Malé domácí síťování: Nedrhne to někde? A nevystavuju se moc?

Malé domácí síťování: Nedrhne to někde? A nevystavuju se moc? | Kapitola 4

Seznam kapitol

1. Malé domácí síťování 2. Ovladače nepodceňujte 3. Komu patří MAC Adresa 4. MAC Adresy a tabulka ARP: s kým komunikujeme 5. Základní diagnostika, ping, tracert 6. Ladíme ping pro hry

7. Směrování 8. DNS 9. Firewall, porty 10. IPv6: jak neukazovat, co nemá být vidět 11. Závěr

V posledním článku věnovanému základům problematiky malých domácích sítí si probereme základní nástroje pro práci se sítí. Otestujeme naše připojení, podíváme se, jak prověřit, zda nemáte ve hrách zbytečně špatnou odezvu sítě a jestli ji nemůžete zrychlit, nakousneme i IPv6 a seznámíme se s řadou důležitých vychytávek.

Reklama

MAC Adresy a ARP

Seznam párů IP -> MAC se ukládá v takzvané ARP tabulce. Pokud počítač patří do naší sítě a lze s ním komunikovat bez pomoci brány, potřebuji mít jeho záznam v ARP tabulce. V ARP tabulce vidím, se kterými místními adresami (z místní sítě) jsem komunikoval. Po startu počítače bude tabulka prázdná, pak se tam objeví MAC adresa brány a postupně budou přibývat další a další zařízení.

Zdůrazňuji, že do ARP tabulky se ukládají pouze záznamy o místních počítačích, neznám MAC adresy zařízení, od kterých jsem oddělený směrovačem/bránou. Opakuji, že MAC adresy jsou zajímavé jen z hlediska místní sítě, od MAC adres z jiných sítí mě odděluje brána/směrovač. V malé síti bude vždy jen několik zařízení a ARP tabulka poměrně krátká.

Správný postup při poznávání sítě je následující:

Prohlédnu si ARP tabulku a uložím si hodnoty v ní uvedené.
Smažu ARP tabulku.
Řeknu všem zařízením v síti, ať se ozvou.
Podívám se na skutečný stav sítě.

Příkazem ARP -d smažu obsah ARP tabulky. Její obsah si vylistuji ARP -a. Pingnu si na IP adresu x.x.x.255 a podívám se, co mám v síti za zařízení a jakou mají IP adresu. Pamatujete si ještě předchozích dílů, že adresa .255 označuje všechny počítače v síti s maskou 255.255.255.0?

Popravdě, někdy ten příkaz PING musíte nechat běžet delší dobu a není to úplně spolehlivé. O poznání spolehlivější než ping .255 je skript FOR /L %i IN (1,1,254) DO ping -n 1 10.0.0.%i | FIND /i "Reply", ale člověk si ho z hlavy nepamatuje. Podle MAC adresy můžete poměrně spolehlivě určit, kdo je výrobcem daného zařízení. Perfektní na získání orientace, jaké zařízení by to mohlo být.

Ve velkých firmách je prý vtipné dát nějakému počítači MAC adresu od firmy Cisco, nastavit si IP adresu do blízkosti ostatních switchů, otevřít Telnet/SSH, udělat v síti rošambo (třeba zapnout další DHCP) a logovat přihlášení. Dělám si srandu, získáte leda heslo a padáka. Tohle je totiž past na veledůvěřivé/super líné síťaře. Funguje to tak, že se výtržník probourá do místní sítě (třeba skrz WIFI) a aby mohl v útoku pokračovat, potřebuje vylákat zajímavější hesla.

Řekli jsme si, že na druhé vrstvě (L2) se pro komunikaci používají MAC adresy, MAC address table je uvnitř každého switche, jsou to páry MAC adresa a port, aby switch věděl, kam která data poslat a neposílal všechno všem. ARP tabulka propojuje vrstvu L2 a L3, je to seznam párů MAC adresa – IP adresa. Pokud chce počítač komunikovat se zařízením uvnitř vnitřní sítě, použije MAC adresu protistrany. Opakování je matka moudrosti, nic by vám nemělo připadat cizí!

Předchozí