DHCP kapsamı dışındaki IP Adresi ve WireShark çıktısında gösterilen rezervasyonlar

Wireshark, tüm genel kaynak / hedef paket bilgilerini gösterir. Olağan dışı hiçbir şey çoğunlukla görünmüyor. Ancak, yönlendiricimin MAC adresime gönderilen paketleri görüyorum, ancak yönlendiricimin MAC adresine gönderilen birkaç paket var, ancak ilişkili IP adresi ağ geçidi adresi değil. Aslında, bu anormal IP adresi DHCP kapsamı ve atadığım rezervasyonları dışındadır. Bir CIDR 28 şeması kullanıyorum, böylece hangi adreslerin atanabileceğini bile kilitledim. Örneğin: 192.168.10.0 - 192.168.10.15 izin verilen kapsamdır. MAC adresli tüm cihazlara aralıkta bir şey atanmıştır. Ayrıca bu şemada ağ geçidi, ağ kimliği ve yayın adresine izin veriyorum. Sonra Wireshark 192.168.10.235 yönlendiricilerin MAC adresi ile hedef IP olarak gösteriyor. Yönlendiriciler MAC adresi zaten ağ geçidi IP adresi trafiğini alıyor. Ekstra adres ne yapıyor?

wireshark dhcp

Trafik nedir Hangi düğümün gönderdiğini biliyor musunuz? Bu, bir güvenlik sorusundan çok saf bir ağ oluşturma sorusu gibi görünüyor. Bir güvenlik sorunundan şüpheleniyorsanız, ihmal ettiğiniz şeyle ilgili tüm ayrıntılara ihtiyacımız olacaktır.

— schroeder

Kaynak düğümü, LAN üzerindeki başka bir ana bilgisayardır. Paketler TCP protokolünü söylüyor. Her paketin [TCP Retransmission] belirten bir takip paketi vardır. LAN IP adresi DHCP kapsamı dışındaki atamalar güvenlik nedeniyle olabilir. Bu konudaki dikkatiniz için teşekkürler Schroeder.

Bir yazılım parçası bu adrese hedef olarak kodlanmışsa ne olur?

— schroeder

Yanıtlar:

Tarif ettiğin şey tamamen normal. Bu sadece olması gerektiği gibi davranarak yönlendirme.

Doğrudan bağlı segment ana bilgisayarlarındaki herhangi bir hedef adres için, hedef ana bilgisayarın MAC adresini bulmak ve paketi bu MAC adresine göndermek için ARP / komşu keşfi yapılır.

Paketleri doğrudan bağlı bir segmentte olmayan bir hedef adrese göndermek isteyen herhangi bir ana bilgisayar, yönlendirme tablosunda bir ağ geçidi adresi bulur. Çoğu son kullanıcı konfigürasyonunda, varsayılan önek (yani / 0 öneki) için böyle bir yönlendirme girişi olacaktır. Daha gelişmiş kurulumlarda birden fazla olabilir, ancak aşağıdaki adımlar esas olarak bu durumda aynı olacaktır.

Ana bilgisayar, ağ geçidi adresini isteyen bir ARP / komşu keşfi gönderir ve ağ geçidinin MAC adresini öğrenir. Ana bilgisayar daha sonra paketi ağ geçidinin MAC adresine gönderir ve ağ geçidi paketi hedefine doğru yönlendirebilir.

— kasperd
kaynak

Yorumun için teşekkür ederim. Fakat neden ARP'de DHCP kapsamı dışındaki bir IP adresi kullanılıyor? Her gördüğümde aynı dış kapsam adresi. Diğer tüm IP adreslerini neden kontrol etmiyoruz? Neden sadece bu. Her seferinde wireshark kullandığımda aynı garip adres. Bu yüzden bir güvenlik sorunu olup olmadığını merak ediyorum.

@ArchWeb Segmentinizin dışındaki adreslerin ARP isteklerinde görünmemesi gerekir. Segmentinizin dışındaki adreslere gönderilen paketler, ağ geçidi için ARP isteklerini tetikler. Ve neden bu IP adresine paket gönderen evsahibiniz olduğunu nasıl bileyim? Bize bireysel sunucularda neler olup bittiğini söyleyebilecek hiçbir bilgi vermediniz. Ancak, hangi ev sahibinden geldiklerini bulmak oldukça kolay olmalı.

— kasperd

Gördüğünüz davranışın kurulumdan kaynaklandığını hissediyorum. Eğer xxx15 adresi yayın adresiyken, 14 kullanılabilir IP adresi sağlayan bir CIDR / 28 ağı için çalışıyorsanız ve xxx1 adresi tipik olarak yönlendiriciniz / ağ geçidinizdir. Bu nedenle DHCP kapsamınız xxx2 - xxx14 arasında olmalıdır.

DHCP sunucunuzun tüm xxx0 - xxx15'in tamamını bir CIDR / 28 alt ağı için kapsamaya sokmaya çalıştığından şikayetçi olmalıydı ve sanırım DHCP sunucusunun yanlış alt ağ ile ayarlanmış olması nedeniyle kabul etmesinin nedeni olduğunu tahmin ediyorum. 255.255.255.240. Bu, DHCP sunucusunun istemcilere verdiği alt ağın yanı sıra yönlendiriciler LAN arabirimi IP ayarı için alt ağ olmalıdır.

Tüm bunlar nasıl ayarlandıysanız, mantıksal tek açıklama ağınızda xxx235 IP adresini statik olarak atanmış bir cihazdır. Veya ağınızda başka bir DHCP sunucunuz olabilir - bu da tahmin edebileceğinizden daha sık gerçekleşir.

— Thomas Carlisle
kaynak

Thomas Carlisle, CIDR programımı tam olarak tanımladınız. Her cihazı xxx2-xxx14 aralığında DHCP'ye ayrılmış bir IP adresine eşledim. Ve tüm bu trafik Wireshark'ta muhasebeleştirilir. İşte vuruş: Xxx235 adresi için yönlendirilmiş paketlerde yönlendiriciyle ilişkili MAC adresi var! Wireshark çıkışı, yönlendirici MAC adresi ve ağ geçidi adresi xxx1 için yönlendirilmiş paketleri ve aynı yönlendirici MAC adresi ve xxx235 için yönlendirilmiş paketleri gösterir. O adrese ping gönderdim, orada hiçbir şey yok. Tracert da hiçbir şey döndürmez.

Yönelticinin muhtemelen iki ip adresi var mı?

— Thomas Carlisle

Sadece bir ev ağı. Hiçbir şey fantezi. Yönlendirici ayarları uygun LAN IP ve WAN IP değerlerini gösterir. Yönelticiden başka hiçbir yerde çalışan başka DHCP hizmetim yok. DHCP kapsamının parçası olan bir ana bilgisayardaki sanal makine buna neden olur mu?

Bir cihazın bu xxx235 adresini almasının tek yolu, eğer statik olarak atanmışsa veya bir DHCP sunucusundan olsaydı olurdu. Yazınızdan veya yorumlarınızdan ne alamıyorum, ana ağ trafiği xxx235 için belirlenmiş IP trafiği nedir? ARP isteklerini WHO HAS xxx235'e sormak için görüyorsanız, bu, ağınızdaki bazı cihazların xxx235 adresindeki bir ana bilgisayara bağlanmaya çalıştığı anlamına gelir. Bu adres yerel alt ağda olmadığından, yönlendiriciye bu adresin kimde olduğu sorulacak. Tamamen normal, ama eğer sizi rahatsız ediyorsa, hangi cihazı yaptığını izlemeniz yeterlidir.

— Thomas Carlisle