» изменение и ping mac адреса

Цитата:

"Машина, подозреваемая в использовании пакетного сниффера имеет адрес 10.0.0.1, и Ethernet адрес 00-40-05-A4-79-32. Ты находишься на том же Ethernet сегменте, что и подозреваемый компьютер (помни, что Ethernet используется только для коммуникации внутри сегмента, а не удаленно в интернет). Поменяй MAC адрес слегка, скажем на 00-40-05-A4-79-33. Передай "ICMP Echo Request" (ping) с IP адресом и этим новым MAC адресом. Помни, что никто не должен видеть этот пакет, так как в то время как фрейм проходит по линии, каждый Ethernet адаптер сравнивает MAC адрес со своим собственным MAC адресом. Если ни один не совпадает, они все игнорируют этот фрейм. Если же ты видишь ответ, значит подозреваемый не использовал "фильтр MAC адресов" на карте, и значит прослушивает линию. "

Два вопроса
1 как изменить mac адрес у компа в сети
2 и как пропинговать по mac адресу

Например:
------
arp -s 10.0.0.1 00-40-05-A4-79-33
ping 10.0.0.1
-----
Пинг уйдет на IP 10.0.0.1 с указанным MAC-адресом Ethernet.

А вот такой вопрос:
Как зная МАС адрес получить IP ???

Если Вы находитесь в одном широковещательном сегменте с этим компом, то можно пропинговать все IP адреса этого сегмента и затем, посмотрев ARP таблицу (ARP кэш), найти в ней известный MAC адрес.

Andy_user
В том то и дело что нужный МАС неизвестно где находится. Сегментов несколько.
Но даже если и одинаковый сегмент сети данный метод определения не слишком
удобный.

Цитата:

Если же ты видишь ответ, значит подозреваемый не использовал "фильтр MAC адресов" на карте, и значит прослушивает линию. "

Прошу прощения, это в какой системе встречается? Такая реакция либо из-за кривых драйверов карты, либо снифер слишком глубоко лезет (не туда куда ему следовало бы).
В нормальном случае слушателя (нюхателя) обнаружить невозможно.

Oleg_Kurilin

Цитата:

В нормальном случае слушателя (нюхателя) обнаружить невозможно

Угу. Зачастую именно так и есть. Прослушка чужих пакетов обычно не засекается.

zolboch
Зачем тебе эта ерунда?

To Jovanotti
"В том то и дело что нужный МАС неизвестно где находится. Сегментов несколько"
Тогда предложенный ooptimum-ом arping не поможет...
Остается смотреть какие MAC-и на каких портах управляемых свичей в Вашей сети.

Andy_user
С arping еще не разбирался. Но если это так как ты говоришь, то напрашивается решение ---- елементарное сканирование всег подсетей на IP с МАС при помощи того же
LAnGUard и выявление нужного МАС адреса.
Решение далеко не элегантное но думаю будет эффективным

Jovanotti
Что ты подразумеваешь под несколькими сегментами? Несколько физических сегментов сети, разделенные маршрутизаторами, или что?

LAnGUard позволяет узнать MAC адрес только в том случае, если на сканируемом компе работает NetBIOS over TCP/IP (NBT). Если NBT нет, то извините...
С таким же успехом можно определить MAC адрес и с помощью команды
nbtstat -A xxx.xxx.xxx.xxx

Цитата:

можно пропинговать все IP адреса этого сегмента и затем, посмотрев ARP таблицу (ARP кэш), найти в ней известный MAC адрес.

а если пинг у него закрыт, как зачастую бывает?
лучшее средство, как уже сказали выше - анализировать арп-таблицы своих свитчей.

Добавлено

Цитата:

Сегментов несколько

а что ты понимаешь под "сегментом"? если сеть роутиться, то о каких маках вообще говорим? (физическое разделение имею ввиду ессно)

To EndoR
Ваша цитата:
"а если пинг у него закрыт, как зачастую бывает?"

А причем тут закрытие ICMP пакетов ??? ARP все равно работает. И при отсутствии ответа на посланный пинг, в ARP-кэше запись будет.

ooptimum
Да подсети разделены роутерами.
Andy_user
Согласен если NetBIOS over TCP/IP вырублено то такой способ не прокатит

EndoR

Цитата:

анализировать арп-таблицы своих свитчей

--- думаю единственное верное решение, но КАК ? если доступа к свичу нет

Цитата:

а если пинг у него закрыт, как зачастую бывает

Что значит зачастую. Насколько знаю не отвечать на echo запросы может только
комп с настроенным файерволом (я имею в виду WIN системы)

Вы гоните, люди! Какие маки из других сегментов, если подсети разделены роутерами? У меня закрались подозрения, потому и спросил, а EndoR затем также совершенно верный вопрос задал.

Jovanotti
Все MAC-адреса, которые ты видишь в ARP-таблице принадлежат тому же физическому сегменту, к которому принадлежит и твой компьютер. Про остальные сегменты можешь забыть. Так что ответ на твой вопрос тут уже дали.

To ooptimum:

Цитата:

а EndoR затем также совершенно верный вопрос задал.

Да, особенно вопрос о содержимом ARP-кэша при пинговании компа, у которого порезаны ICMP пакеты...
--
Хочу уточнить.
В беседе шла речь о двух способах получения MAC-ов :
- из ARP-кэша;
- из результата команды nbtstat -A xxx.xxx.xxx.xxx

ooptimum
Исчерпывающий ответ. В принципе я так и думал, ведь во время посылки IP пакета МАС в пакете меняется, когда проходит через роутер.
Все волрос снимается ....

Блин, что-то вообще тред читать сил нет. Никак себя заставить не могу.

Andy_user
Мммм... Я не понял. Ко мне какие-то вопросы есть? Я за EndoRа не отвечаю, если что...

Jovanotti
Правильно, после прохода через маршрутизатор пакет будет иметь в своем заголовке MAC маршрутизатора.