---

Findes der ikke et smart program til at lave ARP og RARP opslag til
windows (XP) ? - jeg har prøvet google mv. men kan ikke finde noget.

Det er specielt RARP opslag jeg gerne vil kunne lave.

Bemærk x-post, sæt FUT til relevant gruppe.

--
Henrik Stidsen - http://hs235.dk/ - http://såkadulæredet.dk/
"Is everyone else in the world a moron, or is it just me?"
(Dilbert Newsletter)

---

"Henrik Stidsen" <nospamforme@hs235.dk> wrote in message
news:Xns9532D0D5B9E77HS235dk@130.225.247.90...
> Findes der ikke et smart program til at lave ARP og RARP opslag til
> windows (XP) ? - jeg har prøvet google mv. men kan ikke finde noget.
>
> Det er specielt RARP opslag jeg gerne vil kunne lave.
>
> Bemærk x-post, sæt FUT til relevant gruppe.
>
Åbn en kommandopromt og tast ARP <enter>. Den er godtnok tekstbaseret.

---

"Morten Due Jensen" <raenil@[kvalme]whirlwind.dk> wrote in
news:410629fb$0$174$edfadb0f@dtext01.news.tele.dk

>> Findes der ikke et smart program til at lave ARP og RARP opslag
>> til windows (XP) ? - jeg har prøvet google mv. men kan ikke
>> finde noget.

>> Det er specielt RARP opslag jeg gerne vil kunne lave.

> Åbn en kommandopromt og tast ARP <enter>. Den er godtnok
> tekstbaseret.

Den kender jeg godt, men den kan ikke lave opslag men læser blot i
den tabel Windows allerede har. Dvs hvis jeg laver et opslag på en
adresse jeg ikke har noget kontakt med tidligere så får jeg intet
resultat.

Eksempel:
e:\>arp -a 172.16.3.240
Der blev ikke fundet nogen ARP-poster

e:\>ping 172.16.3.240

Pinger 172.16.3.240 med 32 byte data:

Svar fra 172.16.3.240: byte=32 tid=1ms TTL=128
Svar fra 172.16.3.240: byte=32 tid<1ms TTL=128
Svar fra 172.16.3.240: byte=32 tid<1ms TTL=128
Svar fra 172.16.3.240: byte=32 tid<1ms TTL=128

Ping-statistikker for 172.16.3.240:
Pakker: Sendt = 4, modtaget = 4, tabt = 0 (0% tab),
Beregnet tid for rundtur i millisekunder:
Minimum = 0ms, Maksimum = 1ms, Gennemsnitlig = 0ms

e:\>arp -a 172.16.3.240

Netværkskort: 172.16.6.82 --- 0x2
Internetadresse Fysisk adresse Type
172.16.3.240 00-02-44-0f-27-bb dynamisk


Så arp programmet i windows er kun til opslag i den eksisterende
tabel, jeg vil gerne kunne lave opslag selv.

--
Henrik Stidsen - http://hs235.dk/ - http://såkadulæredet.dk/
"Is everyone else in the world a moron, or is it just me?"
(Dilbert Newsletter)

---

Henrik Stidsen skrev:

> Så arp programmet i windows er kun til opslag i den eksi-
> sterende tabel, jeg vil gerne kunne lave opslag selv.

Hvordan vil du få fat på MAC-adressen uden at sende netværks-
trafik til netkortet som MAC-adressen er tilknyttet?
(jeg går ud fra at du ikke har adgang til routeren som MAC-
adressen er "bagved")

---

"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> wrote in
news:41068516$0$180$edfadb0f@dtext01.news.tele.dk

>> Så arp programmet i windows er kun til opslag i den eksi- sterende
>> tabel, jeg vil gerne kunne lave opslag selv.

> Hvordan vil du få fat på MAC-adressen uden at sende netværks-
> trafik til netkortet som MAC-adressen er tilknyttet?
> (jeg går ud fra at du ikke har adgang til routeren som MAC-
> adressen er "bagved")

Jeg har en mac adresse på en lap papir. Det er en klump der sidder
med en DHCP server og forgifter vores lokale netværk. Den eneste måde
at få fat i ham involverer at jeg skal have fundet ud af hvilken IP
på det rigtige netværk han benytter når han surfer. Derfor skal jeg
gerne kunne slå ham op.
Det er RARP - Reverse ARP

Ja, man kan lave ARP opslag som jeg i en anden post demonstredede -
men det ville nu være nemmere med en enkelt kommando.

--
Henrik Stidsen - http://hs235.dk/ - http://såkadulæredet.dk/
"Is everyone else in the world a moron, or is it just me?"
(Dilbert Newsletter)

---

On 27 Jul 2004 22:27:17 GMT, Henrik Stidsen
<nospamforme@hs235.dk> wrote:

> Jeg har en mac adresse på en lap papir. Det er en klump der sidder
> med en DHCP server og forgifter vores lokale netværk. Den eneste måde
> at få fat i ham involverer at jeg skal have fundet ud af hvilken IP
> på det rigtige netværk han benytter når han surfer.

Log på routeren og check dens ARP-tabel. Det er standardmetoden.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

---

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote in
news:5gjfg0p34pf6b5riojtuhuhc359mohnltj@news.cybercity.dk

>> Jeg har en mac adresse på en lap papir. Det er en klump der
>> sidder med en DHCP server og forgifter vores lokale netværk.
>> Den eneste måde at få fat i ham involverer at jeg skal have
>> fundet ud af hvilken IP på det rigtige netværk han benytter når
>> han surfer.

> Log på routeren og check dens ARP-tabel. Det er standardmetoden.

Nu er problemet at jeg ikke har adgang til routeren eller gateway
maskinen. Jeg har dog adgang til vores lokale web mm. server - og det
har ikke været nok eftersom han, når han kører DHCP, ikke kan
kontakte server i og med den er på et andet subnet!

Men det må nok ende med noget logging af om hans MAC viser sig i
serverens ARP tabel.

--
Henrik Stidsen - http://hs235.dk/ - http://såkadulæredet.dk/
"Is everyone else in the world a moron, or is it just me?"
(Dilbert Newsletter)

---

On 29 Jul 2004 01:22:01 GMT, Henrik Stidsen
<nospamforme@hs235.dk> wrote:

>> Log på routeren og check dens ARP-tabel. Det er standardmetoden.

> Nu er problemet at jeg ikke har adgang til routeren eller gateway
> maskinen.

Så få dem der har til at fixe det... (Hvis I har valgt at lade
nogle andre drive det, må de jo også gøre det).

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

---

Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote in
news:4a9ig05va3eqs8rk3kqqq60anrabfbgitr@news.cybercity.dk

>> Nu er problemet at jeg ikke har adgang til routeren eller gateway
>> maskinen.

> Så få dem der har til at fixe det... (Hvis I har valgt at lade
> nogle andre drive det, må de jo også gøre det).

Tjow, men nu er det sådan at den ene af dem der har adgang er på
timeløn (!) og dem der har sat det hele op (og står for den tekniske
del af det) er ikke interesserede i (eller forpligtede til) at lave
den slags opgaver (det er et ret stort elektriker firma).

--
Henrik Stidsen - http://hs235.dk/ - http://såkadulæredet.dk/
"Is everyone else in the world a moron, or is it just me?"
(Dilbert Newsletter)

---

Henrik Stidsen skrev:

> "Peder Vendelbo Mikkelsen" wrote
>> Hvordan vil du få fat på MAC-adressen uden at sende netværks-
>> trafik til netkortet som MAC-adressen er tilknyttet?
>> (jeg går ud fra at du ikke har adgang til routeren som MAC-
>> adressen er "bagved")

> Jeg har en mac adresse på en lap papir.

Hvor har du MAC-adressen fra?

> Det er en klump der sidder med en DHCP server og forgifter
> vores lokale netværk. Den eneste måde at få fat i ham invol-
> verer at jeg skal have fundet ud af hvilken IP på det rigtige
> netværk han benytter når han surfer.

Måske kan du bruge p0f:

http://lcamtuf.coredump.cx/p0f.shtml

Der er links til ekstra værktøjer som gør det nemmere at over-
skue outputtet.

Nu går tricket så ud på at få alle maskiner på netværket til at
udveksle netværkstrafik med den maskine du opsætter p0f på.

Du kunne også prøve at sende en Wake-On-LAN pakke til MAC-adres-
sen (på et tidspunkt hvor netværket er stille og du nemt kan
overskue trafikken du eventuelt modtager, muligvis er du heldig
at maskinen vågner og gør opmærksom på sig selv):

http://www.thecodeproject.com/csharp/wolclass.asp

Hvad er det for et netværk du sidder på?

---

On Wed, 28 Jul 2004 19:57:46 +0200, "Peder Vendelbo Mikkelsen"
<pedervm@myrealbox.com> wrote:

> Nu går tricket så ud på at få alle maskiner på netværket til at
> udveksle netværkstrafik med den maskine du opsætter p0f på.

De snakker (stort set) altid med routeren, så det nemmeste er som
regel at kigge i routerens ARP-tabel.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/

---

"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> wrote in
news:4107ea73$0$178$edfadb0f@dtext01.news.tele.dk

>> Jeg har en mac adresse på en lap papir.

> Hvor har du MAC-adressen fra?

Fra da hans DHCP kørte og min maskine blev fanget af den.

>> Det er en klump der sidder med en DHCP server og forgifter
>> vores lokale netværk. Den eneste måde at få fat i ham invol-
>> verer at jeg skal have fundet ud af hvilken IP på det rigtige
>> netværk han benytter når han surfer.

> Måske kan du bruge p0f:

> http://lcamtuf.coredump.cx/p0f.shtml

Er det ikke bare en sniffer ? - for dem har vi rigeligt af :)

> Nu går tricket så ud på at få alle maskiner på netværket til at
> udveksle netværkstrafik med den maskine du opsætter p0f på.

Det skulle ikke være det helt store problem.

> Du kunne også prøve at sende en Wake-On-LAN pakke til MAC-adres-
> sen (på et tidspunkt hvor netværket er stille og du nemt kan
> overskue trafikken du eventuelt modtager, muligvis er du heldig
> at maskinen vågner og gør opmærksom på sig selv):

Kunne måske være en mulighed...

> http://www.thecodeproject.com/csharp/wolclass.asp

....men jeg tror vist jeg skal have et andet program end det der med
mindre du kan sende mig en compilet version. Har ikke liiiige en .net
compiler klar.

> Hvad er det for et netværk du sidder på?

Hvordan mener du ?

--
Henrik Stidsen - http://hs235.dk/ - http://såkadulæredet.dk/
"Is everyone else in the world a moron, or is it just me?"
(Dilbert Newsletter)

---

Henrik Stidsen skrev:

> "Peder Vendelbo Mikkelsen" wrote
>> Måske kan du bruge p0f:

>> http://lcamtuf.coredump.cx/p0f.shtml

> Er det ikke bare en sniffer ?

Læs dokumentationen.

>> http://www.thecodeproject.com/csharp/wolclass.asp

> ...men jeg tror vist jeg skal have et andet program end det
> der med mindre du kan sende mig en compilet version. Har ikke
> liiiige en .net compiler klar.

Hvis du har .Net installeret, har du også adgang til en compi-
ler. Læs dokumentationen.

Hvis du skal bruge noget GUI-agtigt, så hent Visual C# 2005
Express Edition Beta:

http://lab.msdn.microsoft.com/express/vcsharp/default.aspx

Læs dokumentationen.

>> Hvad er det for et netværk du sidder på?

> Hvordan mener du ?

LAN, WAN, MAN, WLAN, Ethernet, kabelmodem-lignende infrastruk-
tur, faste linier, modem?

---

"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> wrote in
news:41097367$0$177$edfadb0f@dtext01.news.tele.dk

>> ...men jeg tror vist jeg skal have et andet program end det
>> der med mindre du kan sende mig en compilet version. Har ikke
>> liiiige en .net compiler klar.

> Hvis du har .Net installeret, har du også adgang til en compi-
> ler.

Never mind, fandt en wol.exe på en anden side der giver præcis samme
funktionalitet. Fandt iøvrigt i samme ombæring (da jeg søgte efter
WOL software) et program der vha. en masse ARP opslag kan simulere
RARP - så nu har jeg hvad jeg skal bruge.

>>> Hvad er det for et netværk du sidder på?

>> Hvordan mener du ?

> LAN, WAN, MAN, WLAN, Ethernet, kabelmodem-lignende infrastruk-
> tur, faste linier, modem?

Fra min maskine til internettet:
Gigabit optisk LAN med switchet struktur der binder 8 kollegier (511
lejligheder) sammen og giver både LAN, internet og telefon.
Netforbindelsen leveres af 4 ADSL linier (hvilket ikke lige er det
mest optimale).

--
Henrik Stidsen - http://hs235.dk/ - http://såkadulæredet.dk/
"Is everyone else in the world a moron, or is it just me?"
(Dilbert Newsletter)

---

Henrik Stidsen wrote:

> Never mind, fandt en wol.exe på en anden side der giver præcis samme
> funktionalitet. Fandt iøvrigt i samme ombæring (da jeg søgte efter
> WOL software) et program der vha. en masse ARP opslag kan simulere
> RARP - så nu har jeg hvad jeg skal bruge.

Troede at du sagde du ikke ville lave en masse ARP requests Hvilket
program fandt du egentlig? Det eneste jeg har leget med er "CC Get MAC
Address" - <URL:http://www.youngzsoft.net/cc-get-mac-address/>.

Hvis jeres netværk er baseret på Cisco-switche ville jeg, hvis jeg var
dig/jer, holde øje med om "DHCP snooping" med tiden skulle blive
understøttet på den platform I har:

<URL:http://www.cisco.com/en/US/products/hw/switches/ps4324/products_configuration_guide_chapter09186a008011c8ac.html>
<URL:http://tinyurl.com/52qhu>

Knus
Regnar

---

Regnar Bang Lyngsø <regnar@writeme.com> wrote in
news:410980b7$0$35883$14726298@news.sunsite.dk

> Troede at du sagde du ikke ville lave en masse ARP requests
> Hvilket program fandt du egentlig? Det eneste jeg har leget med
> er "CC Get MAC Address" -
> <URL:http://www.youngzsoft.net/cc-get-mac-address/>.

Det er præcis det program jeg har fundet. Og nej, jeg ville helst
undgå de mange ARP requests men det ser ud til at være eneste
mulighed, desværre.

> Hvis jeres netværk er baseret på Cisco-switche ville jeg, hvis
> jeg var dig/jer, holde øje med om "DHCP snooping" med tiden
> skulle blive understøttet på den platform I har:

Det vil jeg næsten tro det er men jeg ved det ikke.

--
Henrik Stidsen - http://hs235.dk/ - http://såkadulæredet.dk/
"Is everyone else in the world a moron, or is it just me?"
(Dilbert Newsletter)

---

Henrik Stidsen skrev:

> Det er en klump der sidder med en DHCP server og forgifter
> vores lokale netværk.

Via ipconfig /all kan du se IP-adressen på DHCP-serveren.

> Den eneste måde at få fat i ham involverer at jeg skal have
> fundet ud af hvilken IP på det rigtige netværk

Hvilket rigtige netværk?

---

"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> wrote in
news:4107f8f0$0$178$edfadb0f@dtext01.news.tele.dk

>> Det er en klump der sidder med en DHCP server og forgifter
>> vores lokale netværk.

> Via ipconfig /all kan du se IP-adressen på DHCP-serveren.

Det ved jeg - men det hjælper ikke så meget.
Det er lidt kompliceret at forklare men for at vi kan få råbt fyren
op skal vi have fat i hvilken IP han får tildelt af den rigtige DHCP.
Derfor kan vi ikke bruge den IP hans egen DHCP har til noget,
desværre.

>> Den eneste måde at få fat i ham involverer at jeg skal have
>> fundet ud af hvilken IP på det rigtige netværk

> Hvilket rigtige netværk?

Vores LAN er et 172.16.0.0/16 (16 svjh) netværk, hans DHCP deler IPer
ud på 192.168.1.0/24
Det jeg skal bruge er den IP hans MAC af den rigtige DHCP bliver
tildelt når den ind i mellem er online på 172 netværket.

--
Henrik Stidsen - http://hs235.dk/ - http://såkadulæredet.dk/
"Is everyone else in the world a moron, or is it just me?"
(Dilbert Newsletter)

---

Henrik Stidsen wrote:

> Vores LAN er et 172.16.0.0/16 (16 svjh) netværk, hans DHCP deler IPer
> ud på 192.168.1.0/24
> Det jeg skal bruge er den IP hans MAC af den rigtige DHCP bliver
> tildelt når den ind i mellem er online på 172 netværket.

Øhhh.... hvis du kender hans MAC-adresse - hvorfor laver du så ikke bare
en reservation på din DHCP-server på dén MAC-adresse - så véd du hvilken
IP-adresse han får.

Hvis målet er at finde klumpen, ville jeg tjekke MAC-entries på
switchene når problemet opstår. Det giver lissom lidt respekt når man
står foran et netstik og ser *meget* sur ud når den formastelige dukker
op om morgenen.

Jeg tror, jeg tidligere har reklameret for Netdisco, men vil hermed gøre
det igen: <URL:http://www.netdisco.org/>

Knus
Regnar

---

Regnar Bang Lyngsø <regnar@writeme.com> wrote in
news:41085467$0$35880$14726298@news.sunsite.dk

> Øhhh.... hvis du kender hans MAC-adresse - hvorfor laver du så
> ikke bare en reservation på din DHCP-server på dén MAC-adresse -
> så véd du hvilken
> IP-adresse han får.

Jeg har ikke adgang til DHCP'en - det er ikke nemt at være menig
arbejder i et kollegie-netværks-udvalg :/

> Hvis målet er at finde klumpen, ville jeg tjekke MAC-entries på
> switchene når problemet opstår. Det giver lissom lidt respekt
> når man står foran et netstik og ser *meget* sur ud når den
> formastelige dukker op om morgenen.

Så vidt vides er det kun installatøren der har adgang til switchene -
og de vil ikke være med til den slags.
Desuden er det kollegielejligheder der er koblet på nettet og vi har
ikke nogen mulighed for at finde den fysiske adresse på en bruger.
Problemet er, som sagt, at det kun er installatøren der kan tilgå
switchene og derudover har jeg hørt tale om at de switche måske slet
ikke kan give den ønskede information alligevel :/

> Jeg tror, jeg tidligere har reklameret for Netdisco, men vil
> hermed gøre det igen: <URL:http://www.netdisco.org/>

Det ser spændende ud - men jeg er bare bange for at jeg ikke kan
bruge det på vores netværk uden at skulle have fat i installatøren :/

--
Henrik Stidsen - http://hs235.dk/ - http://såkadulæredet.dk/
"Is everyone else in the world a moron, or is it just me?"
(Dilbert Newsletter)

---

>Jeg har ikke adgang til DHCP'en - det er ikke nemt at være menig
>arbejder i et kollegie-netværks-udvalg :/
Få nogen der har adgang til at hjælpe dig. Det burde være en smal sag
at kigge i DHCP-loggen og finde klumpens MAC og senest tildelte IP.

/Jan

---

Jan Bachman <jamen@davs.du> wrote in
news:k1shg0tn3ugck2e7b0tlv3keiavpporir7@4ax.com

>>Jeg har ikke adgang til DHCP'en - det er ikke nemt at være menig
>>arbejder i et kollegie-netværks-udvalg :/

> Få nogen der har adgang til at hjælpe dig. Det burde være en
> smal sag at kigge i DHCP-loggen og finde klumpens MAC og senest
> tildelte IP.

Er måske nok den eneste løsning - det må jeg prøve.

--
Henrik Stidsen - http://hs235.dk/ - http://såkadulæredet.dk/
"Is everyone else in the world a moron, or is it just me?"
(Dilbert Newsletter)

---

RARP er desværre ikke implementeret i Windows' TCP/IP stack. Så du kan
ikke lave reverse opslag på samme måde. Der er umiddelbart 2 måder at
gøre det på:

1) Man har en RARP server stående på netværket.
2) Man laver en ARP broadcast storm: man afprøver alle IP-adresser,
indtil man finder korrekt MAC-adresse.

Henrik Stidsen wrote:
> Findes der ikke et smart program til at lave ARP og RARP opslag til
> windows (XP) ? - jeg har prøvet google mv. men kan ikke finde noget.
>
> Det er specielt RARP opslag jeg gerne vil kunne lave.
>
> Bemærk x-post, sæt FUT til relevant gruppe.
>

---

jamen <jamen@at.com> wrote in
news:4106eca0$0$188$edfadb0f@dread11.news.tele.dk

> RARP er desværre ikke implementeret i Windows' TCP/IP stack. Så
> du kan ikke lave reverse opslag på samme måde.

Dvs, det er rent faktisk ikke muligt i Windows ?

> Der er
> umiddelbart 2 måder at gøre det på:

> 1) Man har en RARP server stående på netværket.

Hvordan fungerer sådan en ?

> 2) Man laver en ARP broadcast storm: man afprøver alle
> IP-adresser, indtil man finder korrekt MAC-adresse.

Nu er ARP floods netop det vi forsøger at undgå, det har vi rigeligt
af i forvejen. Ind i mellem tæller ARP request over 90% af trafikken
på mit netkort selvom jeg surfer rundt - orme der forsøger at
inficerer andre maskiner flooder ARP request for at finde nye ofre.

--
Henrik Stidsen - http://hs235.dk/ - http://såkadulæredet.dk/
"Is everyone else in the world a moron, or is it just me?"
(Dilbert Newsletter)

---

Henrik Stidsen wrote:
> jamen <jamen@at.com> wrote in
> news:4106eca0$0$188$edfadb0f@dread11.news.tele.dk
>
>
>>RARP er desværre ikke implementeret i Windows' TCP/IP stack. Så
>>du kan ikke lave reverse opslag på samme måde.
>
>
> Dvs, det er rent faktisk ikke muligt i Windows ?

Nej. Du kan da godt sende RARP pakker ud på netværket, men der er ingen
Windows maskiner som vil svare på dem.



>>Der er
>>umiddelbart 2 måder at gøre det på:
>
>
>>1) Man har en RARP server stående på netværket.
>
>
> Hvordan fungerer sådan en ?


Den lytter efter ARP requests, og gemmer dem IP+MAC adresse på
afsenderen. Når du så sender en RARP request ud, vil serveren svare.

Når en maskine vil på netværket, vil den først sende en ARP request ud,
for at kontrollere ingen andre har samme IP-adresse. Herved vil RARP
serveren lære MAC-adressen på alle maskiner i netværket (i hvert fald
dem på samme broadcast-domæne).


>>2) Man laver en ARP broadcast storm: man afprøver alle
>>IP-adresser, indtil man finder korrekt MAC-adresse.
>
>
> Nu er ARP floods netop det vi forsøger at undgå, det har vi rigeligt
> af i forvejen. Ind i mellem tæller ARP request over 90% af trafikken
> på mit netkort selvom jeg surfer rundt - orme der forsøger at
> inficerer andre maskiner flooder ARP request for at finde nye ofre.
>

Lyder ikke som et sundt netværk :|

---

jamen <jamen@at.com> wrote in
news:41077da0$0$147$edfadb0f@dread11.news.tele.dk

>> Dvs, det er rent faktisk ikke muligt i Windows ?

> Nej. Du kan da godt sende RARP pakker ud på netværket, men der
> er ingen Windows maskiner som vil svare på dem.

Ja så er der jo ikke meget ide i det :/

--
Henrik Stidsen - http://hs235.dk/ - http://såkadulæredet.dk/
"Is everyone else in the world a moron, or is it just me?"
(Dilbert Newsletter)