Neuer Host im Netzwerk finden
-
Ich hab grad an einen Router/DHCP-Server an einen freien Ethernet-Port einen neuen Host angeschlossen und währenddessen auf einem anderen PC, der am selben Router an einem anderen Ethernet-Port hängt, die Pakete mitgeschnitten. Der andere PC hat von dem DHCP-Austausch genau zwei Pakete gesehen: DHCP DISCOVER und DHCP REQUEST. Beide kamen vom neuen Client. Die DHCP-Pakete vom Server sind bei meinem PC nicht angekommen, wurden also vermutlich direkt an den neuen Client geschickt, wie ich vermutet hatte.
In dem DHCP-REQUEST-Paket steht die neue IP-Adresse des Clients, allerdings weißt du dann noch nicht sicher, ob der DHCP-Server den Request akzeptiert hat.
-
http://www.henkessoft.de/OS_Dev/Bilder/rev936.PNG
Im Sourcecode von PrettyOS könnt ihr genau sehen, wie DHCP läuft.
-
@Erhard Henkes:
Die Frage war hier eher, welche DHCP-Pakete als Broadcast durchs gesamte Subnetz geschickt und mitgehört werden können. Meinem Test nach gehen viele Pakete direkt zwischen Server und Client hin- und her, ohne dass andere Teilnehmer die jemals zu sehen bekommen.
-
Wie Du im Code von PrettyOS siehst, werden DHCP DISCOVER und DHCP REQUEST vom Client mit gesetztem Broadcast Flag gesendet. Das hast Du mit deinen Tests auch heraus gefunden.
Siehe Richtlinie "RFC 2131 - Dynamic Host Configuration Protocol", 3.1
-
Dravere schrieb:
Ich habe weder IP- noch MAC-Adresse.
-vv
interessant. ich würde gerne wissen, was du stattdessen hast.
-
hallo!
grosszuegigerweise senden systeme nach dem dhcp passiert ist meist ein gratuitous arp. und da steht alles drin, was du wissen wolltest.
-
Dravere schrieb:
zwutz schrieb:
Aber du hast MAC- und IP-Adresse der anderen Teilnehmer.
Hab ich das?
Grüssli
arp -aZeigt dir die aktuelle ARP-Tabelle an.
-
mezzo mix schrieb:
grosszuegigerweise senden systeme nach dem dhcp passiert ist meist ein gratuitous arp. und da steht alles drin, was du wissen wolltest.
Kann ich nicht bestätigen, mein System (Linux) hat das beim Testen nicht gemacht, oder zumindest kam der gratuitous ARP nicht an bei den restlichen PCs im Netzwerk.
-
Christoph schrieb:
mezzo mix schrieb:
grosszuegigerweise senden systeme nach dem dhcp passiert ist meist ein gratuitous arp. und da steht alles drin, was du wissen wolltest.
Kann ich nicht bestätigen, mein System (Linux) hat das beim Testen nicht gemacht, oder zumindest kam der gratuitous ARP nicht an bei den restlichen PCs im Netzwerk.
und da muss ich dir recht geben. mein darwin machts, mein linux nicht
-
In PrettyOS machen wir das auch nicht, warum auch?
-
Funktioniert alles nicht, was hier drin bisher präsentiert wurde. Der neue Host ist ein Linux. Somit keine Grosszügigkeit mit dem ARP Paket vorhanden.
Unter
arp -ahat sich nichts verändert, nachdem sich der neue Host angemeldet hatte. Hätte mich ehrlich gesagt auch etwas überrascht. Sind auch bei weitem nicht alle aufgelistet.Einzige Lösung: Ich weiss inzwischen in welchem Bereich sich der Host sehr wahrscheinlich eintragen wird. Daher suche ich mit nmap einfach alle IPs in diesem Bereich ab (ca. 200 Stück), welche einen Port 22 offen haben. Danach schliesse ich den Host an und lasse die Suche nochmals laufen. Ist für mich genau genug, aber natürlich weit entfernt vom Idealfall.
Grüssli
-
du kannst auch einen broadcast-ping in's subnetz machen, dann wird sich der host auch melden.
-
Dravere schrieb:
Funktioniert alles nicht, was hier drin bisher präsentiert wurde.
Du empfaengst das DHCP Discover. Daraufhin hast du die MAC Adresse.
Damit kann man jetzt einiges machen, am simpelsten ist aber wohl ein Broadcast Ping und danach den arp Cache checken.Aber: DHCP Offer ist ebenfalls ein Broadcast - ueber pcap kannst du den mitschneiden (er ist an eine IP adressiert, deshalb wird er vom Rechner verworfen - aber da das Zieldevice noch keine IP hat, muss es ein Broadcast sein).
Eine andere Sache ist arping - da reagiert aber nicht jedes System darauf.
-
Dravere schrieb:
Hallo zusammen,
Ich suche nach einem Programm, mit welchem ich nach einem Host suchen kann, welcher sich ganz frisch in einem Netzwerk anmeldet. Das Programm soll auf einem PC laufen, welcher sich in diesem Netzwerk bereits befindet. Ich möchte die IP-Adresse herausfinden, welche diesem neuen Host zugewiesen wird. Was für Tools gibt es dazu? Kann man das mit nmap machen? Wenn ja, wie? Port 22 ist garantiert offen auf dem neuen Host.
Es sollte auf Windows (bevorzugt) oder Linux laufen.
Wenn ich das so lese fällt mir da spontan ein Programm ein welches uns ein Lehrer früher in der Schule mal gezeigt hat.
Such mal nach Ettercap (gibts für Windows und Linux), das kann auch Hosts im Netzwerk auflisten, ich meine das wäre auch Opensource bin mir aber gerade nicht ganz sicher.
[Oh Mann, war das lustig als der Lehrer uns was über das arp poisoning mit Ettercap erzählte ich glaub er dachte er wäre ein ganz großer 1337 h4x0r weil er ein paar Buttons anklicken kann. :D]
-
Shade Of Mine schrieb:
Aber: DHCP Offer ist ebenfalls ein Broadcast - ueber pcap kannst du den mitschneiden (er ist an eine IP adressiert, deshalb wird er vom Rechner verworfen
dhcp offer muss kein broadcast sein, das haengt vom setup ab. ausserdem ist ein offer nur ein angebot. das bedeutet nicht, dass das auch die ip ist, fuer die sich der client entscheidet.
Shade Of Mine schrieb:
- aber da das Zieldevice noch keine IP hat, muss es ein Broadcast sein).
nein, denn keine ip bedeutet nicht automatisch, dass kein layer 2 unicast moeglich ist.
rtfrfc2131
-
mezzo mix schrieb:
nein, denn keine ip bedeutet nicht automatisch, dass kein layer 2 unicast moeglich ist.
Nicht automatisch. Aber der Windows DHCP Server broadcastet dhcpoffer immer und AFAIK macht es dhcpd auch so.
Aber in der Tat gibt es einige Situationen wo ein unicast erfolgen kann.
Ergo bringt das alles eh nichts - da selbst ein DHCPDiscover ja von einem Switch abgefangen werden kann und nur direkt zum DHCP Server weitergeleitet werden kann.Also ist wohl die einzig sinnvolle Lösung ein regelmäßiger broadcast Ping.
-
Wie sieht eigentlich die Topologie aus? Wie sind Clients und Server untereinander verbunden?
