[GTER] "Lookup" ARP reverso.
Andre Uratsuka Manoel
andre at insite.com.br
Thu May 17 20:45:59 -03 2007
On Thu, May 17, 2007 at 08:23:38PM -0300, Lao DanTong wrote:
> On Thu, 17 May 2007, MARLON BORBA wrote:
>
> > Se existe broadcast ARP WHO-HAS <endereço-ip> deveria existir recurso em
> > sentido contrário, não?
Não necessariamente. Na resolução de endereços IP -> Ethernet não existe
a menor necessidade do caminho contrário. Exceto em situações como a
sua.
> ping para broadcast?
Se a máquina tiver suporte a IP configurado corretamente, a solução
seria uma das seguintes alternativas, na minha opinião:
1. instale o arpwatch em alguma máquina do segmento e espere até
aparecer nos logs uma estação com o MAC address esperado.
2. mande um ping para o broadcast do segmento de rede se possível e
espere resposta, talvez olhando o log do arpwatch ou sniffando a rede.
3. Se por algum motivo você não recebe ARPs (o seu switch barra, por
exemplo), faça o endereço de origem ser o IP de uma máquina não
existente, o que forçaria a máquina a mandar um ARP que você poderia ver
via arpwatch ou sniff dos broadcasts.
4. Se voce não consegue mandar um ping para o broadcast, tente mandar
ping para 224.0.0.1, preferencialmente direcionado ao MAC dado.
5. Se o seu objetivo é identificar a máquina, veja se esses broadcast
são anúncios SAP. Se são, descubra o nome da máquina pelos broadcast (acho que um
tcpdump e strings deve resolver, um hexdump -C) e daí procure
em tabela de DNS, de WINS ou no domínio para identificar quem é.
Falhando essas alternativas, procure fisicamente nas tabelas de
forwarding dos switches. O pessoal está certo: essa é a única
alternativa que não tem erro.
Andre
More information about the gter
mailing list