---

Efter i mange år at have brugt ADSL er jeg nu skiftet over til webspeed.
Når jeg kører ethereal kan jeg at der er en pæn del arp forespørgsler, både
som "mit" modem initierer men også hvor andre hosts spørger om tredje hosts.

Nogen der kan give en forklaring på dette ( må godt være lidt langhåret -
men helst ikke super langhåret )

Henning

--
valid-in-april[at]bildelang[dot]dk

---

On Tue, 4 May 2004 16:56:32 +0200, "request-for-comment"
<nouser@nohost.nodomain.invalid> wrote:

> Efter i mange år at have brugt ADSL er jeg nu skiftet over til webspeed.
> Når jeg kører ethereal kan jeg at der er en pæn del arp forespørgsler, både
> som "mit" modem initierer men også hvor andre hosts spørger om tredje hosts.
>
> Nogen der kan give en forklaring på dette

Webspeed (kabelmodem-net) er et delt medie, så du sidder på samme
netværk som en masse andre maskiner. Deres trafik kan du også se,
når du sniffer.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

---

In news:as2g90lipd1vhv4f8uvkgu9hkl6s7unavc@news.cybercity.dk,
Asbjorn Hojmark <Asbjorn@Hojmark.ORG> typed:
> On Tue, 4 May 2004 16:56:32 +0200, "request-for-comment"
> <nouser@nohost.nodomain.invalid> wrote:
>
>> Efter i mange år at have brugt ADSL er jeg nu skiftet over til
>> webspeed. Når jeg kører ethereal kan jeg at der er en pæn del arp
>> forespørgsler, både som "mit" modem initierer men også hvor andre
>> hosts spørger om tredje hosts.
>>
>> Nogen der kan give en forklaring på dette
>
> Webspeed (kabelmodem-net) er et delt medie, så du sidder på samme
> netværk som en masse andre maskiner. Deres trafik kan du også se,
> når du sniffer.
>
> -A

Mange tak for oplysningen.

Tillægsspørgsmål: Hvorfor er det kun Arp trafikken fra de andre maskiner jeg
kan se?

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:as2g90lipd1vhv4f8uvkgu9hkl6s7unavc@news.cybercity.dk...
> On Tue, 4 May 2004 16:56:32 +0200, "request-for-comment"
> <nouser@nohost.nodomain.invalid> wrote:
>
"klip"
>
> Webspeed (kabelmodem-net) er et delt medie, så du sidder på samme
> netværk som en masse andre maskiner. Deres trafik kan du også se,
> når du sniffer.
>
> -A
> --
> Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon
Postel
> Links : http://www.hojmark.net/
> FAQ : http://www.net-faq.dk/

Mener nu ikke at det er muligt at andres trafik udover arp-trafikken
der kommer frem og tilbage (hvilket kan være en del på større netværk).


mvh

Martin Damberg

---

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote:

> Webspeed (kabelmodem-net) er et delt medie, så du sidder på samme
> netværk som en masse andre maskiner. Deres trafik kan du også se,
> når du sniffer.

Jeg tror dog Webspeed-modemet filtrerer det man ikke skal se fra.

Jeg satte tcpdump til at lytte efter pakker, der ikke var til broadcast og
heller ikke havde min MAC-adresse i, og der kom ikke noget.

Modemet ser ud til ellers at fungere som en switch, det har en mac-adresse
selv, men default gateway er til en maskine med en anden mac-adresse, der
må ligge bag webmodemet.

En anden ting man kan se, er at routeren er gateway for flere forskellige
subnets, hvor den gerne til have en IP-adresse i hver:

00:28:42.522948 00:02:fd:14:05:38 > ff:ff:ff:ff:ff:ff, ethertype ARP
(0x0806), length 60: arp who-has 80.167.217.8 tell 80.167.217.1

00:28:42.523202 00:02:fd:14:05:38 > ff:ff:ff:ff:ff:ff, ethertype ARP
(0x0806), length 60: arp who-has 80.196.35.127 tell 80.196.35.1

Samme MAC-adresse spørger efter IP-adresser på forskellige subnets, og
udgiver sig selv for at være 2 forskellige IP-adresser.

Det lader til, at jeg er på broadcast-net med 512 IP-adresser, det lykkedes
mig at fremprovokere arp-requests til 397 adresser, det passer meget godt
med, at der skulle være 115 maskiner tændt nu.

--
Niels, The Offspring Mailinglist http://home.worldonline.dk/teglsbo

---

"Niels Teglsbo" <Niels@fabel.dk> skrev i en meddelelse
news:gj5g90psocktpnqmfchr4hejmscnln6cn4@news.inet.tele.dk...
> Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote:
>
"klip"
>
> Jeg tror dog Webspeed-modemet filtrerer det man ikke skal se fra.
>
> Jeg satte tcpdump til at lytte efter pakker, der ikke var til broadcast og
> heller ikke havde min MAC-adresse i, og der kom ikke noget.
>
> Modemet ser ud til ellers at fungere som en switch, det har en mac-adresse
> selv, men default gateway er til en maskine med en anden mac-adresse, der
> må ligge bag webmodemet.

Modemet fungere som en bridge, dog med lidt mere managment.
Alle kabelmodems har en mac + ip-adresse og default gateway, som er CMTSen.
Derudover kører de også snmp så din ISP kan styre/polle data fra den.

I visse tilfælde kan du hacke dit modem og sætte det til "bridgemode" på
cable
interfacet, dermed sniffe på trafikken som går på den anden side

>
> En anden ting man kan se, er at routeren er gateway for flere forskellige
> subnets, hvor den gerne til have en IP-adresse i hver:
>
> 00:28:42.522948 00:02:fd:14:05:38 > ff:ff:ff:ff:ff:ff, ethertype ARP
> (0x0806), length 60: arp who-has 80.167.217.8 tell 80.167.217.1
>
> 00:28:42.523202 00:02:fd:14:05:38 > ff:ff:ff:ff:ff:ff, ethertype ARP
> (0x0806), length 60: arp who-has 80.196.35.127 tell 80.196.35.1
>
> Samme MAC-adresse spørger efter IP-adresser på forskellige subnets, og
> udgiver sig selv for at være 2 forskellige IP-adresser.
>
> Det lader til, at jeg er på broadcast-net med 512 IP-adresser, det
lykkedes
> mig at fremprovokere arp-requests til 397 adresser, det passer meget godt
> med, at der skulle være 115 maskiner tændt nu.
>
> --
> Niels, The Offspring Mailinglist http://home.worldonline.dk/teglsbo

mvh

Martin Damberg

---

"Martin Damberg" <martin-damberg@atfjernevejen-net.dk> wrote:

> I visse tilfælde kan du hacke dit modem og sætte det til "bridgemode" på
> cable
> interfacet, dermed sniffe på trafikken som går på den anden side

Det er ikke lige noget man gør via webinterfacet?


--
Niels, The Offspring Mailinglist http://home.worldonline.dk/teglsbo

---

"request-for-comment" <nouser@nohost.nodomain.invalid> wrote:

> Efter i mange år at have brugt ADSL er jeg nu skiftet over til webspeed.
> Når jeg kører ethereal kan jeg at der er en pæn del arp forespørgsler, både
> som "mit" modem initierer men også hvor andre hosts spørger om tredje hosts.

Du tænker på noget i stil med:

23:53:31.990648 arp who-has 80.196.35.23 tell 80.196.35.1
23:53:32.254877 arp who-has 80.196.35.170 tell 80.196.35.1
23:53:32.979426 arp who-has 80.196.35.207 tell 80.196.35.1
23:53:33.025420 arp who-has 80.196.35.254 tell 80.196.35.1
23:53:33.824662 arp who-has 80.167.217.121 tell 80.167.217.1
23:53:34.255562 arp who-has 80.196.35.170 tell 80.196.35.1
23:53:35.285151 arp who-has 80.167.217.168 tell 80.167.217.1
23:53:35.821546 arp who-has 80.196.35.77 tell 80.196.35.1
23:53:35.878187 arp who-has 80.196.35.207 tell 80.196.35.1
23:53:36.312717 arp who-has 80.196.35.170 tell 80.196.35.1
23:53:36.336699 arp who-has 80.167.217.193 tell 80.167.217.1
23:53:36.723275 arp who-has 80.167.217.183 tell 80.167.217.1
23:53:36.882206 arp who-has 80.167.217.121 tell 80.167.217.1
23:53:37.076683 arp who-has 80.196.35.237 tell 80.196.35.1
23:53:37.923947 arp who-has 80.196.35.50 tell 80.196.35.1
23:53:38.199191 arp who-has 80.196.35.145 tell 80.196.35.1
23:53:38.451036 arp who-has 80.196.35.170 tell 80.196.35.1
23:53:38.755797 arp who-has 80.196.35.92 tell 80.196.35.1

(tcpdump)

> Nogen der kan give en forklaring på dette ( må godt være lidt langhåret -
> men helst ikke super langhåret )

IP bruger IP-adresser. Ethernet bruger MAC-adresser. Hvis IP kører oven på
ethernet skal der på ethernet-laget bruges MAC-adresser. Derfor bliver
maskiner nødt til at kunne finde en MAC-adresse ud fra en IP-adresse. Hvis
maskine A vil have MAC-adressen for en maskine B (for at kunne sende til
den), så broadcaster A en arp-request med B's IP-adresse i, B modtager
arp-requesten og ser, at dens IP-adresse er nævnt i den, B svarer derfor
tilbage til A med sin MAC-adresse.

Sådan fungerer det på lokalnetværk, men Webspeed er åbenbart bygget op på
nogenlunde samme måde.

Når en router på Webspeed modtager en pakke til en IP-adresse den ikke
kender MAC-adressen til, så broadcaster den en arp-request.

Antallet af maskiner, der broadcastes til, kan ikke være helt lille, når
man tager i betragtning hvor mange IP-adresser man får arp-requests for.

Hvis der kommer et svar på en arp-request til routeren vil den huske
MAC-adressen i et stykke tid og undlade at spørge hver gang. Men hvis der
derimod ikke kommer noget svar, så vil routeren spørge hver eneste gang. Så
størstedelen af de arp-requests man ser er til maskiner, der ikke svarer.

Man kan nogen gange se, at nogen portscanner ens subnet ved, at der kommer
arp-requests for en hel masse adresser i ens subnet, men når turen kommer
til en selv kommer der en pakke fra en og eller anden maskine på internet
til en mistænkelig port i stedet for en arp-request.

Når alle nu modtager de arp-requests, så kunne man tro, at man bare kunne
svare tilbage, at man har den eftersøgte IP-adresse, men den går ikke. Den
går heldigvis ikke, routeren bliver ved med at spørge selvom man har
svaret, så svaret er sandsynligvis blevet filtreret væk et sted inden det
når routeren.

--
Niels, The Offspring Mailinglist http://home.worldonline.dk/teglsbo

---

In news:a44g9057sk00003puoa4f8p0h4n5m75sbi@news.inet.tele.dk,
Niels Teglsbo <Niels@fabel.dk> typed:
> "request-for-comment" <nouser@nohost.nodomain.invalid> wrote:
>
>> Efter i mange år at have brugt ADSL er jeg nu skiftet over til
>> webspeed. Når jeg kører ethereal kan jeg at der er en pæn del arp
>> forespørgsler, både som "mit" modem initierer men også hvor andre
>> hosts spørger om tredje hosts.
>
> Du tænker på noget i stil med:
>
> 23:53:31.990648 arp who-has 80.196.35.23 tell 80.196.35.1
> 23:53:32.254877 arp who-has 80.196.35.170 tell 80.196.35.1
> 23:53:32.979426 arp who-has 80.196.35.207 tell 80.196.35.1
> 23:53:33.025420 arp who-has 80.196.35.254 tell 80.196.35.1
> 23:53:33.824662 arp who-has 80.167.217.121 tell 80.167.217.1
> 23:53:34.255562 arp who-has 80.196.35.170 tell 80.196.35.1
> 23:53:35.285151 arp who-has 80.167.217.168 tell 80.167.217.1
> 23:53:35.821546 arp who-has 80.196.35.77 tell 80.196.35.1
> 23:53:35.878187 arp who-has 80.196.35.207 tell 80.196.35.1
> 23:53:36.312717 arp who-has 80.196.35.170 tell 80.196.35.1
> 23:53:36.336699 arp who-has 80.167.217.193 tell 80.167.217.1
> 23:53:36.723275 arp who-has 80.167.217.183 tell 80.167.217.1
> 23:53:36.882206 arp who-has 80.167.217.121 tell 80.167.217.1
> 23:53:37.076683 arp who-has 80.196.35.237 tell 80.196.35.1
> 23:53:37.923947 arp who-has 80.196.35.50 tell 80.196.35.1
> 23:53:38.199191 arp who-has 80.196.35.145 tell 80.196.35.1
> 23:53:38.451036 arp who-has 80.196.35.170 tell 80.196.35.1
> 23:53:38.755797 arp who-has 80.196.35.92 tell 80.196.35.1
>
> (tcpdump)
>

Lige netop

>> Nogen der kan give en forklaring på dette ( må godt være lidt
>> langhåret - men helst ikke super langhåret )
>
> IP bruger IP-adresser. Ethernet bruger MAC-adresser. Hvis IP kører
> oven på ethernet skal der på ethernet-laget bruges MAC-adresser.
> Derfor bliver maskiner nødt til at kunne finde en MAC-adresse ud fra
> en IP-adresse. Hvis maskine A vil have MAC-adressen for en maskine B
> (for at kunne sende til den), så broadcaster A en arp-request med B's
> IP-adresse i, B modtager arp-requesten og ser, at dens IP-adresse er
> nævnt i den, B svarer derfor tilbage til A med sin MAC-adresse.
>
> Sådan fungerer det på lokalnetværk, men Webspeed er åbenbart bygget
> op på nogenlunde samme måde.

Det var også det jeg havde en mistanke om

>
> Når en router på Webspeed modtager en pakke til en IP-adresse den ikke
> kender MAC-adressen til, så broadcaster den en arp-request.
>
> Antallet af maskiner, der broadcastes til, kan ikke være helt lille,
> når
> man tager i betragtning hvor mange IP-adresser man får arp-requests
> for.
>
> Hvis der kommer et svar på en arp-request til routeren vil den huske
> MAC-adressen i et stykke tid og undlade at spørge hver gang. Men hvis
> der derimod ikke kommer noget svar, så vil routeren spørge hver
> eneste gang. Så størstedelen af de arp-requests man ser er til
> maskiner, der ikke svarer.

Hvad er forklaringen på at det øjensynligt er MAC adressen på ens modem, der
står som som source på et arp request mellem 2 andre maskiner. Er det fordi
modem'et nærmest fungerer som wn slags bridge eller hür?

>
> Man kan nogen gange se, at nogen portscanner ens subnet ved, at der
> kommer arp-requests for en hel masse adresser i ens subnet, men når
> turen kommer
> til en selv kommer der en pakke fra en og eller anden maskine på
> internet
> til en mistænkelig port i stedet for en arp-request.
>
> Når alle nu modtager de arp-requests, så kunne man tro, at man bare
> kunne svare tilbage, at man har den eftersøgte IP-adresse, men den
> går ikke. Den går heldigvis ikke, routeren bliver ved med at spørge
> selvom man har
> svaret, så svaret er sandsynligvis blevet filtreret væk et sted inden
> det
> når routeren.

---

"request-for-comment" <nouser@nohost.nodomain.invalid> wrote:

> Hvad er forklaringen på at det øjensynligt er MAC adressen på ens modem, der
> står som som source på et arp request mellem 2 andre maskiner. Er det fordi
> modem'et nærmest fungerer som wn slags bridge eller hür?

Jeg ser kun pakker med MAC-adresserne for:
Mig eget netkort, webmodemet, routeren (CMTSen?) eller broadcast.

Og altså ingen arp-request mellem 2 andre maskiner.

--
Niels, The Offspring Mailinglist http://home.worldonline.dk/teglsbo

---

> valid-in-april[at]bildelang[dot]dk

Offtopic:
Jeg har selv overvejet den løsning, men en email per måned eller kvartal. Det
virker vel bare? .)

---

In news:4098c063$0$183$edfadb0f@dtext02.news.tele.dk,
Nic <emailxyznifo@fogh.com> typed:
>> valid-in-april[at]bildelang[dot]dk
>
> Offtopic:
> Jeg har selv overvejet den løsning, men en email per måned eller
> kvartal. Det virker vel bare? .)

Undskyld den manglende opdatering - adressen er selvfølgelig
--
valid-in-may <at> bildelang <dot> dk

---

In news:4097af14$0$239$edfadb0f@dread11.news.tele.dk,
request-for-comment <nouser@nohost.nodomain.invalid> typed:
> Efter i mange år at have brugt ADSL er jeg nu skiftet over til
> webspeed. Når jeg kører ethereal kan jeg at der er en pæn del arp
> forespørgsler, både som "mit" modem initierer men også hvor andre
> hosts spørger om tredje hosts.
>
> Nogen der kan give en forklaring på dette ( må godt være lidt
> langhåret - men helst ikke super langhåret )
>
> Henning

Jeg takker mange gange for de meget informative forklaringer.