ARP -s

AttackForce_c7e9d7 · 1. Februar 2006 um 21:01

Hi

Ich habe 3 PCs:

192.168.1.1 00:a5:c5:55:11:01
192.168.1.2 00:a5:c5:55:11:02
192.168.1.3 00:a5:c5:55:11:03

Jetzt starte ich ein ping 192.168.1.1 -t von 192.168.1.3 aus… Ok funktioniert perfekt…

Jetzt mache ich folgendes bei 192.168.1.3:

arp -s 192.168.1.1 00:a5:c5:55:11:02

Jetzt sollte doch rein theoretisch wenn ich auf 192.168.1.1 pinge, eine Antwort von 192.168.1.2 kommen… geht aber nicht sprich Zeitüberschreitung!

Was habe ich übersehen, mir gehts hier um Theorie!

Danke

pumpkin_1768a9 · 1. Februar 2006 um 21:21

Moien

192.168.1.1 00:a5:c5:55:11:01
192.168.1.2 00:a5:c5:55:11:02
192.168.1.3 00:a5:c5:55:11:03

Jetzt starte ich ein ping 192.168.1.1 -t von 192.168.1.3
aus…

(was tut das -t bei deinem ping-prg ? bei meinem braucht -t noch einen Parameter von 1 bis 255)

Ok funktioniert perfekt…

Jetzt mache ich folgendes bei 192.168.1.3:

arp -s 192.168.1.1 00:a5:c5:55:11:02

(Was tut -s bei deinem arp ?)

Jetzt sollte doch rein theoretisch wenn ich auf 192.168.1.1
pinge, eine Antwort von 192.168.1.2 kommen…

192.168.1.2 bekommt ein ping-packet mit der Ziel-MAC 00:a5:c5:55:11:02 und der Ziel-IP 192.168.1.1. Die Netzwerkkarte nimmt das Packet an (weil die MAC stimmt), der IP-Stack schmeisst das Packet weg (weil die Ziel-IP nicht stimmt und der Rechner nicht auf Weiterleiten/Routen eingestellt ist). Bei 192.168.1.3 kommt nix an, also timeout.

Was habe ich übersehen, mir gehts hier um Theorie!

Und das ist auch gut so, weil keiner dir vorhersagen kann was windows da alles tun wird…

cu

StefanS_8166b2 · 2. Februar 2006 um 10:16

Hallo

Was habe ich übersehen, mir gehts hier um Theorie!

Ich würde mal sagen 192.168.1.2 antwortet nicht, weil der Netzwerkstack
merkt das der ping request nicht für ihn ist. Die Destination - IP
steht ja mit im Packet.

Kann man mit Ethereal einfach mal mittracen.

Gruß
Stefan

AttackForce_c7e9d7 · 2. Februar 2006 um 19:52

OK, danke euch!

gruss

AttackForce_c7e9d7 · 2. Februar 2006 um 19:59

Noch ne Frage zu ettercap
Habe noch ne Frage bezüglich dem Unix/Linux Tool ettercap:

Das funktioniert ja auch nach dem Prinzip, den ganzen Verkehr eines PCs über sich umleiten, also Man in the Middle…

Aber wie funktionierts dort dann? Mit der IP die eben nicht stimmt!

Danke

Sebastian · 2. Februar 2006 um 20:08

Hallo,

Aber wie funktionierts dort dann? Mit der IP die eben nicht
stimmt!

Schau mal in die man page, da wird das wirklich gut erklärt. Es stehen eine kleinere Auswahl an MITM-Methoden zur Verfügung, die arp-basierte ist vermutlich das, was Du in Deinem lokalen Netz willst.

HTH,

Sebastian

AttackForce_c7e9d7 · 2. Februar 2006 um 20:57

ok, mache ich danke!