ARPing pro Windows Možnosti

[Wintermute]

Potřeboval bych nějákou utilitku, co umí posílat ARP "who is" packety a zobrazovat odpovědi.

Pro Windows.

Znáte někdo?

Rychle!!!

Díky.

P.S.: A nezkoušejte na mě nějákej posranej Google!

Příspěvek upravil Wintermute, 29.07.2005, 15:11.

[Neregistrovaný_Lolita_*]

nemesis

nebo wpepro alpha, ale tam si ten packet musis npsat sam celej


a nebo google (:

aha sem si to ted precet cely a tim padem nemesis pada, smula no
tak teda google (:


Příspěvek upravil Lolita, 29.07.2005, 15:38.

[Wintermute]

Jeden postřeh na téma proč je Linux debilní systém

Představte si následující situaci: máte počítač a v něm dvě sí?ovky - budeme jim říkat třeba "Realtek" a "Via Rhine II."

Sí?ovka Realtek je napojená do lokální podsítě 192.168.0.???. Sí?ovka Via Rhine II je napojená do podsítě 82.117.22.???.

Teď si představte, že na tom počítači běží nějákej program. A ten program chce komunikovat po síti. Konkrétně chce poslat nějáký IP datagram.

Cíl IP datagramu určuje IP adresa. Našemu programu se zrovna zachtělo poslat ho na adresu 82.117.22.73. Operační systém tedy vyrobí IP paket. IP paket se skládá z hlavičky a těla. Do těla se nacpou data, která chceme posílat a v hlavičce se vyplní takové věci jako IP adresa odesílatele, příjemce, typ dat atd...

Máme vyrobený IP paket. Ale ještě ho nemůžeme poslat. Nejdřív ho musíme zapouzdřit do Ethernetového framu. Ethernetový frame se opět skládá z hlavičky a těla. Do těla přijde náš IP paket a do hlavičky opět takové informace jako adresa příjemce a odesilatele.

Jenomže!!!

Ethernetové adresy (neboli MAC adresy) jsou něco úplně jiného než IP adresy. Ethernetovou adresu musíme něják získat. A k tomu slouží ARP - Adress Resolution Protocol. Funguje to tak, že vytvoříme další Ethernetový frame a jako adresu příjemce uvedeme takzvanou broadcast adresu - prostě tam dáme samé nuly, což bude znamenat "posíláme to úplně všem." A do těla tohoto Ethernetového framu vložíme takzvaný arp whois dotaz. Napíšeme tam prostě něco jako "Komu parří IP adresa 82.117.22.73?" Ten Ethernetový frame odešleme. Přijmou ho všechny počítače na lokální síti a řeknou si "nejsem to náhodou ja?" a pokud ano, odešlou zpátky Ethernetový frame, ve kterém bude napsáno něco jako "IP adresa 82.117.22.73 patří mě, moje MAC adresa je 001ec3f98174."

Já ten vzkaz přijmu, dozvím se tak, co mám vyplnit do kolonky MAC adresa příjemce u naší původní zprávy, ta tím bude kompletní a já ji konečně budu moc poslat.

Takže takhle funguje ARP.

A teď mi řekněte: pokud budu chtít zjistit MAC adresu stroje 82.117.22.73, stačí poslat dotaz sí?ovkou Via Rhine II (kde leží všechny stroje s adresu 82.117.22.???), nebo ho musím poslat i sí?ovkou Realtek (kde leží jenom pro nás nezajímavé stroje 192.168.0.???)?

Ano. Stačí ho poslat přes Via Rhine II. Windows to tak dělá, FreeBSD to tak dělá, všichni to tak dělají.

Ale Linux to tak nedělá. Linux to rozesílá všude a zasírá tak sítě ARP dotazy, které do ní nepatří.

A proto je Linux debilní systém.

[Neregistrovaný_Lolita_*]

no treba to pude poresit
kazdopadne linux ma furt tcp/ip daleko rychlejsi nez windows ....
a navic zkousel si ve windows nastavit routovani, ono se totiz genialne pri kazdym startu generuje znova podle toho jak to windows pripada whodny a vubec ta routovaci tabulka je dost uncute

no to uz je neco jinyho

ale zase to muzes brat tak, ze linux to proste posle vsude (coz vlastne teoreticky ma), kdyzto ty ostatni ne

a btw neposila ti to vsude, protoze mas prave divne nastavene routovani? :X

[Wintermute]

no treba to pude poresit
kazdopadne linux ma furt tcp/ip daleko rychlejsi nez windows ....
a navic zkousel si ve windows nastavit routovani, ono se totiz genialne pri kazdym startu generuje znova podle toho jak to windows pripada whodny a vubec ta routovaci tabulka je dost uncute

no to uz je neco jinyho

ale zase to muzes brat tak, ze linux to proste posle vsude (coz vlastne teoreticky ma), kdyzto ty ostatni ne

a btw neposila ti to vsude, protoze mas prave divne nastavene routovani? :X
[right][snapback]117510[/snapback][/right]

Bohužel to je standardní chování Linuxu. Navíc jsme zjistili, že Linux má i opačný problém:

Máte dvě sí?ovky, opět Via Rhine II a Realtek.

Sí?ovka Realtek má přidělenou IP adresu 82.117.22.12, na Realteku to je 192.168.0.6.

Pokud vám někdo ze sítě Realteku pošle ARP dotaz na IP 82.117.22.12, Linux mu odpoví! Přestože ta MAC adresa nebude z podsítě, do které je připojen Realtek, přístupná.

Umíte si představit, jakej to dělá bordel, pokud chcete na své síti provozovat třeba Multicasty? Kromě toho je to zaručený způsob, jak se dozvědět, že někdo na svém Linux boxu provozuje třeba VMWare nebo IP tunel - i když si nastaví firewall jako bůh.

Tohle ale naštěstí jde řešit (postuju to sem pro případ, že by se to třeba někomu mohlo někdy hodit):

z dokumentace src/linux/Documentation/networking/ip-sysctl.txt:

CODE

arp_ignore - INTEGER
       Define different modes for sending replies in response to
       received ARP requests that resolve local target IP addresses:
       0 - (default): reply for any local target IP address, configured
       on any interface
       1 - reply only if the target IP address is local address
       configured on the incoming interface

Takže stačí do /etc/sysctl.conf přidat:

net/ipv4/conf/all/arp_ignore=1

Schválně se zkuste kouknout do své distribuce, jestli je to vypnutý. Na 100% nebude! Vlastne mě ani nenapadá, k čemu to může být dobrý a proč je to takhle defaultně nastaveno. Mělo by to být samozřejmě defaultně vypnuto a mělo by se to jmenovat "Ultra mega ARP Debug - nikdy nezapínat"
Ale původní problém vyřešit neumím - a zatim hledám v dokumentaci i na Googlu marně.

Zítra se tu možná rozepíšu o těch problémech s multicasty, pokud má někdo zájem. A pokud ne, tak stejně...

[Neregistrovaný_Lolita_*]

no jak sem psal, podle me je to tak spravne proste ... btw sem neco kdysy tak zkousel a jakoze muzes tam treba routovat veci bez podsiti kde to windows proste neumeli (proste jedno ip tam a druhy nekam jinam na stejny podsiti windows neumi - teda popravde je to tak dobre (:, ale v linuxu to slo no)

ale to melu uplne neco jinyho zas, ja jen tak aby rec mezitim nestala ...

Příspěvek upravil Lolita, 30.07.2005, 03:14.

[Wintermute]

Tak dneska něco o těch Multicastech
(aneb jediná správná cesta, jak sledovat video na Internetu)
+návod, jak po síti chytat ČT1, ČT2, Primu atd...

Určitě znáte internetové vysílání televize Óčko nebo ČT24. Tyhle stanice vysílají klasickým způsobem - připojíte se k jejich serveru, oznámíte jim, že máte zájem o určitý stream a oni vám, přes to vaše navázané spojení od té chvíle začnou posílat data, která chcete.

Nevýhoda takového systému je zřejmá: Dejme tomu, že vysílání je stream s bitratem 500kBaud. Potom, pokud se přihlásí k odběru 20 lidí, potřebuje mít server upload s kapacitou aspoň 2MBaud. Stejně tak pokud se k odběru přihlásí dva lidé ze stejné podsítě, veškerá streamovaná data, přestože jsou stejná a mohla by většinu cesty putovat v jednom exempláři, sítí poputují dvakrát.

Jinými slovy - tento systém vůbec nevyužívá sí? efektivně.

Naštěstí tu ale máme Multicasty a IGMP - Internet Group Management Protocol.

Jak to funguje: pro multicasty jsou k dispozici vyhrazené IP adresy (224.0.0.0 až 239.255.255.255). Narozdíl od normálních IP adres Multicastové adresy nepatří konkrétnímu uživateli, ale skupině. Pokud máte zájem odebírat nějákou multicastovou skupinu, řeknete svému lokálnímu routeru pomocí IGMP protokolu něco jako "hele, měl bych zájem odebírat 233.10.47.81." Router si vás poznamená a ví, že v jeho lokální podsíti je aspoň jeden zájemce pro odběr této skupiny. Ten router navíc ještě musí zkontaktovat další routery a říct jim o tom, že kdyby kolem náhodou šlo něco z 233.10.47.81, mají mu to taky poslat, aby to mohl poslat vám. Všechno je to samozřejmě trochu složitější, ale detaily vás nebudu zatěžovat.

Ta dobrá zpráva je, že to funguje, a že kudy můžou, tudy data putujou jen v jednom exempláři, čímž se drasticky snižuje zatížení sítě. Představte si, že pokud máte připojení s kapacitou uploadu 256kBaud, můžete multicastem vysílat rádio s bitratem 192kBaud a přitom bez problémů obsloužit miliony posluchačů.

Ta skvělá zpráva je, že takhle jde chytnout i internetové vysílání většiny televizí v dobré kvalitě.
Co potřebujete udělat:

Nainstalovat si program, který umí multicastové vysílání přijímat, například tenhle: VLC (Doporučuju!!!)

Nastavit, aby váš operační systém používal správnou verzi IGMP - přidejte DWORD hodnoutu IGMPVersion do registrů ve stromě HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters a nastavit jí na 3.

Tady máte playlist televizí. Přejmenujte na .m3u a otevřete ve VLC (ne ve Winampu:))

A teď ta špatná zpráva. Většina z vás má smůlu. Na to, abyste mohli přijímat multicasty, musíte být součástí MBONE - páteřní multicastovací sítě. Ale třeba máte štěsí a váš provider má multicastovou konektivitu. Za pokus nic nedáte.

Pár poznámek o multicastech pro administrátory sítě:

Kupodivu hlavní problém pro správce sítí nepředstavuje konfigurace routeru, ale teprve samotný transport multicastů po lokální síti. Abyste měli představu o čem mluvím, trocha teorie:

ISO/OSI model:

Sí?ové protokoly jsou organizovány po vrstvách.
Fyzickou vrstvu představují takové věci jako tvary konektorů, typy kabelů, napětí atd.
Linková vrstva je ve většině případů Ethernet. Tento standard popisuje, jak vypadá rámec, v jakém formátu jsou adresy strojů atd.
Sí?ová(internetová) vrstva je protokol IP. Ta popisuje, jak vypadá IP datagram, IP adresa...
Nad ní je transportní vrstva - to jsou protokoly TCP, UDP, IGMP atd. tam se definují pojmy jako port, spojení...
A konečně nakonec vrstva aplikační - protokoly HTTP, FTP, POP3, SMTP...

Nás zajímá vztah linkové a sí?ové vrstvy - tj. Ethernetu a IP. Obě dvě vrstvy jsou si podobné - pro adresaci se používají adresy (u Ethernetu to je MAC, u IP je to IP adresa), které existují v obou případech v unicastové i multicastové variantě. Spojení mezi sítěmi zajiš?ují routery. V internetové vrstvě se jim říká prostě router, v linkové se router nazývá switch.

Tady ale podobnost končí. IP routery routují podle kombinace statické konfigurace a výměny dat s jinými routery. Zato switche se samokonfigurují na základě procházejících paketů a navíc zcela izolovaně. To funguje, pokud je komunikace obousměrná, ale bohužel ne u jednosměrné komunikace. Multicasty jsou ale čistě jednosměrné a navíc u Ethernetu (narozdíl od IP) neexistuje způsob, jak se k odběru multicastů přihlásit.

Takže switch neví, do kterých zásuvek mají multicasty routovat. Jediné čisté řešení by bylo routovat je do všech - ale pak by šly i do portů, kde nikoho nezajímají, a pokud by se pár lidí přihlásilo k odběru trochu náročnějších multicastů, mohlo by to snadno zahltit sí? tak, že klasickým unicastem nepůjde normálně komunikovat.

Je několik možností, jak to řešit, například aby mezi sebou switche komunikovaly nějákým proprietálním protokolem a předávaly si informace o odběratelích multicastů, podobně jako to dělají IP routery. To by ovšem chtělo, aby spolupracovaly i koncové stanice a i tak by to bylo dost problematické. Druhá možnost je předpokládat, že všechny Ethernetové multicasty jsou v konečném důsledku IP multicasty (kdo dneska provozuje třeba IPX?) a nějákým způsobem získávat informace pro routování linkové vrstvy z vrstvy internetové - jinými slovy, switche se snaží analyzovat IP pakety a routovat podle nich. Této technice se říká snooping. Nemusím doufám vysvětlovat, že takové míchání vrstev je pěkná prasárna, navíc rozhodně ne bezproblémová:

Znamená to vlastně, že switche se podle údajů z internetové vrstvy rozhodnou některé pakety neroutovat. A pokud se rozhodnou špatně, může to znamenat, že vám třeba přestane chodit normální unicastový provoz. Jedna z příčin, proč se můžou rozhodnout špatně, jsou třeba Linuxové boxy, které odpovídají špatně na ARP dotazy. Switche tak budou mít špatnou představu, kde stroj s určitou IP adresou leží a problém je na světě. Další problém je, že switche zjiš?ují, kdo má o multicasty zajem injektováním vlastních IP paketů s IGMP dotazem. Ale u IP paketů se musí vyplnit nějáká zdrojová adresa a switch typicky žádnou vlastní IP adresu k dispozici nemá. Prostě je to hroznej bordel.

Další problém je, že se někdo rozhodne vysílat multicasty v rozsahu 224.0.0.0/24 - ten je ale vyhrazen pro lokální routovací protokoly (které negenerují příliš velké objemy dat a je vhodné je šířit záplavově), takže pokud se nějáký switch rozhodne pakety z tohoto rozsahu na linkové úrovni někam neroutovat, můžete pak mít problémy s routováním na internetové úrovni a kvůli tomu nečistému propojení linkové a internetové vrstvy přestane chodit i linkové routování...

Takže pokud chcete provozovat multicasty,
-musí bezproblémově chodit ARP
-zakažte uživatelům šířit vlastní multicasty v rozsahu 224.0.0.0/24

Ale ta námaha stojí za to. Právě sleduju ČT2. A ani si nemusím pořizovat žádnou drahou TV kartu na grabování

Příspěvek upravil Wintermute, 31.07.2005, 00:06.

Připojené(ý) soubory

 tv.txt ( 1.54k ) Počet stažení: 898

 

[black.tulip]

Vypadá to dobře, ale když chci sledovat něco v tv, pustím si televizi...

[Neregistrovaný_Lolita_*]

multicast je chujovina ... teda spis se do praxe tezko dostane

[Wintermute]

Vypadá to dobře, ale když chci sledovat něco v tv, pustím si televizi...
[right][snapback]117701[/snapback][/right]

Multicasty nejsou jenom o přenášení videa. Synchronizujou se tak databáze, clustery... a navíc ta možnost udělat si třeba s téměř nulovými náklady vlastní televizi a vysílat jí do celého světa...

Buďte taky trochu vizionáři, ne?! Uvidíte, že tak za pět let bude konektivita k MBONE stejně důležité kritérium při výběru providera jako je dneska rychlost.

A za 20 let nebude vůbec terestrické vysílání a všechny televize budou vysílat jenom multicasty. Pamatujte si, kde jste to poprvé slyšeli.

BTW ten VLC umí i vysílat.

Příspěvek upravil Wintermute, 30.07.2005, 22:42.

[Neregistrovaný_Lolita_*]

njn, za 20 let mozna .... zitra clanek o udp? ((: a pozitri muzes zkusit i o ipv6

[vaK0]

lk

[Wintermute]

Ale je možný, že svět ještě neni na multicast připravenej (a naopak). Multicasty jsou hrozně jednoduše zneužitelný k DoS útokům.

Článek o ipv6 nebude - v naší síti ještě bohužel nemáme ipv6 konektivitu, takže s tim nemám žádný zkušenosti.

Jo - a zajímavej link: nástroj na objevování NAT routerů v lokální síti: http://elceef.itsec.pl/natdet/

[Neregistrovaný_Lolita_*]

zomfg you are not ipv6 rady?! ... lame you! ((:

[Wintermute]

zomfg you are not ipv6 rady?! ... lame you! ((:
[right][snapback]117719[/snapback][/right]

Já vim. Úplně se stydim.