Re: Antwort: Re: Ein hochinteressantes Netzwerkphänomen
f.rosendahl@delos.de schrieb:
> Was mich wundert ist, daß die IP-Adresse der nicht angeschlossenen
> Karte angesprochen werden konnte. Da diese Karte zuerst im Netz war,
> war zwar noch ein Eintrag in der ARP-Table vorhanden, aber die
> physikalische Karte nicht.
Benutze tcpdump oder einen Netzwerkmonitor, um zu beobachten, was in
Deinem Fall genau passiert. Ich schätze, es wird etwas in dieser Art
sein:
- Du ziehst bei Karte A den Stecker ab.
- Der Treiber/Kernel registriert das (mii-tool ethx sagt "no link")
- Die Karte B empfängt (da im gleichen Netz) den Arp-Broadcast für IP A
- Der Kernel schickt per ICMP einen Redirect an den Client:
"Benutze B um A zu erreichen, da A gerade tot ist"
- Jetzt schaust Du mal in die arp Tabelle des Clients. Dort wird Karte B
für IP A aufgeführt sein.
- Das IP-Paket für A geht mit MAC von B an Karte B und kommt von dort
auf's System.
Das "Phänomen" ist wenig spektakulär. Was Dir so vielleicht bewusst
wird, ist dass die Absicherung eines Hosts gegen Angriffe aus dem
lokalen Netz wesentlich auswändiger ist, und es deutlich mehr
Angriffsfläche gibt, wie bei der immer im Vordergrund stehenden
Internetanbindung. Bei dieser fällt die Hälfte des denkbaren
Schindluders schon weg, wenn Du Deinem Provider vertrauen kannst.
--
rainer@ellinger.de
Reply to: