martians

Ales Vizdal ales na vizdal.snt.cz
Čtvrtek Červen 13 10:20:47 CEST 2002


Jirka Kosina wrote:

> On Wed, 12 Jun 2002, Peter Surda wrote:
> 
>> > Zkusil sem se tcpdumpem mrknout co lita po siti (eth0) a nasel sem
>> > tohle: 21:11:14.754267 arp who-has ns.vizdal.net tell 192.168.0.100
>> > 21:11:20.763585 arp who-has ns.vizdal.net tell 192.168.0.100
>> > eth0 ma ip 193.86.81.16, na te siti 192.168.0.100 nema co delat,
>> Aha tak potom MOZNO to posiela nieco zvonka, ale skor je zle nastaveny
>> resolver alebo named.
> 
> No, named nema s arp resolution prilis mnoho spolecneho.
> Ty dva radky z tcpdumpu, ktere autor prispevku poslal, znamenaji, ze
> nekdo, kdo o sobe tvrdi, ze ma IP adresu 192.168.0.100, poklada arp dotaz
> na ns.vizdal.net
> 
> Pokud spustite ping 192.168.0.100 (a jste si jisty, ze ty packety jsou
> smerovany na ten samy interface, ze ktereho tyto packety prichazi), zacne
> Vam tato IP adresa odpovidat? Pokud ano, tak potom prikazem arp -an
> zjistite, k jake MAC adrese dana IP adresa patri, coz muze byt krok k
> vypatrani vinika.
> 

ne nepingnu si na ni. Spis mi nedochazi co delal ten arp dotaz na eth0,
kdyz se tam podle routovaci tabulky vubec nemel dostat.


cat /proc/net/arp

192.168.0.100    0x1         0x0         00:00:00:00:00:00     *        eth1

Tahle IP byla v siti pred nekolika dny cca 20minut (notebook s W95), 
ale kdyz tam aktualne neni, tak by o ni arp uz nemel vedet, ne?

                                                ales


Další informace o konferenci Linux