[GTER] "Lookup" ARP reverso.

Itamar Reis Peixoto itamar at ispbrasil.com.br
Thu May 17 20:32:56 -03 2007 

de um ping em todos os ips da sua rede

e depois procure o mac que voce quer no arp -a

--------------------

Itamar Reis Peixoto

e-mail: itamar at ispbrasil.com.br
msn: itamarjp at starmedia.com
skype: itamarjp
icq: 81053601
+55 34 3238 3845
+55 11 4063 5033
----- Original Message ----- 
From: "Andre Uratsuka Manoel" <andre at insite.com.br>
To: "Grupo de Trabalho de Engenharia e Operacao de Redes" 
<gter at eng.registro.br>
Sent: Thursday, May 17, 2007 8:45 PM
Subject: Re: [GTER] "Lookup" ARP reverso.


On Thu, May 17, 2007 at 08:23:38PM -0300, Lao DanTong wrote:
> On Thu, 17 May 2007, MARLON BORBA wrote:
>
> > Se existe broadcast ARP WHO-HAS <endereço-ip> deveria existir recurso em
> > sentido contrário, não?

Não necessariamente. Na resolução de endereços IP -> Ethernet não existe
a menor necessidade do caminho contrário. Exceto em situações como a
sua.

> ping para broadcast?

Se a máquina tiver suporte a IP configurado corretamente, a solução
seria uma das seguintes alternativas, na minha opinião:

1. instale o arpwatch em alguma máquina do segmento e espere até
aparecer nos logs uma estação com o MAC address esperado.

2. mande um ping para o broadcast do segmento de rede se possível e
  espere resposta, talvez olhando o log do arpwatch ou sniffando a rede.

3. Se por algum motivo você não recebe ARPs (o seu switch barra, por
exemplo), faça o endereço de origem ser o IP de uma máquina não
existente, o que forçaria a máquina a mandar um ARP que você poderia ver
via arpwatch ou sniff dos broadcasts.

4. Se voce não consegue mandar um ping para o broadcast, tente mandar
ping para 224.0.0.1, preferencialmente direcionado ao MAC dado.

5. Se o seu objetivo é identificar a máquina, veja se esses broadcast
são anúncios SAP. Se são, descubra o nome da máquina pelos broadcast (acho 
que um
tcpdump e strings deve resolver, um hexdump -C) e daí procure
em tabela de DNS, de WINS ou no domínio para identificar quem é.

Falhando essas alternativas, procure fisicamente nas tabelas de
forwarding dos switches. O pessoal está certo: essa é a única
alternativa que não tem erro.

Andre

--
gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list