responde.

Não é possível responder ao endereço IP dos dispositivos de origem, porque a própria natureza de uma análise ARP é que ela é usada por um dispositivo que ainda não possui um endereço IP - ela é usada para ver se o endereço IP desejado é em uso. Portanto, o local no pacote onde o endereço IP dos remetentes normalmente seria é zero.

E a resposta da sonda ARP é, portanto, enviada para o endereço MAC do remetente.

    
por 16.11.2011 / 01:52