[Synapse] ARP [TraceMagic|Events]

Home _° SiteMap _° Analyse _° Preise _° Audits _° Software _° Download _° Syn-Wiki _° Kontakt _° Impressum

^TraceMagic ^{Trace Log Events}

ARP

[1] ARP Request/Reply
[2] ARP AllSubnetsAreLocal

ARP = Address Resolution Protocol

[1] ARP Request/Reply

Ein einfacher Dialog zur IP/MAC-Adress-Auflösung via ARP sieht so aus:


[   1]  #   5711 ::  192.168.178.28  << 192.168.178.1   :: ARP : 0x 0001  = ARP Request [              ]                                                           ::   ::     ::      
[   1]  #   5712 ::  192.168.178.1   << 192.168.178.28  :: ARP : 0x 0002  = ARP Reply   [              ]    [MAC=000F1F176BEF] (IP->MAC address resolution [OK].)  ::   ::     ::      
[   2]  #   4959 ::  192.168.178.1   << 192.168.178.25  :: ARP : 0x 0001  = ARP Request [              ]                                                           ::   ::     ::      
[   2]  #   6458 ::  192.168.178.28  << 192.168.178.1   :: ARP : 0x 0001  = ARP Request [              ]                                                           ::   ::     ::      
[   2]  #   6459 ::  192.168.178.1   << 192.168.178.28  :: ARP : 0x 0002  = ARP Reply   [              ]    [MAC=000F1F176BEF] (IP->MAC address resolution [OK].)  ::   ::     ::

Die leere eckigen Klammern bedeuten, dass weder der anfragende, noch der antwortende
IP-Teilnehmer als Router identifiziert werden konnte.

Im Falle eines Routers sieht das z.B. so aus:


[   1]  #  20972 - [2006-05-18 10:44:01 .48118] ::  10.49.72.179    << 10.49.72.6      :: ARP : 0x 0001  = ARP Request [Host <- ROUTER]                            ::   ::     ::

Siehe:

ARP

[2] ARP AllSubnetsAreLocal

http://www.networksorcery.com/enp/protocol/bootp/option027.htm

ARP Requests sollten nur an IP-Stationen geschickt werden (adressiert werden), die im selben IP-Subnetz siedeln, und dies aus folgenden Gründen:

Siedelt ein IP-Empfänger ausweislich IP-Adresse und IP-Subnet-Mask in einem auswärtigen IP-Subnetz, ist für die Zustellung der lokale Router zuständig (Default Gateway).

Der letzte IP-Router, der den Kontakt zum physikalischen LAN-Segment hat, in welchem der IP-Empfänger siedelt, sendet dann (falls nötig) einen ARP-Request, um die MAC-Adresse des IP-Empfängers zu erfragen (und um dann das IP-Paket zuzustellen).

ARP-Pakete werden i.d.R. von Routern daher nicht weiter geleitet - es sei denn, auf dem Router liefe ein ARP-Proxy-Agent.

Die Suche via ARP nach einem IP-Empfänger, der in einem auswärtigen=fremden IP-Subnetz siedelt, ist also i.d.R. zwecklos oder gar regelwidrig.

Sollte(n) jedoch IP-Teilnehmer die lokale Konfigurations-Variable "AllSubnetsAreLocal=TRUE" gesetzt haben, sehen sie auch Teilnehmer mit "auswärtiger/fremder" IP-Adresse so an, als siedelten sie auf dem lokalen LAN-Segment, und sprechen sie daher auch direkt mit einem LAN-Broadcast an. Dieses Verhalten ist jedoch sehr selten geworden.

Sowohl ARP-Proxy-Agents auf Routern wie auch "AllSubnetsAreLocal"-Settings in IP-Clients gehören historisch in die Zeit Ende der 80er bzw. Anfang der 90er Jahre und können als veraltet angesehen werden.

TraceMagic gibt folgende Meldung aus, wenn über IP-Subnetz-Grenzen hinweg ARP-Pakete verschickt werden:


 Both source/destination IP address do *NOT* share the same IP subnet !?

Soll sagen: Beide IP-Teilnehmer sind *nicht* im selben IP-Subnet, fragen aber via ARP nach einander !?

Im folgenden Beispiel ist einiges auffällig bzw. falsch:

Auf die Subnetz-übergreifenden ARP-Requests wird sogar noch geantwortet.

Die zwei ARP-Replies von 10.123.78.92 kommen von zwei unterschiedlichen MAC-Adressen (Router-Interfaces?).

Hier kann einiges nicht stimmen, hießt: hier liegen schwere Fehler vor, sei es in Hardware oder Software bzw. in Konfiguration.


[  32]  #   1030 - [2006-09-07 10:09:27 .428931] ::  10.231.78.92    << 192.168.205.57  :: ARP : 0x 0001  = ARP Request [              ] Both source/destination IP address do *NOT* share the same IP subnet !?                                                                                                                                                                                                ...
[  32]  #   1032 - [2006-09-07 10:09:27 .428944] ::  10.231.78.92    << 192.168.205.57  :: ARP : 0x 0001  = ARP Request [              ] Both source/destination IP address do *NOT* share the same IP subnet !?                                                                                                                                                                                                ...
[  32]  #   1034 - [2006-09-07 10:09:27 .428948] ::  10.231.78.92    << 192.168.205.57  :: ARP : 0x 0001  = ARP Request [              ] Both source/destination IP address do *NOT* share the same IP subnet !?                                                                                                                                                                                                ...
[  32]  #   1036 - [2006-09-07 10:09:27 .428953] ::  10.231.78.92    << 192.168.205.57  :: ARP : 0x 0001  = ARP Request [              ] Both source/destination IP address do *NOT* share the same IP subnet !?                                                                                                                                                                                                ...
[  32]  #   1038 - [2006-09-07 10:09:27 .428956] ::  10.231.78.92    << 192.168.205.57  :: ARP : 0x 0001  = ARP Request [              ] Both source/destination IP address do *NOT* share the same IP subnet !?                                                                                                                                                                                                ...
[  32]  #   1040 - [2006-09-07 10:09:27 .428959] ::  10.231.78.92    << 192.168.205.57  :: ARP : 0x 0001  = ARP Request [              ] Both source/destination IP address do *NOT* share the same IP subnet !?                                                                                                                                                                                                ...

[  32]  #   1051 - [2006-09-07 10:09:27 .431129] ::  192.168.205.57  << 10.123.78.92    :: ARP : 0x 0002  = ARP Reply   [              ]    [MAC=00036B782BE0] (IP->MAC address resolution [OK].) Both source/destination IP address do *NOT* share the same IP subnet !?                                                                                                                                       ...
[  32]  #   1055 - [2006-09-07 10:09:27 .431679] ::  192.168.205.57  << 10.123.78.92    :: ARP : 0x 0002  = ARP Reply   [Host <- ROUTER]    [MAC=0017E0068577] (IP->MAC address resolution [OK].) Both source/destination IP address do *NOT* share the same IP subnet !?                                                                                                                                       ...

Erzeugt am (Datum/Uhrzeit): 2011-01-20 / 23:42:39 ... via SYNcreator


	"Auf den ersten Blick sehen, was ist."
"Sie zeichnen auf, wir werten aus"

Synapse Networks GmbH - 55435 Gau-Algesheim - Germany - www.synapse.de - +49-700-SYNAPSE-C|F Call|Fax Impressum