Если в локальной сети вдруг одна сетевая карта присвоит себе адрес другой, то как поведет себя сеть на каждом из компьютеров?

Question

[krll-k]

Приставим ситуацию, есть компьютеры A и B с уникальными mac-адресами. Вдруг у компьютера B заканчиваются средства на счету и его отключают от внешнего доступа. Компьютер B берет и присвистывает себе mac-адрес компьютера A, пользуется сетью, и иногда у него сеть барахлит. Значит ли это то что компьютер A в этот момент времени тоже пользуется сетью?
WinDump.exe -n -q host 10.8.105.222 and arp
Вопрос по-другому.

spoiler

Допустим у компьютера в распоряжение есть tcpdump с помощью которой можно смотреть весь трафик проходящий широковещательно, то есть arp. Как узнать компьютер A или B посылает этот сигнал в сеть:

C:\Users\Администратор\Downloads>WinDump.exe -n -q host 10.8.105.222 and arp
WinDump.exe: listening on \Device\NPF_{68FE7044-D11B-4497-A6CF-4B0159E18B51}
02:12:50.961717 arp who-has 10.8.96.1 (00:1d:71:9b:70:00) tell 10.8.105.222
02:12:50.963670 arp reply 10.8.96.1 is-at 00:1d:71:9b:70:00
02:13:29.961164 arp who-has 10.8.96.1 (00:1d:71:9b:70:00) tell 10.8.105.222
02:13:29.963096 arp reply 10.8.96.1 is-at 00:1d:71:9b:70:00
02:13:50.959887 arp who-has 10.8.96.1 (00:1d:71:9b:70:00) tell 10.8.105.222
02:13:50.962074 arp reply 10.8.96.1 is-at 00:1d:71:9b:70:00
02:14:21.460047 arp who-has 10.8.96.1 (00:1d:71:9b:70:00) tell 10.8.105.222
02:14:21.462393 arp reply 10.8.96.1 is-at 00:1d:71:9b:70:00
02:15:19.458173 arp who-has 10.8.96.1 (00:1d:71:9b:70:00) tell 10.8.105.222
02:15:19.460389 arp reply 10.8.96.1 is-at 00:1d:71:9b:70:00
02:15:51.458341 arp who-has 10.8.96.1 (00:1d:71:9b:70:00) tell 10.8.105.222
02:15:51.460761 arp reply 10.8.96.1 is-at 00:1d:71:9b:70:00
02:16:14.457164 arp who-has 10.8.96.1 (00:1d:71:9b:70:00) tell 10.8.105.222
02:16:14.459125 arp reply 10.8.96.1 is-at 00:1d:71:9b:70:00
02:16:35.456910 arp who-has 10.8.96.1 (00:1d:71:9b:70:00) tell 10.8.105.222
02:16:35.458674 arp reply 10.8.96.1 is-at 00:1d:71:9b:70:00
02:18:04.955198 arp who-has 10.8.96.1 (00:1d:71:9b:70:00) tell 10.8.105.222
02:18:04.957094 arp reply 10.8.96.1 is-at 00:1d:71:9b:70:00
02:18:26.955032 arp who-has 10.8.96.1 (00:1d:71:9b:70:00) tell 10.8.105.222
02:18:26.957011 arp reply 10.8.96.1 is-at 00:1d:71:9b:70:00
02:19:09.453554 arp who-has 10.8.96.1 (00:1d:71:9b:70:00) tell 10.8.105.222
02:19:09.455405 arp reply 10.8.96.1 is-at 00:1d:71:9b:70:00
02:19:45.952923 arp who-has 10.8.96.1 (00:1d:71:9b:70:00) tell 10.8.105.222
02:19:45.954727 arp reply 10.8.96.1 is-at 00:1d:71:9b:70:00
02:19:55.882889 arp who-has 10.8.96.1 tell 10.8.105.222
02:20:07.952701 arp who-has 10.8.96.1 (00:1d:71:9b:70:00) tell 10.8.105.222
02:20:07.954450 arp reply 10.8.96.1 is-at 00:1d:71:9b:70:00
02:20:28.952476 arp who-has 10.8.96.1 (00:1d:71:9b:70:00) tell 10.8.105.222
02:20:28.954433 arp reply 10.8.96.1 is-at 00:1d:71:9b:70:00
02:20:49.951269 arp who-has 10.8.96.1 (00:1d:71:9b:70:00) tell 10.8.105.222
02:20:49.953108 arp reply 10.8.96.1 is-at 00:1d:71:9b:70:00
02:20:58.451577 arp who-has 10.8.96.1 (00:1d:71:9b:70:00) tell 10.8.105.222
02:20:58.453373 arp reply 10.8.96.1 is-at 00:1d:71:9b:70:00
02:21:10.535953 arp who-has 10.8.105.222 tell 10.8.99.102
02:21:10.535978 arp reply 10.8.105.222 is-at 00:1f:ce:86:48:ab
02:21:10.540809 arp who-has 10.8.105.222 tell 10.8.105.152
02:21:10.540833 arp reply 10.8.105.222 is-at 00:1f:ce:86:48:ab
02:21:10.552504 arp who-has 10.8.105.222 tell 10.8.107.249
02:21:10.552527 arp reply 10.8.105.222 is-at 00:1f:ce:86:48:ab
02:21:10.556296 arp who-has 10.8.105.222 tell 10.8.97.151
02:21:10.556319 arp reply 10.8.105.222 is-at 00:1f:ce:86:48:ab
02:21:10.564312 arp who-has 10.8.107.249 tell 10.8.105.222
02:21:10.575938 arp reply 10.8.107.249 is-at 9c:d6:43:78:0e:63
02:21:37.951026 arp who-has 10.8.96.1 (00:1d:71:9b:70:00) tell 10.8.105.222
02:21:37.952789 arp reply 10.8.96.1 is-at 00:1d:71:9b:70:00
02:21:55.450667 arp who-has 10.8.96.1 (00:1d:71:9b:70:00) tell 10.8.105.222
02:21:55.452608 arp reply 10.8.96.1 is-at 00:1d:71:9b:70:00
02:22:23.449666 arp who-has 10.8.96.1 (00:1d:71:9b:70:00) tell 10.8.105.222
02:22:23.451369 arp reply 10.8.96.1 is-at 00:1d:71:9b:70:00
02:23:23.448884 arp who-has 10.8.96.1 (00:1d:71:9b:70:00) tell 10.8.105.222
02:23:23.450641 arp reply 10.8.96.1 is-at 00:1d:71:9b:70:00
02:23:49.947840 arp who-has 10.8.96.1 (00:1d:71:9b:70:00) tell 10.8.105.222
02:23:49.950480 arp reply 10.8.96.1 is-at 00:1d:71:9b:70:00
02:24:38.946639 arp who-has 10.8.96.1 (00:1d:71:9b:70:00) tell 10.8.105.222
02:24:38.948420 arp reply 10.8.96.1 is-at 00:1d:71:9b:70:00

Регистрирует трафик из сети, или же он сам генерирует не-пресловутые arp-запросы? Как доказать или опровергнуть то что неполадки в сети из-за того что ей одновременно пользуются два участника с идентичными IP и MAC?

Получается так что это аналогия с пуком. Если ты пукнул, по-любому ты знаешь что пукнул ты, а не кто то другой. Помогите мне мой tcpdump аля'виндовс различать свой пердеж от чужого ;)

Answer 1

[Сергей]

батенька. может вам почитать про то как пашет dhcp и arp? а то вопрос тянет на "стыдно не знать и спрашивать 2015 года"

Comments

[Макс]

глупость несусветная. Arp и DHCP - это теплое и мягкое.

Answer 2

[FloorZ]

Приставим ситуацию, есть компьютеры A и B с уникальными mac-адресами. Вдруг у компьютера B заканчиваются средства на счету и его отключают от внешнего доступа. Компьютер B берет и присвистывает себе mac-адрес компьютера A, пользуется сетью, и иногда у него сеть барахлит. Значит ли это то что компьютер A в этот момент времени тоже пользуется сетью?

Не раздавать arp таблицы клиентам. IP выдавать с помощью DHCP. В свитчах строить ACL по мак адрессу с привязкой к физ-интерфейсам, либо всякие arp-guard и прочие приблуды.

У нас провайдер в доме так и сделал, когда мы так у соседей трафик перли в подьезде, пробивая по arp адреса в нашем сегменте и подменяя свой мак на их :D. Халява кончилась =(

Answer 3

[Макс]

Компьютер B берет и присвистывает себе mac-адрес компьютера A, пользуется сетью, и иногда у него сеть барахлит. Значит ли это то что компьютер A в этот момент времени тоже пользуется сетью?

Все зависит от того, что подразумевается под словом "барахлит". Камрад Виталий Пухов верно подметил, что винда ругается на конфликт IP. Однако если у провайдера IP не привязаны к MAC - то оба компа получат по IP, ошибки будут на уровне stp - протокола, который строит маршруты между коммутаторами. Таблица будет постоянно обновляться, и сеть на каждом из компов будет то работать, то не работать. погуглите "mac address collision".

Можно ли отличить фрэйм с Вашим MAC Ваш от чужого - нет. только по тому, что в него "завернуто"

PS не советую заниматься подобными вещами. Формально - 272 УК РФ, от 200 МРОТ до двух лет. Ловится в 5 сек.

Comments

[krll-k]

Внимательнее читать вопрос нужно, сказано же что mac и ip привязаны, и dhcp работает по такому вот принципу. А если в сети вычислять компьютер у которого владелец не выключает питание и не использует роутер, в таком случаи на arp-запрос кто такой "12:34:56:65:43:21" ответа не будет или будет?

[Макс]

Я бы Вам, уважаемый, посоветовал внимательнее писать вопрос. Нет ни слова про "IP и MAC привязаны".
И уж точно, если хотите получать ответ а не посыл в гугл - смените тон.
" сказано же что mac и ip привязаны, и dhcp работает по такому вот принципу" - на сервере DHCP можно как привязать MAC к IP, так и не привязывать. As you wish.
"А если в сети вычислять компьютер у которого владелец не выключает питание и не использует роутер, в таком случаи на arp-запрос кто такой "12:34:56:65:43:21" ответа не будет или будет?" то, что Вы описываете, называется InARP - InversARP(IP по MAC). ARP запрашивает MAC по IP.
Ответ будет.

[krll-k]

Макс: спасибо за информацию, и прошу прощения за мою неоправданную грубость. "И уж точно, если хотите получать ответ а не посыл в гугл - смените тон. "

А вот что касается 272 УК РФ, использовать обход ограничения в сеть таким вот образом, у вас есть прецендентные случаи на практике или вы говорите вообщем? "PS не советую заниматься подобными вещами. Формально - 272 УК РФ, от 200 МРОТ до двух лет. Ловится в 5 сек."

Думаете провайдер уже знает о том что в его сети есть неплательщики?

[Макс]

ок.
видел судебное решение, где человеку предъявили использование "чужого" интернета. Там, правда, вход был под учетной записью потерпевшего - но сути это не меняет. С точки зрения провайдера способом идентификации в Вашем случае является MAC. "Злодей", меняя МАС на своем компе, по сути подделывает учетные данные.
Что до того, знает ли провайдер - думаю знает. Пока потерпевшие не сильно бурчат, так все и останется. Способов борьбы с такими "хакерами" известно немало, провайдеру похоже просто лень (пока) с этим бороться.

[krll-k]

Макс: то если использовать только на свой страх и риск, типа если уверен что соседа дома нет и у него нет кофеварки подключенной к сети, можно юзать?

[Макс]

не понимаю, что именно Вы от меня хотите услышать. Накажут ли Вас, если(когда) поймают? Не знаю.
Поймают ли, если будут искать? да. Вы проводом воткнуты в коммутатор, на котором при каждом подключении регистрируется MAC. Эту таблицу адресов можно вытащить. Т.е. имеем цепочку - потерпевший - заявление - его MAC - ищем по таблицам на коммутаторах - находим порт - стучимся к Вам в дверь. профит.

Повторюсь. Судя по тому бардаку в вашей сети, который Вы описываете, скорее всего никто никогда к Вам не придет. Моральную сторону вопроса оставим на Вашей совести. на этом считаю тему явно выходящей за пределы раздела "сети". Техническую сторону вопроса разъяснили для себя?

[deleted-rss1alex]

сделайте пропуск трафика через компьютер с программой для создания нескольких mac-адресов. Каждому компьютеру выдается свой адрес. Про 200 МРОТ это новая информация, мне полезная. Добавлю, что в указе президента Медведева написано о том, что нужно обязательно делать ксерокопию паспорта при раздаче трафика в общественных местах. Каждый подключаемый должен дать свой паспорт для ксерокопии. Проверок паспорта еще, вроде, не обещали.

[deleted-rss1alex]

Из всех хаккерских утилит, предложенных мне скачал всего лишь одну - фейковый Wi-Fi. Та же аутентификация, те же пароли, только все свои устройства отключены. Отлов работает. Эту программу ещё не использовал. Ищу безопасную.

[deleted-rss1alex]

Загружаемому трафику mac-адрес не выдается. Вы спутали с VPN.

Answer 4

[Виталий Пухов]

Насколько я помню винда это сама определяет и явно материт об этом где то в районе сетевых подключений

Comments

[deleted-rss1alex]

На работе у моей мамы не определялся торрент жильцов, каким-то образом подключенный к модему бюджетного учреждения.