>>Добрый день!
>>
>>
>> Команда tcpdump -nvvei em0 arp выдает такой результат:
>>
>>11:44:29.223384 0:7:de:50:70:19 ff:ff:ff:ff:ff:ff 0806 60: arp reply 0.0.0.0 is-at 0:7:de:50:70:19 (0:2b:d7:b5:ab:23)
>>
>> Первый мак адрес от кого, второй кому (беруться из заголовка фрейма),
>>ответ что у ип 0.0.0.0 мак 0:7:de:50:70:19 (такой же как и
>>адрес в заголовке). А вот что за мак адрес в скобках?
>>От куда он береться и что обозначает?
>это адрес спросившего (т.е. отвечаю такому-то (второй адрес) 0.0.0.0 находится там-то (первый
>адрес))
>если ответ настоящий, а не forged, то тоже должен совпадать с адресом
>в link layer header
>
>\^P^/
А от куда тцпдамп его берет? Из этого же фрейма?
А ответы эти 100% поддельные, наверно снифиром каким сгенеренные, поэтому такая фигня и выходит - и ип левый, и мак адреса непонятные.
|
Версия для распечатки
(ok), 23-Авг-06, 15:21 
вывод tcpdump arp,
Jelis, 22-Авг-06, 13:50
[смотреть все]
