Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Описание ARP-протокола, Ткните в нужные RFC
 
Сеть типа Ethernet. Наблюдаю довольно странную картину: снифер на локалхосте периодически показывает пакеты ARP-request, где denistation hardware address для полей ethernet и arp одинаков: ff-ff-ff-ff-ff-ff. Либо denistation hardware address для arp-заголовка равен чему угодно, но только не 00-00-00-00-00-00. По предварительному анализу выявлено, что в основном "болеют" этим роутеры.
Это идёт в разрез со знаниями о работе arp-протокола, полученного из статей, в которых написано: в arp-request пакетах поле denistation hardware address ethernet имеет значение ff-ff-ff-ff-ff-ff, а denistation hardware address arp - 00-00-00-00-00-00. Поэтому решил поглубже разобраться в устройстве ARP-протокола в сетях типа Ethernet и обратиться к первоисточникам - RFC. И здесь возник ещё один вопрос: не могу найти тот RFC, где описаны поля и их возможные значения для сетей типа Ethernet.

Среди тех, которые я просматривал были RFC-826, 948, 1042, 1433

Какие стоит посмотреть ещё?
Изменено: Shanker - 01.09.2009 21:04:15
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
в закладках было:http://www.networksorcery.com/enp/protocol/arp.htm#Destination hardware address
посмотри сам, ты же знания просил, а не ответ :)
 
Спасибо, но я уже там побывал. Куча разных доков для разных типов и стандартов сетей. А то что мне нужно - в упор найти не могу...
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
По-моему, ff-ff-ff-ff-ff-ff - это бродкастовый адрес для пакета, который получат все машины на локалке. Я ради интереса запустил wireshark - пока твоей "картины" не наблюдаю, везде  00-00-00-00-00-00 при бродкасте и конкретные MAC-и при "юникасте". Слушай, а ты случаем не ettercap пользуешься?
Изменено: capricorn - 04.09.2009 20:48:11
 
а что за железки такие арпы шлют?
или это самописный софт? :)
Изменено: SerGio - 02.09.2009 17:07:16
 
Такие пакеты наблюдаются от роутеров. В частности D-link'овских.


Цитата
capricorn пишет:
Слушай, а ты случаем не ettercap пользуешься?
Нет. Юзаю wireshark
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
вот понимаю, что все правильно... и еще вчера мне было глубоко " :sensored: " до деталей, а сейчас сижу и просматриваю RFC-ки  :cry: . Shaker, отпишись, как найдешь.
 
Ок, отпишусь. Но вообще-то надеюсь, что тут меня кто-нибудь направит в нужную сторону и скажет где читать...
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
Shanker, а ты уверен, что у тебя все в порядке, глянь вот это:

Цитата
***********************
# SAMPLE ARP POISON   *
***********************

# Expected ARP Entries for victim host (station2).

hme0   10.100.0.254         255.255.255.255       08:00:20:ff:b3:c5
hme0   10.100.0.1           255.255.255.255       08:00:20:f5:cc:75

# Bogus ARP replies from station1 to broadcast proclaiming IP Address
# of router (10.100.0.254) captured on station2

ETHER:  ----- Ether Header -----
ETHER:
ETHER:  Packet 1 arrived at 14:04:4.29
ETHER:  Packet size = 60 bytes
ETHER:  Destination = ff:ff:ff:ff:ff:ff, (broadcast)
ETHER:  Source      = 8:0:20:f5:cc:75, Sun
ETHER:  Ethertype = 0806 (ARP)
ETHER:
ARP:  ----- ARP/RARP Frame -----
ARP:
ARP:  Hardware type = 1
ARP:  Protocol type = 0800 (IP)
ARP:  Length of hardware address = 6 bytes
ARP:  Length of protocol address = 4 bytes
ARP:  Opcode 2 (ARP Reply)
ARP:  Sender's hardware address = 8:0:20:f5:cc:75
ARP:  Sender's protocol address = 10.100.0.254, 10.100.0.254
ARP:  Target hardware address = ff:ff:ff:ff:ff:ff
ARP:  Target protocol address = 0.0.0.0, OLD-BROADCAST
Изменено: capricorn - 08.09.2009 21:19:19
 
Это откуда вырезка?
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
там ничего интересного нет http://ufsdump.org/labs/howto-arpspoof.txt, просто как зацепка. Я тебя почему про ettercap спрашивал, в нем встроенная функция arp_poison есть.
Изменено: capricorn - 09.09.2009 01:21:55
Страницы: 1
Читают тему