ip и Mac-адрес

← →
dim- (2003-02-18 18:09) [0]

Можно ли зная имя пользователя получить на какой машине он сидит (ее ip,Mac-адрес и др) и как это сделать, если не трудно примерчик или носом ткнуть куда надо

← →
dim- (2003-02-19 11:44) [1]

кто нибудь знает?

← →
Alex Konshin (2003-02-19 20:20) [2]

А если он сидит на нескольких машинах?
Домейн контролер знает, но скажет ли? По крайней мере копать нужно в том направлении.

← →
Anatoly Podgoretsky (2003-02-19 20:51) [3]

А и контроллера может не быть и многое другое

← →
dim- (2003-02-19 23:28) [4]

как бы всетаки отловить таких людишек:) очень надо
может у кого ссылки есть на статьи? или кто занимался.
А как узнать Мас-Адрес по имени машины?

← →
Alex Konshin (2003-02-20 00:03) [5]

Начнем с того, что нижний протокол может быть и не TCP.
Ты скажи, чего хочешь, может, не с той стороны роешь? Ситуацию опиши.

← →
dim- (2003-02-20 00:50) [6]

Организация у нас больщая ~600 чел. текучка тоже не маленькая, человек уволился, а нам не сообщили и под его именем другой ходит (интернет, рессурсы, БД и т.д.) выясниться это можент через пол года или когда по шапке получим от начальства.
Еще есть База кадровая, она более-менее актуальна, вот и хочу в бд прописать имена пользователей, а когда их увольняют чтобы автоматом и опользователя в сети блокировало.
Также зная имя пользователя хотелось бы получать имя машины и Мас-адрес, или хотябы по Мас по имени машины.
Во завернул:)

← →
Alex Konshin (2003-02-20 02:06) [7]

Login к конкретной машине никак не привязан. Ты вполне можешь войти с тем же логином с другой машины (в случае NT доменов, а в большой организации скорее всего так и есть). Login-то в домене вы заблокировать можете, но использовать Интернет можно и не заходя в домен.
То есть задача административная и скорее всего частично решается установкой Windows 2000 Advanced Server"а или выше, а на нем Active Directory. Он тогда будет работать как DNS server, который будет синхронизирован со списком зарегистрированых компьютеров. Это, правда, тоже не решит проблему, но хоть все будет в одном месте :). Теоретически можно получить на сервере список текущих сессий, возможно, что там же есть информация о логине - я не знаю, но копать нужно здесь, больше негде.
Но это никак не решит вопрос с несанкционированным доступом в Интернет. Тут уж надо какой-то файервол делать или управлять им удаленно. Помниться, в свое время, я для клуба М19 делал маленькую примочку на Delphi, которая просто телнетом шла на киску и включала-выключала роутинг. Думаю идея ясна.

← →
Alex Konshin (2003-02-20 02:17) [8]

Насчет MAC-address: если в организации столько компьютеров, то наверняка стоят свитчи, а при таком раскладе ты не сможешь узнать MAC-address у большинства машин, по крайней мере через ARP. Может быть это можно как-то достать их через SNMP на этих свитчах, но не знаю - никогда не пробовал, врать не буду (настроение не то).

← →
Bsl (2003-02-20 07:54) [9]

А как по IP-адресу узнать MAC, еслу он уже есть в ARP-кэше?

← →
Alex Konshin (2003-02-20 08:26) [10]

Ну этот вопрос уж как минимум раз в три дня задают. Смотри iphlpAPI, например,
http://msdn.microsoft.com/library/en-us/iphlp/iphlp/getipnettable.asp
Но, наверно, лучше для надеждности использовать функцию SendARP оттуда же.
Но опять-таки ты не сможешь достать MAC-address компьютера не из того же сегмента сети.

← →
blast (2003-02-20 15:23) [11]

У меня в конторе одно время было неудобство, связанное с перемещаемыми пользователями. Т.е. при возникновении проблемы у пользователя возникал вопрос: "А за каким компьютером он в данный момент сидит?" и приходилось :) отрываться от своего компа...
Проблему решили путем создания клиент-сервера (сервер на моей машине, клиенты на машинах в конторе). При загрузке клиентская часть возвращает имя машины и пользователя за ней. Рекомендую ВСЕМ, кто сталкивается с этими неудобствами :)

← →
Wonder (2003-02-20 17:04) [12]

>Alex Konshin
>Насчет MAC-address: если в организации столько компьютеров, то наверняка стоят свитчи, а при таком раскладе ты не сможешь узнать MAC-address у большинства машин, по крайней мере через ARP.
...
>Но опять-таки ты не сможешь достать MAC-address компьютера не из того же сегмента сети.

А с каких пор, свичи начали делить сеть на сегменты?

← →
Alex Konshin (2003-02-21 06:45) [13]

Свичи бывают интелектуальные, которые имеют собственный MAC-address и ip-address и вовсе не обязаны пропускать все и во все стороны. Например, они могут не пропускать броадкасты, а в этом случае это уже разные сегменты. Например, они уже могут организовывать и поддерживать вируальные подсетки (не ip-подсетки, а вроде как сетевые сегменты). То есть, по сути это уже скорее тупые мультипротокольные рутеры, чем умные свичи. Не веришь - посмотри на 3com SuperStack Switch. Скажешь, что таких в России не найдешь? Года три назад в фирме в Питере где я тогда работал он уже был. Думаю, что в организации, в которой, как утверждает спрашивающий, стоят сотни компьютеров, тоже стоит что-то серьезное - как минимум интелектуальный свитч, а может уже и рутер есть.
Да, не все, и не всегда. Но уж лучше пусть у спрашивающих в памяти отложится, что это не всегда будет работать, чем потом будут недоумевать почему у кучи машин один и тот же MAC-address.

Честно говоря, я не могу сейчас это проверить - ну нет у меня дома свича, рутер есть, а свича - нету. Надо будет на работе попробовать...

Кстати, если не ошибаюсь, это можно легко посмотреть по arp -a
Насколько я понимаю, будут видны совпадающие MAC-адреса. Правда, еще и в свиче хорошо бы несколько VLAN определить и тогда посмотреть. В общем, у кого он есть и кому хочется по-экспериментировать - два шага вперед.

← →
Wonder (2003-02-21 13:52) [14]

>Alex Konshin
В таком случае, было бы любопытно узнать, каким же образом сама система работает с сетью, если у кучи машин, как ты говоришь, с ее точки зрения один и тот же MAC-адрес?

Или ты думаешь, что система тоже настолько "интеллектуальна", что сама угадывает, что на самом-то деле стоит не "простой" свич, а "очень умный" свич, и с ним надо вести себя предельно осторожно, а то еще наврет о MAC-адресе :)

Нет уж. Никто пока стандарт на ARP не отменял. И тот же 3Com его соблюдает и поддерживает в той серии свичей (именно свичей, а не чего-либо другого), о которой ты говоришь.

← →
dim- (2003-02-21 15:11) [15]

Тогда такой вопрос: когда машина входит в сеть сервер как-то узнает ее Мас (в сетях я ноль, но у нас привязка идет и к мас адресу и к имени машины), скорей всего она (машина) сама отдает его, тогда почему зная имя ПК не спросить его Мак

← →
Alex Konshin (2003-02-22 05:41) [16]

2 Wonder: А систему это не должно волновать. Ей говорят, что пакеты для такого-то ip нужно слать на такой-то MAC-адрес. И это личное дело роутера/свича как с ними дальше поступать. И стандарт ARP при этом соблюдается.
Например, тебя же не удивляет, что у одного интерфейса может быть несколько ip адресов? И тогда все они будут иметь один MAC-адрес. По ARP ты должен получить MAC-адрес интерфейса, куда слать пакеты для требуемого ip-адреса, и это совсем не обязательно будет интерфейс c этим ip-адресом. Именно так и работают роутеры. Вполне возможно, что и эти свичи так делают.
По крайней мере, я помню, что там можно управлять пропусканием нетбиосовских броадкастов, а это, согласись, уже как-то не совсем укладывается в понятие "один сегмент".
Короче, у тебя есть такой свич? У меня нет, я проверить не могу. Может быть реализрвано по-разному, и все будет соответствовать стандартам. Вот только как они на самом деле поступают - я не знаю.
В конце концов, для случая роутера у тебя сомнения есть?

← →
Wonder (2003-02-25 12:04) [17]

>Alex Konshin
"А систему это не должно волновать. Ей говорят, что пакеты для такого-то ip нужно слать на такой-то MAC-адрес. И это личное дело роутера/свича как с ними дальше поступать. И стандарт ARP при этом соблюдается."
Так я ж об этом и говорю! И программиста, равно как и систему, ЭТО волновать не должно :) Что такое API объяснять не надо? :)

"По ARP ты должен получить MAC-адрес интерфейса, куда слать пакеты для требуемого ip-адреса, и это совсем не обязательно будет интерфейс c этим ip-адресом. Именно так и работают роутеры. Вполне возможно, что и эти свичи так делают."
Нет. Роутеры ТАК не работают :) В общем случае, пакет посылается на адрес того маршрутизатора, который указан в настройках протокола как default gateway. И ARP здесь нужен ТОЛЬКО для определения адреса этого маршрутизатора. Или ты думаешь, что система сразу ищет MAC-адрес получателя, если он не из той же сети, а отвечает маршрутизатор?

"По крайней мере, я помню, что там можно управлять пропусканием нетбиосовских броадкастов, а это, согласись, уже как-то не совсем укладывается в понятие "один сегмент"."
Отчего же? Отсутствие широковещания не делит сеть на сегменты :)

"Короче, у тебя есть такой свич?"
Есть. Только не 3COM.

"У меня нет, я проверить не могу. Может быть реализрвано по-разному, и все будет соответствовать стандартам. Вот только как они на самом деле поступают - я не знаю."
А я знаю :)

"В конце концов, для случая роутера у тебя сомнения есть?"
Есть. См. выше :)

← →
Alex Konshin (2003-02-26 03:37) [18]

Если ты такой умный, то скажи тогда пожалуйста, что такое default gateway в случае IPX сети? И как же тогда роутеры работают в таких сетях?
Не путай IP-роутеры и мультипротокольные роутеры, какими обычно являются "железные" роутеры.
ARP именно и предназначен для того, чтобы определить куда слать пакеты, все остальное - побочные эффекты. Ты что, в default gateway прописываешь MAC-address? И откуда, в таком случае, системе знать куда слать пакет? Это же разные уровни маршрутизации.

← →
Alex Konshin (2003-02-26 04:48) [19]

Здесь на работе я не могу со своего компьютера определить MAC-address"а даже для компьютеров, которые стоят рядом. Правда, я не знаю физическую организацию нашей сети.

← →
Wonder (2003-02-26 11:33) [20]

>Alex Konshin
"Если ты такой умный, то скажи тогда пожалуйста, что такое default gateway в случае IPX сети? И как же тогда роутеры работают в таких сетях?"
Не знаю, врать не буду. Точнее, предположить могу, но достоверно не скажу. Не работаю я с маршрутизацией IPX...

"Не путай IP-роутеры и мультипротокольные роутеры, какими обычно являются "железные" роутеры."
А я и не путаю. Маршрутизатор - он маршрутизатор и есть, хоть для одного протокола, хоть для нескольких.

"ARP именно и предназначен для того, чтобы определить куда слать пакеты, все остальное - побочные эффекты."
Все остальное - это что? ARP, вообще-то, предназначен для разрешения (конвертации) адреса сетевого уровня в MAC-адрес. Все. Больше он ни для чего не предназначен. Определением "куда слать" занимаются протоколы более высокого уровня :)

"Ты что, в default gateway прописываешь MAC-address?"
Не доходи до абсурда.

"И откуда, в таком случае, системе знать куда слать пакет? Это же разные уровни маршрутизации."
Мы о чем говорим-то хоть? А? Какие "разные уровни"? Маршрутизация, по определению, происходит на СЕТЕВОМ уровне OSI.
Система определяет все очень просто, а именно:
1. если получатель находится в той же сети, что и отправитель -> слать напрямую, используя ARP для разрешения destination IP->destination MAC
2. если получатель из другой сети -> слать на маршрутизатор (default gateway), используя ARP для выяснения MAC-адреса этого маршрутизатора

← →
Alex Konshin (2003-02-27 00:31) [21]

Разница есть.
Ты слышал, что такое tunneling? Или, например, VPN? Наверняка слышал. Этим тоже маршрутизаторы занимаются. Они могут мащрутизировать как на уровне езернетовских фреймов, так и на уровне IP. Ты толкуешь мне про IP уровень, на котором, да, есть понятие default gateway. Но, обрати внимание, что этот default gateway указывается как IP адрес.
Например, если я поставлю роурер между двумя езернетовскими сетями, то можно сделать так, что маршрутизация между этими сетями будет на уровне фреймов: роутер сам будет переправлять фреймы с одной сети в другую руководствуясь только MAC-адресом получателя, он может не иметь понятия, что такое IP. А если это IP-сеть, то можно сделать и так, как ты привык, но это уже другой уровень. В этом случае роутер ДОЛЖЕН понимать IP.
Разницу видишь?

Вот я подозреваю, что интелектуальные свичи сейчас по сути работают по первому сценарию, но возможно, что могут уже что-то делать по второму. Во всяком случае, я бы не стал утверждал, что все свитчи НЕ делят сеть на сегменты, и что через любой свитч я смогу узнать MAC-адрес любой машины в сети.

Если ты считаешь, что в первом случае достаточно свича - да согласен, это была вводная, а ты теперь вместо этого одного роутера вставь два и между ними какой-нибудь канал. Знакомая картина, не правда ли? И широко используемая. Так работают и туннелирование, и тот же VPN можно оргаинизовать по похожей схеме. Это уж точно будут роутеры, но они все равно могут продолжать работать по первому сценарию. Реально здесь он не работает как роутер в привычном понимании, но ведь железка-то одна и та же. Кстати, в этом случае можно сделать так, что ты даже не увидишь эти роутеры по traceroute.

Короче, много разных вариантов возможно. И не все сводится к IP-роутингу.
И вообще, хватит об этом. С чего началось-то? С тем что через роутер не увидишь MAC-адрес, ты согласен (кстати похоже, что и это не факт)? А то как в крутых свичах дело обстоит я достоверно не знаю, но сомнения у меня есть и ты меня пока не переубедил.

← →
Wonder (2003-02-27 11:35) [22]

Alex Konshin
Разница есть.
"Ты слышал, что такое tunneling? Или, например, VPN? Наверняка слышал. Этим тоже маршрутизаторы занимаются. Они могут мащрутизировать как на уровне езернетовских фреймов, так и на уровне IP."
Первый раз слышу про маршрутизацию на канальном уровне! Честное слово. Любопытно, я как в этом случае строятся таблицы маршрутизации?
И вот еще что: допустим (только допустим) что некие уст-ва, которые ты называешь "маршрутизаторами на уровне езернетовских фреймов", все-таки делят сеть на сегменты. Скажем, на три сегмента. Соответственно в сети - два таких "маршрутизатора". Каким образом хост в одном сегменте узнает, что пакет должен посылаться на тот или иной "маршрутизатор"? По какому критерию он решает, что именно тот или другой "маршрутизатор" выведет его пакеты в нужный сегмент?

"Ты толкуешь мне про IP уровень, на котором, да, есть понятие default gateway. Но, обрати внимание, что этот default gateway указывается как IP адрес."
Я толкую про сетевой уровень, одним из протоколов которого, несомненно является IP.

"Например, если я поставлю роурер между двумя езернетовскими сетями, то можно сделать так, что маршрутизация между этими сетями будет на уровне фреймов: роутер сам будет переправлять фреймы с одной сети в другую руководствуясь только MAC-адресом получателя, он может не иметь понятия, что такое IP."
В таком случае, ты что-то путаешь :) Или я что-то не знаю :) Это устройство не будет называться маршрутизатором.

"А если это IP-сеть, то можно сделать и так, как ты привык, но это уже другой уровень. В этом случае роутер ДОЛЖЕН понимать IP.
Разницу видишь?"
Он не должен понимать конкретно IP. Он должен понимать любой протокол сетевого уровня.

"Вот я подозреваю, что интелектуальные свичи сейчас по сути работают по первому сценарию, но возможно, что могут уже что-то делать по второму. Во всяком случае, я бы не стал утверждал, что все свитчи НЕ делят сеть на сегменты, и что через любой свитч я смогу узнать MAC-адрес любой машины в сети."
Все свичи НЕ ДЕЛЯТ сеть на сегменты. В противном случае это уже не свичи.
Если система работает и настороена правильно - можно узнать все, что "подвластно" этой системе. Вопросы для "подумать": ведь она-то как-то шлет пакеты? Значит как-то определяет адрес?

"И вообще, хватит об этом. С чего началось-то? С тем что через роутер не увидишь MAC-адрес, ты согласен (кстати похоже, что и это не факт)?"
Через маршрутизатор - не увидишь. Через свич - увидишь. Разговор-то со свичей пошел...

"А то как в крутых свичах дело обстоит я достоверно не знаю, но сомнения у меня есть и ты меня пока не переубедил."
И не старался переубеждать.

← →
Alex Konshin (2003-02-28 08:24) [23]

Чего тут допускать - они есть. В IPX сетях адреса интерфейсов и есть MAC-адреса и ни о каком ARP тут речи нет, так как вообще IP может и не быть.
В езернете все слушают и все слышат всех, это ты знаешь. Например, сетевые карты могут принимать все пакеты, которые пролетают по езернету, не важно кому они предназначены - на этом основана работа снифферов. Точно так же роутеры видят все пакеты и могут сами решать, что с ними делать. Я точно не знаю, как это работает в случае IPX, но вроде маршрутизаторы шлют-принимают RIP пакеты, в которых как раз-таки обмениваются даными о своих сетках, что-то в этом духе. А кто сидит в сетках, которые к нему подсоединены, он и сам видит и поддерживает таблицу MAC-адресов.
То есть, конкретному компьютеру не важно, где сидит его адресат. Сетевой интерфейс у него один (если не один, то тогда система уже сама должна знать на какой интерфейс слать, например, роутер - это частный случай такой системы), поэтому он просто кидает пакет в езернет, и получат его все в этом сегменте, если это адресат, этим дело и заканчивается, если это роутер, который знает, куда его передавать дальше, то он и передаст его дальше.
То есть, и без IP протоколов все работает (только не надо опять передергивать - я подразумеваю все семейство протоколов IP).

Вернемся к свитчам.
Хорошо, дай определение сегмента сети. Различные VLAN это один сегмент или разные сегменты? Две сетки соединенные туннелем с пропусканием всего трафика в обе стороны - это один сегмент или два? А если что-то все-таки фильтруется?
Свитчи уже поддерживают VLAN. И фильтровать умеют. И сниффером ты уже не услышишь то, другой компьютер, если на пути стоит свитч. Так что же тогда сегмент? На мой взгляд это понятие уже стало несколько расплывчатым.

>Через маршрутизатор - не увидишь. Через свич - увидишь.
Получается, что в ipx сети и через роутер увидишь, если он, конечно, ipx пропускает.

>Вопросы для "подумать": ведь она-то как-то шлет пакеты?
Все зависит от протокола.
В ip сети используется ARP - сам знаешь. И работает это так: после того, как система определилась, куда же слать (я имею в виду сети-подсети-default gateway), она смотрит в кеше arp, если не нашла - кидает пакет в езернет "кто будет принимать пакеты для такого-то IP?", кто-то отвечает - "я буду, мой MAC-адрес такой-то". Дальнейшее отправителя не интересует. Это кстати, не значит, что тот, кто ответил и имеет этот искомый IP-адрес (да, обычно так и есть, но это не требуется), т.е. пакет может быть передан дальше, пока он действительно не попадет на интерфейс с искомым IP-адресом, как это произойдет - уже личное дело того, кто заявил, что он сможет это сделать.

← →
Wonder (2003-02-28 14:48) [24]

>Alex Konshin
"Чего тут допускать - они есть. В IPX сетях адреса интерфейсов и есть MAC-адреса и ни о каком ARP тут речи нет, так как вообще IP может и не быть."
Ничего не понял. Адрес в IPX выглядит так: N:M
N - восьмизначный шестнадцатеричный номер сети. M - MAC-адрес сетевой платы. А не просто MAC-адрес. И это не главное. Разговор-то с IP начался, зачем сваливаться на IPX? :)

"В езернете все слушают и все слышат всех, это ты знаешь. Например, сетевые карты могут принимать все пакеты, которые пролетают по езернету, не важно кому они предназначены - на этом основана работа снифферов"
Это кто сказал? Свичи на то и сделаны, чтобы направлять пакеты ТОЛЬКО НУЖНОМУ интерфейсу. И все всех не слышат в этом случае :)
Только широковещание, если не запрещено.

"Точно так же роутеры видят все пакеты и могут сами решать, что с ними делать."
В том-то все и дело, что не слышат они всех :) И чтобы система могла послать пакет нужному маршрутизатору, адрес этого маршрутизатора должен быть где-то локально прописан. Или в таблице маршрутизации, или как default gateway, или еще как. По твоей логике, маршрутизаторы - те же снифферы. Это не так.

"То есть, и без IP протоколов все работает (только не надо опять передергивать - я подразумеваю все семейство протоколов IP)."
Работает - кто же спорит? :) Только не так, как ты думаешь :)

"Хорошо, дай определение сегмента сети. Различные VLAN это один сегмент или разные сегменты? Две сетки соединенные туннелем с пропусканием всего трафика в обе стороны - это один сегмент или два? А если что-то все-таки фильтруется?"
Тут надо понимать различия в терминологии. Сегмент - это терминология, применяемая и к физической организации сети и к логической. Но читая все выше сказанное, особенно про ARP и особенно самое раннее, можно сказать, что сегмент (логический) - часть сети (физической), разделенная сетевыми устройствами, которая логически представлена как отличная от остальных сеть(уже не физическая). Т.е. сеть, разделенная репиторами - это один сегмент. Сеть, разделенная маршрутизаторами - это уже два и более сегмента.
Во всяком случае, я так думал и думаю, дабы не путаться.
По твоей логике, если допустить, что некие свичи делят сеть на сегменты, то получится, что какой-то сегмент сети состоит ТОЛЬКО из одного компьютера. Поскольку сегмент - это тоже сеть, то, мысля в рамках этого конкретного сегмента, в нем не существует сети как таковой, потому что сеть из одного компьютера - это есть отсутствие сети (только про loopback рассуждать не надо) :)

"Получается, что в ipx сети и через роутер увидишь, если он, конечно, ipx пропускает."
Я ж сказал, про IPX достоверно не знаю, но по логике - нет, не получается.

"Это кстати, не значит, что тот, кто ответил и имеет этот искомый IP-адрес (да, обычно так и есть, но это не требуется), т.е. пакет может быть передан дальше, пока он действительно не попадет на интерфейс с искомым IP-адресом, как это произойдет - уже личное дело того, кто заявил, что он сможет это сделать."
Как же это не значит? Очень даже значит. Просто послать пакет в надежде что кто-то его где-то отловит - нельзя. След-но надо искать адресата локально. Локально без IP-адреса икать неполучится. Сл-но имеем жесткое соответствие IP->MAC-адрес.

← →
Anatoly Podgoretsky (2003-02-28 19:10) [25]

Alex Konshin © (27.02.03 00:31)
Те интеллектуальные свичи, с которым мне пришлось столкнуться работали на основе MAC адресов, они изучали сеть и в дальнейшем посылали пакеты уже на конкретный порт, но наверно есть и другие.

У меня к вам обоим вопрос, мой компьютер подключен на свич провайдера, но на него сваливается большое количество UDP пакетов из разных сетей, на разные порты, адреса не широковещательные. Что тут можно предположить, то ли сеть не изучена свичом то ли проблемы у провайдера. Мне из за этого пришлось сильно перестроить файрвол и запретить логирование, поскольку иначе лог набегал на несколько десятков мегабайт.
Какие есть предположения, мысли по этому поводу?

Да на одном из моих свичей Intell Express есть возможность организовывать логические виртуальные сети, позволяет полностью блокировать весь посторонний трафик.

← →
Alex Konshin (2003-02-28 21:40) [26]

Опять снова-здорова. Раньше было так: если я в одном сегменте с кем-то, то я должен слышать все от него. Если посмотреть несколько сообщений назад, то ты сам это утверждаешь. Свичи это правило нарушают/изменяют, по сути это уже роутеры на канальном уровне. Вот почитай коротенькую статейку по 802.1Q VLAN:
http://www.nwfusion.com/news/tech/2001/0305tech.html

Я совершенно не понял твое высказывание про ОДИН компьютер в сети. Где ты это увидел? Практически всегда к свитчу подключены или обычные хабы, или просто коаксиал, я уж не говорю про wireless. Да я и не вижу ничего крамольного в том, что какая-то сеть или сегмент состоит из одного компьютера, в этом может быть глубокий смысл, например, иногда разумно подключить супер-пупер сервер непосредственно к роутеру/свитчу. Если ты про VLAN, так там вообще можно объединять порты свитча в одну VLAN произвольно.

По поводу IP->MAC-адрес. Локально по ARP ты получаешь соответствие IP->MAC-адрес, но, еще раз: это не значит что этот MAC-адрес действительно имеет этот IP. Если тот, кто сказал, что он будет получать пакеты для такого-то IP, не имеет этот IP, то он должен, естественно, его отправить дальше. Как он это делает - его личное дело, но понятно, что он ориентируется по IP адресата.
А фреймы именно так и посылаются в езернете, именно в надежде, что их кто-то прочитает, это как радио - тебя слышат все. Свитчи это меняют, о чем и речь.

← →
Alex Konshin (2003-02-28 21:56) [27]

> Anatoly Podgoretsky

Понятно, что по уму этим должен озаботиться твой провайдер. Очень странно, что ты подключен именно к свитчу провайдера, все-таки обычно у них стоят какие-нибудь киски. Это очень небезопасно для самого провайдера.
То есть, твой провод прямо воткнут в их свитч и ничего между вами нет? И другие клиенты тоже воткнуты в этот свитч? А получаешь UDP от кого и для кого?

← →
Anatoly Podgoretsky (2003-02-28 22:13) [28]

Физически конечно есть, я все таки на растоянии 4 км от него, но логически я напрямую воткнут в свич.
Это сделано с помощью SHDSL (2.5 mb) в режиме bridge (можно конечно поэкспериментировать с режимом маршрутизатора, дополнительно с трансляцией адресов и организацией отдельной сети, но так проще). От его клиентов я хорошо защитился с помощью файрвола, беспокоит только лишний трафик.
UDP получаю от разных сетей 10.x.x.x, 192.168.x.x, 213.x.x.x (в этой сети я), адресаты различные, порты различные (но много по 135-139 порту, что понятно) в основном в диапазоне привелигирированных портов. По TCP все в порядке ничего лишнего.

В общем все что есть в его сети сваливается ко мне. Из за этого лог файрвола пришлось отключить.
Что мешает видеть атаки на мою сеть.

← →
Alex Konshin (2003-03-01 07:32) [29]

Трудно что-то посоветовать, одно ясно, что это явная проблема у провайдера. Если провайдер таким образом пытается сэкономить на киске, то он неправ. Скорее всего, выглядит примерно так: стоит свитч и в него воткнуты каналы быстрых клиентов, киска, наверно, все-таки есть (ну не поверю, что ее нет!) и свитч воткнут в нее, как там дальше - уже не важно. То есть, провайдер просто решил сэкономить на роутере и вы имеете от этого проблемы.
Кстати, посмотри traceroute(tracert) куда-нибудь: свитч ты, конечно, не увидишь, но киски увидеть должен, провайдер скорее всего не будет запрещать тебе это делать.
Насколько я понял, у тебя внешний адрес, а у твоих соседей-товарищей по несчастью стоят какие-то прокси/файерволы с NAT, но он неверно настроен (я не удивлюсь, если там внешний кабель просто во внутреннюю сеть воткнут) и поэтому ты видишь их трафик. Причем таких несознательных товарищей как минимум двое. А вот почему ты их видишь через свитч... Даже и не знаю. Может, провайдер еще более экономный, чем мы думаем, и помимо свитча там еще и хабы стоят? То есть ты воткнут в некий сеточку, в которой таких как ты еще дцать штук, она через свитч подключена к киске и т.д.. Вот это, на мой взгляд, наиболее вероятная картина.
Короче, тряси провайдера - он что-то темнит. На мой вгляд, вполне понятный повод для недовольства с твоей стороны. Пусть либо учит твоих соседей, либо сам фильтрует мусор.

← →
Anatoly Podgoretsky (2003-03-01 16:02) [30]

Именно так и сделано, просто я не стал подробно расписывать, меня просто интересовало, почему некоторые UDP пакеты лезут ко мне, видимо не очень качественный свич.
А так действительно, у него вся сеть построена так, дешевый провайдер и в принципе эта сторона меня очень устраивает, канал мне обходится во много раз дешевле, чем от другого, мне правда немного не повезло, на моей линии не потянуло 10 мбит, но и 2.5 тоже не плохо.

Вопрос я собственно задал про свич, почему все таки он ко мне это гонит. Если бы это были бродкаст пакеты из иоей сети, то это было понятно, а так абсолютно постороннии из разных сетей. А в сети в общем порядка 1000 машин.

Ну а проблемы безопасность сети провайдера это его проблемы, я от них защитился, просто пришлось потратить дополнительное время.

Дополнительная проверка показала, что это касается только UDP, ни одного постороннего TCP пакета не поступило.

← →
Rouse_ (2003-03-01 16:12) [31]

Все не читал (время держит ;) по вопросу советую прочитать мою статью http://delphi.mastak.ru/articles/netmon/index.html

Желаю успехов

← →
Wonder (2003-03-03 11:52) [32]

>Alex Konshin
"Опять снова-здорова. Раньше было так: если я в одном сегменте с кем-то, то я должен слышать все от него. Если посмотреть несколько сообщений назад, то ты сам это утверждаешь."
Пардон. Где это я утверждал, что в одном сегменте с кем-то ОБЯЗАТЕЛЬНО слышно ВСЕ? Я утверждал следующее:
а) свичи не делят локальную сеть на сегменты. (ну если, конечно, это не разные сети :)
б) в лок. сети со свичами можно узнать MAC-адрес любой машины.
Если это не так - пожалуйста, документы. :)

"Свичи это правило нарушают/изменяют, по сути это уже роутеры на канальном уровне."
Не бывает маршрутизаторов на канальном уровне. Маршрутизация происходит на СЕТЕВОМ уровне.
Или мы путаемся в терминологии.

"Я совершенно не понял твое высказывание про ОДИН компьютер в сети. Где ты это увидел?"
В твоих рассуждениях :)

"По поводу IP->MAC-адрес. Локально по ARP ты получаешь соответствие IP->MAC-адрес, но, еще раз: это не значит что этот MAC-адрес действительно имеет этот IP. Если тот, кто сказал, что он будет получать пакеты для такого-то IP, не имеет этот IP, то он должен, естественно, его отправить дальше."
А этот "кто-то" не сможет сказать, что он получает пакеты для какого-то IP-адреса, не владея этим адресом. Т.е. сказать-то, конечно, может, если руками его заставить, но это неправильно.

"А фреймы именно так и посылаются в езернете, именно в надежде, что их кто-то прочитает, это как радио - тебя слышат все. Свитчи это меняют, о чем и речь."
Да кто же это сказал-то? :) В сети все посылается куда-то. На какой-то, заранее известный, адрес (широковещание мы не берем в расчет). А вот как сеть организована на физическом уровне - это уже отдельный разговор. Если все на коаксиале, то в силу особенности именно коаксиала - да, все всех слышат. Если сеть на хабах - да, все всех слышат. А вот если сеть на свичах - нет, не слышат. Но от этого не меняется логика посыла пакета. Меняется только физический маршрут следования этого пакета.

>Anatoly Podgoretsky
"Вопрос я собственно задал про свич, почему все таки он ко мне это гонит. Если бы это были бродкаст пакеты из иоей сети, то это было понятно, а так абсолютно постороннии из разных сетей. А в сети в общем порядка 1000 машин.
...
Дополнительная проверка показала, что это касается только UDP, ни одного постороннего TCP пакета не поступило."

А каким образом выяснилось, что UDP-пакеты предназначены для других сетей? Точнее. как происходила проверка и отслеживание всего этого?

← →
Alex Konshin (2003-03-04 10:28) [33]

Еще раз.
По ARP ты не обязан получить MAC-адрес интерфейса, который действительно имеет этот IP. Да, в RFC-868 вроде бы написано так, как говоришь ты, но почитай описание проблемы (остальное нашего вопроса не касается) в RFC-1868 и ты поймешь, что реально это не всегда выполняется (о чем говорю я). Также рекомендую заглянуть в RFC-1029, там ты тоже увидишь, что с ARP не все так просто, а в RFC-3344 и прямо говориться о такой схеме, как я говорил.

"Фремы" и "пакеты" - разные понятия, пакет посылается куда-то, а фрейм посылается в езернет и его видят все, кто сидит на этом езернете (или хабах).
ARP реквест - широковещательный пакет, так что роутер в любом случае его видит.

И не надо мне рассказывать, как все должно работать по классике.
Я это сам прекрасно знаю. Я сомневаюсь только в том, что сейчас уже работает не так как когда-то было задумано. Все развивается и меняется. И стандарты тоже меняются.

По поводу свичей.
Так как свичи поддерживают VLAN, то ЕСТЬ у меня сомнения по обоим пунктам:
a) свичи не могут делить сеть на сегменты (а что, разные сети не есть разные сегменты?)
б) в локальной сети сети со свичами можно узнать MAC-адрес любого компьютера (если не возражаешь, уточню: узнать через ARP).
Вспомним, что ARP - широковещательный запрос, VLAN фильтруют броадкасты. Мне лично, далеко не очевидно, и даже сомнительно, что я ВСЕГДА могу узнать MAC-адрес другого компьютера с помощью ARP.
Документы привести не могу, если мне память не изменяет IEEE документы дает за деньги, может и не за деньги, но с какими-то ограничениями, по крайней мере я помню, что у меня были когда-то проблемы с поиском какого-то IEEE. Завтра попробую поискать.
Пока поразвлекайся с этим: http://www.enterasys.com/support/manuals/topman1.2/qhlp/q_vlans_cf.html

Я до сих пор не понял твое высказывание про ОДИН компьютер в сети. ГДЕ ты это увидел? В ТВОИХ рассуждения я вижу, в своих - не вижу.

← →
Wonder (2003-03-04 11:27) [34]

"По ARP ты не обязан получить MAC-адрес интерфейса, который действительно имеет этот IP. Да, в RFC-868 вроде бы написано так, как говоришь ты, но почитай описание проблемы (остальное нашего вопроса не касается) в RFC-1868 и ты поймешь, что реально это не всегда выполняется (о чем говорю я). Также рекомендую заглянуть в RFC-1029, там ты тоже увидишь, что с ARP не все так просто, а в RFC-3344 и прямо говориться о такой схеме, как я говорил."
Посмотрю. Только не следует забывать, что речь идет о лок. сетях и ethernet-е, а не, к примеру, о Proxy ARP и модемах...

""Фремы" и "пакеты" - разные понятия, пакет посылается куда-то, а фрейм посылается в езернет и его видят все, кто сидит на этом езернете (или хабах)."
Физически - да, посылается вроде бы просто в провода, т.е. как бы всем. Но, если поднятся на уровень выше, на канальный уровень, - нет, посылается конкретному адресату и только ему. А вот как тот самый физический сигнал распространяется по проводам - это, как я говорил, уже отдельная тема. Если бы посылалось все и всем, то не было бы свичей, потому как нельзя было бы определить правило коммутации фреймов. Да и "фреймы" и "пакеты", вообщем-то, одно и то же, в контексте с ethernet. Но я готов принять эту терминологию.

"ARP реквест - широковещательный пакет, так что роутер в любом случае его видит."
Да. Видит. А толку? Если у маршрутизатора не тот IP - он его (пакет) отбросит и все.

"Я сомневаюсь только в том, что сейчас уже работает не так как когда-то было задумано. Все развивается и меняется. И стандарты тоже меняются."
В случае TCP/IP-сетей работает именно так, как и задумывалось. Ничего принципиально не изменилось. Только добавляется все новое и новое, но старое, как правило, особо не меняется.

"Так как свичи поддерживают VLAN, то ЕСТЬ у меня сомнения по обоим пунктам:"
Да что ж ты к VLAN пристал? :)

"a) свичи не могут делить сеть на сегменты (а что, разные сети не есть разные сегменты?)"
Если принять то описание сегментов, которое дал я, то, безусловно, разные сети (различие сетей надо понимать в различии данных сетевого уровня, например, разные сети IP) - разные сегменты.

"б) в локальной сети сети со свичами можно узнать MAC-адрес любого компьютера (если не возражаешь, уточню: узнать через ARP)."
Конечно через ARP.

"Вспомним, что ARP - широковещательный запрос, VLAN фильтруют броадкасты. Мне лично, далеко не очевидно, и даже сомнительно, что я ВСЕГДА могу узнать MAC-адрес другого компьютера с помощью ARP."
Абсолютно точно и _не_ сомнительно. Если принять одно "но". Речь идет о правильно настроенной и функционирующей TCP/IP-сети.

"Завтра попробую поискать."
Жду.

"Я до сих пор не понял твое высказывание про ОДИН компьютер в сети. ГДЕ ты это увидел? В ТВОИХ рассуждения я вижу, в своих - не вижу."
Как мы знаем, в свичи можно воткнуть либо другой свич, либо компьютер, либо иное сетевое устройство. Так вот если обсуждать только компьютеры и принять твой тезис о разных сегментах, то получается, что каждый компьютер, воткнутый в свич, представляет собой отдельный сегмент, т.е. отдельную сеть из одного компьютера.

← →
Anatoly Podgoretsky (2003-03-04 12:18) [35]

Wonder © (03.03.03 11:52)
С помощью файрвола, информация о блокированных пакетах выводится на одну из консолей и в лог.
Сети 10.x.x.x 192.168.x.x 213.35.134.x это моя
Наряду с широковещательными адресами x.255 присутствуют и прочии, порты в широком диапазоне.
После дополнительного тестирования, некоторое время сваливались ко мне пакеты и по TCP из сети 192.168.200.0 но только некоторое время, но это было похоже на изучение свичем сети, шли несколько десятков минут, потом прекратились, хотя данная машина оставалась в сети (проверено по пингу), а количество пакетов по UDP достаточно больщое, хотя большинство относительно честное, широковещательное.
Мне это особо не мешает, просто заинтересовало в связи со сменой канала к моему провайдеру.

← →
Юрий (2003-03-12 12:32) [36]

Можно я подниму тему еще раз?

Если скажем я послал ping <адрес> и получил ответ, то в этом ответе отправитель нигде не вкладывает свой mac-адрес?

← →
Alex Konshin (2003-03-13 09:22) [37]

MAC-address будет в заголовке езернет фрейма, но прежде чем послать этот ping, система все равно будет использовать ARP, так что это просто бесмысленно, тем более, что никто НЕ обязан отвечать на пинг. Отвечающий может быть где угодно, а MAC-address будет скорее всего от последнего роутера, через который он вернулся.

← →
Alex Konshin (2003-03-13 09:48) [38]

Описание стандарта IEEE 802.1Q (это про VLAN).
http://standards.ieee.org/getieee802/download/802.1Q-1998.pdf
(честно говоря, только пролистал его - читать пока не было времени, на первый взгляд документ довольно тяжел для понимания).

Кое-что по-русски на ту же тему:
http://www.ixbt.com/comm/ci-vlq.html

← →
Alex Konshin (2003-03-13 10:20) [39]

> "Я до сих пор не понял твое высказывание про ОДИН компьютер
> в сети. ГДЕ ты это увидел? В ТВОИХ рассуждения я вижу, в
> своих - не вижу."
> Как мы знаем, в свичи можно воткнуть либо другой свич, либо
> компьютер, либо иное сетевое устройство. Так вот если обсуждать
> только компьютеры и принять твой тезис о разных сегментах,
> то получается, что каждый компьютер, воткнутый в свич, представляет
> собой отдельный сегмент, т.е. отдельную сеть из одного компьютера.

НЕ ВИЖУ как это следует. К свичу может быть (а обычно так и есть из-за относительной дороговизны свичей по отношению к хабам) подключен хаб (или вообще коаксиал), а к нему - куча компьютеров. И даже если к каждому порту подключен только один компьютер, то все равно это мое дело как их объеденить в VLAN, причем один и тот же компьютер может принадлежать к нескольким VLAN.

Разными сегментами являются разные VLAN. И с конкретного компьютера, на мой взгляд, нельзя узнать MAC-address другого компьютера, если они не принадлежат к одной VLAN. Пока я НЕ вижу опровержения этому. Насколько я понимаю, у тебя в этом случае просто нет физической возможности увидеть другой компьютер через свитч (это, кстати, не всегда означает, что они не видят друг друга по ip - некий третий узел может быть роутером между ними).

Вот еще нашел некий обзор на русском:
http://www.citforum.ru/nets/protocols2/index.shtml
(смотрите в конце)

← →
Alex Konshin (2003-03-13 11:09) [40]

Если выдать запрос по IEEE 802.1Q на гугл, то выдается море описаний различный свичей, которые его поддерживают. И встретил также то, о чем догадывался - так называемые "маршрутизирующие коммутаторы", т.е. свичи навороченные уже настолько, что начинают выполнять функции маршрутизатора. Например:
http://www.kosht.com/vtr/belsoft1.shtml
Это, конечно, не единственное устройство такого рода, подобные есть и у других производителей.

ip и Mac-адрес Найти похожие ветки