Forum: PC-Programmierung ARP Cache mit zweiter IP ergaenzen

Um den ARP-Cache zu manipulieren musst du kein eigenes Programm 
schreiben.  Das Kommando "arp" erledigt das (man arp).  Z.Bsp. "arp -s 
<ip> <mac> pub" legt einen Eintrag an.  Das pub-Flag definiert, dass das 
Kernel auch externe ARP-Request für die <ip> beantworten soll (aka 
Proxy-ARP - ohne "pub", würde der Eintrag nur bei rausgehenden Paketen 
die ARP-Anfrage umgehen[1]).

Was du aber wohl möchtest, ist ein Interface mit mehreren IPs.  Die 
moderne Methode ist "ip addr add <ip> dev <interface>" (man ip-address). 
Die etwas ältere die Alias-Interfaces a la "ifconfig eth0:<id> <ip>" 
(man ifconfig).



[1] Wurde früher (pre-DHCP) gern von simplen Netzwerkgeräten benutzt, um 
sich eine IP zuweisen zu lassen.  Die merkten sich einfach die IP des 
letzten, direkt an sie adressierten (MAC-Layer!) Paketes.  Dazu wurde 
auf irgendeinem Rechner mittels "arp -s" händisch ein temporärer Eintrag 
für das Gerät angelegt (MAC-Addr stand auf dem Gehäuse) und es 
anschließend einmal angepingt.  Das Gerät merkte sich die IP und 
beantwortete auch künftige ARP-Anfragen dafür.  Fertig war die 
IP-Konfiguration.

Konrad S. und asdfasd schrieben:

>ifconfig eth0:A 10.11.12.13

>"ifconfig eth0:<id> <ip>"

Perfekt, vielen Dank an Euch!

>Das bedeutet noch nicht, dass etwas bereit wäre
>diese Pakete anzunehmen.

Innerhalb des Subnets habe ich die letzte Ziffer meiner bestehenden ip, 
passend zum dazugehoerigen interface, einfach um eins erhoeht.

Lt. 'ip addr' ist das Pseudointerface bekannt, also noch einen 'ping' 
hinterher geschickt, mit dem Resultat, dass die zweite IP problemlos 
angesprochen werden kann. LAEUFT!

Nun habe ich etliche Stunden ueber dem in C geschriebenen Client 
gebruetet, damit er selbiges erledigt und jetzt funktioniert es mit 
einer Zeile in der Konsole.

Aber davon mal abgesehen, dass Programmieren hat Spaß gemacht und sein 
erstes erfolgreich gesendetes ARP-Paket ueber den Ether flitzen zu 
sehen, hatte auch was fuer sich.

Habt Ihr Tipps, was evtl. falsch laufen kann, wenn das ueber den Client 
gesendete Paket definitiv in Ordnung ist?

Daniel A. schrieb:

>Viele router senden keine Ethernetframes mit identischer source und
>destination mac weiter.

Aehm, wieso Router? Ich nutze zwar das interface 'wlan0', aber der 
Client sendet vom Desktop aus direkt auf die IP des Subnetzes, also an 
meinen Rechner und nicht ueber die Adresse des Routers.

Bsp.:
lokale IP fuer iface wlan0 127.0.0.101
IP des Routers             127.0.0.1

Wenn mein Client an die 101 sendet, geht das doch nicht nochmal ueber 
den Router, oder?

ich selber schrieb:

>aber der Client sendet vom Desktop aus direkt auf die IP des Subnetzes

Subnetz vom Router! Also geht es doch drueber, wenn ich mir das jetzt 
nochmal durch den Kopf gehen lasse.

Ich glaube ich sollte mir mal die Logs vom Router ansehen.

Konrad S. schrieb:

>Pakete an 127.x.x.x verlassen den Rechner nicht.

Ist mir klar, ich wollte hier nur nicht mit meinen richtigen IPs 
rumhantieren.

Konrad S. schrieb:

>Dann nimm doch den 192.168.x.x-Bereich, damit machst du nichts falsch.

Okay, dass die 127.er nicht die Betreffenden sind, haette ich angesichts 
der Problemstellung vielleicht dazu schreiben sollen, mea culpa.

Die 192.168 er sind ebenso generisch/standardisiert und waeren auch 
gegangen.

Daniel A. schrieb:

>Wenn mit Packet Sockets packete über das Interface wlan0 gesendet
>werden, kommen diese beim Wlan router an. Dieser muss es dann an die
>Ziel-mac senden. Also zum rechner, von welchem dieses gekommen ist, wenn
>quelle=ziel. Nur machen das viele router und switches bei diesem
>Spezialfall nicht.

Wie bereits geschrieben, glaube ich langsam, dass der Router des Pudels 
Kern ist. Ich werde gleich mal in dessen LogFiles sehen und gucken, ob 
ich etwas a la ARP Cache Poisoning Versuch wurde vereitelt sehe.

Was anderes, Du hast geschrieben ich koenne Deinen Code kompilieren. 
Ganz ehrlich, wenn es eine kleine Source-File waere, die ich mal eben 
durchsehen koennte, gerne. Aber dass Teil fasse ich so auf die Schnelle 
nicht an.

Ich unterstelle Dir hier nichts schlechtes, Gott bewahre, aber mal eben 
leichtfertig > SUDO dreißig Seiten fremden Code auf meinem System 
ausfuehren... Mache ich nicht.

Was ich Dir anbieten kann, ich schicke Dir meinen Code fuer den ARP 
Reply und Du fuehrst ihn aus. Schneller, sicherer <weil nur eine Seite 
Code> und kommt aufs GLeiche raus.

Konrad S. schrieb:

>Nicht "wären auch gegangen"

Waeren auch gegangen im Sinne von hier veroeffentlichen, dass war 
gemeint.

Genauso ungefaehrlich.

Also wenn ich nicht wuesste, was der localhost, fuer eine IP hat, dann 
sollte ich nicht mit ARP "rumspielen", waere zumindest von abzuraten.

Matthias S. schrieb:
> Sinn und Zweck des Ganzen ist keine boese Absicht, sondern der Wunsch
> einen tcp-Handshake in C mittels des Einsatzes von packet-Sockets
> nachzuprogrammieren.

D.H. du willst den TCP-Stack des Betriebsystems garnicht verwenden, 
sondern deinen eigenen daneben ausrollen?

Und bei eingehenden Paketen soll dann automatisch entschieden werden, ob 
das Ethernet-Frame für den Betriebsystem-IP-Stack ist, oder für deinen 
eigenen?

Soweit korrekt?

Grobe Idee, ungetestet:
eine virtuelle Ethernet-Bridge (btctl create ....) vorschalten, darin 
sowohl das echte eth-device als auch ein virtuelles für deine 
Experimente verschalten. (z.B. ip tuntab add oder tunctl)
dem virtuellen verpasst du eine neue, erfundene MAC.

Schon kannst du am virtuellen Device beliebig mit Packet-sockets, 
eigenem ARP usw. spielen, ohne dass sich das mit dem Linux-Eigenen 
TCP/IP-Stack in die Quere kommt.

Conrad S. schrieb:

>Dann nimm doch den 192.168.x.x-Bereich, damit machst du nichts falsch.

Ich habe den Bereich 192.168.x.x genutzt!

Nur hier, habe ich 127.XX geschrieben. Das es sich hierbei um zwei 
grundverschiedene Adressbereiche handelt ist mir klar.

Nur beide haben etwas gemeinsam. Es sind beides standardisierte 
Adressbereiche. 127 kennt jeder fuer Localhost und 192.168 duerfte jeder 
kennen, der ein Heimnetz mit einem Router betreibt.

Gleichwohl wollte ich meine 192.168.x.x hier nicht posten, eigentlich 
gehoppst, wie gesprungen, weil man mit diesen Adressen ebenso wenig 
anfangen kann. Daran habe ich aber im Moment nicht gedacht, weil es 
schon frueher Morgen war/ist und ich langsam groggy bin.

Localhost 127.0.0.1 nur intern
Lokales wlan 192.168.2.101 funkt hingegen zum
Router 192.168.2.1 und der funkt mit seiner richtigen IP im Netz

und ARP hat mit IP gar nichts zu tun, sondern mit der Aufloesung von MAC 
hin zu IP-Adressen, durch einen allgemeinen Broadcast. Dieser beinhaltet 
die Frage, welcher der "Nachbarn" die gesuchte IP hat und dieser 
antwortet mit seiner IP und der im Endeffekt angefragten MAC.

Planlos schrieb:

>Und bei eingehenden Paketen soll dann automatisch entschieden werden, ob
>das Ethernet-Frame für den Betriebsystem-IP-Stack ist, oder für deinen
>eigenen?

>Soweit korrekt?

Nein, im Prinzip habe ich das Problem, wie oben schon beschrieben, durch 
den Einsatz von 'ifconfig' loesen koennen.

Durch das neue Pseudointerface gibt es keinen Grund mehr einen 
Entscheidungsprozess zu veranlassen.

Mein Progamm sendet Daten an dieses neu geschaffene Interface und der 
tcp/ip-Stack bleibt außen vor, da ich beabsichtige, den Handshake selbst 
vom Programm aus durchfuehren zu lassen, so der Plan.

Die virtuelle Ethernet-Bridge laesst sich nicht mit einem so geringen 
Aufwand umsetzen, insofern geht meine Praeferenz jetzt erstmal zu der 
quick & dirty Methode.

Allerdings klingt Dein Vorschlag sehr nach einer schoenen Testumgebung, 
welche sich anzuschauen sicher lohnen wuerde.

> Mein Progamm sendet Daten an dieses neu geschaffene Interface und der
> tcp/ip-Stack bleibt außen vor, da ich beabsichtige, den Handshake selbst
> vom Programm aus durchfuehren zu lassen, so der Plan.

Ein alias-Interface wird genauso vom IP-Stack des BS behandelt,
wie das reale Interface. D.h. er bleibt nicht "aussen vor".
Wie kommst Du den darauf?