Mehrere Rechner mit identischer MAC/IP

[Natureshadow]

Hallo zusammen,

wir sind hier gerade (wie immer) was am basteln. Keine Details, aber es geht um eine NAT-Firewall (Eigenbau mit IPTables) mit AAA-System.

Was uns dabei aufgefallen ist: Es ist möglich, zwei Hosts mit identischer IP-Adresse zu betreiben. Und noch besser: Mit identischer MAC-Adresse. Und beide können unabhängig von einander pingen und Verbindungen aufbauen.

Ansatzweise können wir uns das erklären: NAT ist ja durchaus dazu in der Lage, und das ist ja auch dessen Sinn, Antwortpakete eniem Host intern zuzuordnen.

Aber spätestens auf Ethernet-Ebene müsste da doch spätestens ein Switch Amok laufen, oder?

Grüße,
Nik

[Akendo]

Aehnliche oder gleiche? Details wuerde hier Ausschlag geben sein.

[Natureshadow]

Gleich. Vollkommen identisch. $ip1 == $ip2 && Smac1 == $mac2

Code: Alles auswählen

ifconfig eth0 192.168.2.200 hw ether xx:xx:xx:xx:xx:xx up

-nik

[Akendo]

Code: Alles auswählen

xx:xx:xx:xx:xx:xx: invalid ether address.

Bei mir geht das nicht, fuer solche sachen gibt es aber macchanger.

http://download.uni-hd.de/ftp/pub/gnu/macchanger/

Wenn man aber bedenkt das der Switch nur ein Layer2 Switch ist und somit ein Idiot, sollte er emtwerde einfach weiter Switchen oder gar nichts machen, wobei es in der Regel erstes ist.

[armin]

Bei mir geht das nicht

Richtig, meistens lässt sich meiner Erfahrung nach die MAC-Adresse nicht über ifconfig ändern. Auch wenn sich das Teil beschwert. überprüfe also am besten mal, ob wirklich Pakete mit er gleichen MAC verschickt werden.

[Akendo]

Naja je nachdem was man fuer ein Switch hat wird das entscheiden sein, soviel schonmal im Vorraus! Aber so ganz verstehe ich nicht den Sinn mehrere MAC-Addressen im Netz? Was moechtest du damit erzielen?

[roli]

Bei mir geht das nicht, fuer solche sachen gibt es aber macchanger.

Code: Alles auswählen

arp -s ...

waere auch eine Moeglichkeit die MAC zu aendern.

[Akendo]

Schon aber so ist es "einfacher"

[Natureshadow]

Hi,

danke erstmal für die Antworten!

Ich habe aber nicht gefragt, ob das was ich da mache Sinn macht. Nur so viel vorweg: Es macht Sinn, sonst würde ich kaum hier einen Thread dazu eröffnen. Es geht um Penetration Testing gegen eine eigene Firewall-Implementation.

Die Mac-Adresse wird tatsächlich geändert. Das beweisen die ARP-Caches der anderen Systeme und die Header der Ethernet-Frames.

Die arp -s-Idee hat damit allerdings wieder wenig zu tun, sie erzeugt nur einen Eintrag in der lokalen ARP-Tabelle. Damit kann man zwar durchaus so tun als würde man einer Hardwareadresse eine IP-Adresse zuordnen, praktisch funktioniert das aber meistens auch nicht wie gewünscht da die Hosts keine "fremden" IP-Pakete verarbeiten.

Aber zurück zum Thema: Ich habe zwei Hosts die identische MAC- und IP-Adressen haben. Oder zumidnest sieht es so aus.

Grüße,
Nik

[123456]

installiere doch mal arpwatch und schau was passiert.

[habakug]

Hallo!

Die arp -s-Idee hat damit allerdings wieder wenig zu tun, sie erzeugt nur einen Eintrag in der lokalen ARP-Tabelle. Damit kann man zwar durchaus so tun als würde man einer Hardwareadresse eine IP-Adresse zuordnen, praktisch funktioniert das aber meistens auch nicht wie gewünscht da die Hosts keine "fremden" IP-Pakete verarbeiten.

Du solltest dich in die "ARP-Grundlagen" [1] zunächst mal einlesen. Besonders hier [2].

Gruß, habakug

[1] http://www.microsoft.com/germany/techne ... 00593.mspx
[2] http://www.microsoft.com/germany/techne ... 3.mspx#E5E

[Natureshadow]

Du solltest dich in die "ARP-Grundlagen" [1] zunächst mal einlesen. Besonders hier [2].

Ganz ehrlich? Ich glaube nicht. ARP ist mir glaube ich ein Stückchen über die Grundlagen hinaus geläufig.

Was geht nun aus dem von dir unter [2] verlinkten Absatzes hervor? Dass das Phänomen hier nicht auftreten würde wenn ich Windows iensetzen würde ?

arpwatch kann mir Änderungen der Zuordnungen MAC<->IP anzeigen. Aber hier ändert sich ja nichts.

Ich sollte vielleicht noch einmal darauf hinweisen, dass ich dieses (zugegebenermaßen etwas merkwürdige) Setup in vollem Bewusstsein und mit Absicht aufgebaut habe.

[123456]

Ich sollte vielleicht noch einmal darauf hinweisen, dass ich dieses (zugegebenermaßen etwas merkwürdige) Setup in vollem Bewusstsein und mit Absicht aufgebaut habe.

Schön, aber was soll das bringen ausser mögliche Probleme?

[habakug]

Hallo!

Was geht nun aus dem von dir unter [2] verlinkten Absatzes hervor?

Der Kernel interessiert sich nicht für doppelte MAC-Adressen. Vielleicht verstehst du besser, das es möglich ist ein solches Szenario unter Linux nachzustellen, wenn du es auf englisch liest:

The Linux kernel does not generate any gratuitous ARP when you configure an IP address on the local interfaces. However, most Linux distributions come with the iputils package installed, which includes the arping command. arping can be used to generate ARP_REQUEST frames. When you enable a network interface with the /sbin/ifup command (part of the initscripts package), it uses arping to check for duplicate addresses.

MAC-Adressen spielen nur im gleichen Netzwerksegment eine Rolle, am ersten Router ist der Spuk vorbei.

Gruß, habakug

[1] http://book.chinaunix.net/special/ebook ... ECT-3.html

[Natureshadow]

Ich sollte vielleicht noch einmal darauf hinweisen, dass ich dieses (zugegebenermaßen etwas merkwürdige) Setup in vollem Bewusstsein und mit Absicht aufgebaut habe.

Schön, aber was soll das bringen ausser mögliche Probleme?

Das steht schon diverse Male in diesem Thread. Ich habe nicht vor das langfristgi so zu betreiben. Es ging darum, dass ich einen Rechner habe, der auf einem Firewallsystem anhand seiner IP- und MAC-Adresse erweiterte Rechte hat. Und diese wollte ich hijacken. Hat auch ganz gut geklappt. Erwartet hatte ich allerdings, dass mindestens einer der beiden Rechner keine vernünftige Netzwerkverbindung mehr zustande bringt. Aber weit gefehlt: Beide können problemlos arbeiten.

MAC-Adressen spielen nur im gleichen Netzwerksegment eine Rolle, am ersten Router ist der Spuk vorbei.

Hab auch nie was anderes behauptet.

Also noch ein Versuch. Formulieren wir die ursprüngliche Frage mal um:

Wenn ich zwei Hosts habe, deren Mac- und IP-Adressen identisch sind, wie ordnet ein anderes System dann noch Antwortpakete sauber zu? Fakt ist, dass das funktioniert. Und nun möchte ich wissen warum.

Dass es nicht funktionieren sollte (theoretisch), ist klar, und ich habe auch noch immer nicht gefragt ob es empfehlenswert oder sinnvoll ist so etwas zu bauen. Ich bin fortgeschrittener Administrator, der mit wesentlich mehr als nur den Grundlagen von IP, Ethernet, ARP und NAT vertraut ist und habe lediglich ein Problem, weil mein theoretisches Wissen und die praktische Beobachtung hier nicht übereinstimmen.

Grüße,
Nik

[123456]

Ich bin fortgeschrittener Administrator, der mit wesentlich mehr als nur den Grundlagen von IP, Ethernet, ARP und NAT vertraut ist und habe lediglich ein Problem, weil mein theoretisches Wissen und die praktische Beobachtung hier nicht übereinstimmen.

Als solcher solltest du aber wissen, das das Verhalten von der Implementation des IP Stacks abhängt, bzw. der Kompatibilität mit den RFC's.

Dein Verhalten kann ich hier nicht nachvollziehen. Bei zwei gleichen IP's meldet sich eine danach nicht mehr. Wenn das also bei dir anders ist liegt das entweder daran, das du was übersehen hast, oder der Grund ist die fehlerhafte Implementierung des IP Stacks deiner Maschine(n).

arpwatch sollte IMO grundsätzlich im Netz laufen. Das schaltet die ARP Konflikte aus.

[ChoMar]

Bekommen vieleicht beide Rechner die Pakete und verwerfen sie, wenn sie nichts damit anfangen können?
Oder, noch besser, werden sie vieleicht anhand der bestehender Routen von einem OSI 2.5 (zwei und ein bisschen) switch verteilt?
Beides sollte meiner ansicht nach möglich sein (aber verhindert werden)

Eine Interessante frage wäre noch: Können die beiden Rechner MITEINANDER kommunizieren? Wenn ja glaube ich ehrlich gesagt eher an einen Fehler des Setups, ich habe aber in netzwerktechnischer Sicht schon alles mögliche (und unmögliche) erlebt, so das ich das ganze eher den arkanen Künsten zuordnen würde.


Und können wir mal aufhören, über Sinn und Unsinn zu diskutieren? Wie wärs mit "Wir habens gemacht weil wir nicht wussten, was passiert". Das ist immernoch ein guter Grund.

[Natureshadow]

Die Rechner können natürlich nicht "gepingt" werden. Das heißt, einer von beiden kann. Der andere guckt in die Röhre. Es geht nur um Antwortpakete auf welche, die die beiden Clients initiiert haben.

Sie kriegen auch keine Pakete die nicht für sie bestimmt sind. Das habe ich auf OSI-Layer 3 geprüft.

Die IP-Stacks werden schon sauber implementiert sein, zumindest bin ich das von Linux gewöhnt.

"Wir habens gemacht weil wir nicht wussten, was passiert"

Nicht ganz. Wir wussten dass es in irgendeiner Form knallen müsste. Aber das tut es wie gesagt nicht.

[Mictlan]

Ich hatte mal so etwas ähnliches mit zwei Windows-Rechnern gehabt... Identische MAC aber unterschiedliche IP, dazwischen ein primitiver 20€ Switch: Resultat: einmal antwortet der eine Rechner auf Pings einmal der andere, je nachdem welcher Rechner vor dem Ping das letzte Paket rausgeschickt hat (und somit am Switch den Port für diese MAC markiert hat). Sobald der andere Rechner etwas geschickt hat bekam alles der andere PC.

Aber ja du hast Recht: es sollte bei deinem Setup eigentlich gewaltig krachen!

Was passiert wenn du komplexeres als nur pings absetzt? also gscheite TCP Verbindungen wie ssh? spätestens da müsste es doch krachen..... Ich kann mir kaum vorstellen dass vom client aus ssh auf die "gespiegelten" Rechner funktioniert....
Welche Hardware sitzt zwischen den beiden PCs? also welche Switches?

[ChoMar]

Ich tippe immernoch auf Layer 2.5 Switches, die geöffnete Routen offen halten und dabei ignorieren, das es zwei unterschiedliche Routen für die selbe IP/MAC gibt. Oder einen Fehler im Setup (sorry, aber sowas ist immer möglich)
Jedenfalls kann ich mir in Layer 2 nichts vorstellen, was dieses Verhalten erklären würde. Wie sieht denn die Verkabelung aus? Und nach welchem Forwardingmuster arbeitet der Switch? Muss ja eigentlich Store-and-Forward sein. Und der Switch muss auch mehr als Layer 2 können.
Hast du irgend einen billigswitch zur hand (D-Link, die werden eh überall mitgeliefert, z.b.) mit dem das überprüft werden könnte?

[Mictlan]

Ich tippe immernoch auf Layer 2.5 Switches, die geöffnete Routen offen halten und dabei ignorieren, das es zwei unterschiedliche Routen für die selbe IP/MAC gibt. Oder einen Fehler im Setup (sorry, aber sowas ist immer möglich)
Jedenfalls kann ich mir in Layer 2 nichts vorstellen, was dieses Verhalten erklären würde. Wie sieht denn die Verkabelung aus? Und nach welchem Forwardingmuster arbeitet der Switch? Muss ja eigentlich Store-and-Forward sein. Und der Switch muss auch mehr als Layer 2 können.
Hast du irgend einen billigswitch zur hand (D-Link, die werden eh überall mitgeliefert, z.b.) mit dem das überprüft werden könnte?

genau auf das wollte ich auch hinaus.

[Natureshadow]

Das ganze nochmal mit einem anderen Switch zu probieren wäre eine Idee.

Und ja, die beiden Clients könne beliebige Verbindungen aufbauen. Sie können komplett mit der Außenwelt kommunizieren, solange sie selber die Verbindung / die ICMP-Sequenz initiieren.