https://opennet.ru/openforum/vsluhforumID1/68389.html Добрый день!<br><br><br> Команда tcpdump -nvvei em0 arp выдает такой результат:<br><br>11:44:29.223384 0:7:de:50:70:19 ff:ff:ff:ff:ff:ff 0806 60: arp reply 0.0.0.0 is-at 0:7:de:50:70:19 (0:2b:d7:b5:ab:23)<br><br> Первый мак адрес от кого, второй кому (беруться из заголовка фрейма), ответ что у ип 0.0.0.0 мак 0:7:de:50:70:19 (такой же как и адрес в заголовке). А вот что за мак адрес в скобках? От куда он береться и что обозначает?<br><br> https://opennet.ru/openforum/vsluhforumID1/68389.html#4 Thu, 15 Jan 2009 19:16:58 GMT &gt;[оверквотинг удален]<br>&gt;&gt; А ответы эти 100% поддельные, наверно снифиром каким сгенеренные, поэтому такая <br>&gt;&gt;фигня и выходит - и ип левый, и мак адреса непонятные. <br>&gt;&gt;<br>&gt;<br>&gt;<br>&gt; Эм... разобрался - посмотрел как вообще должен арп пакет выглядеть. <br>&gt;<br>&gt; А вот тогда вопрос такой - а можно ли tcpdump <br>&gt;заставить в нормальной форме и IP спросившего выводить, он же в <br>&gt;арп пакете тоже присутствует? <br><br>syntaxis krivoi.kak ono voos4e 4to-to vidaet?<br><br><br> https://opennet.ru/openforum/vsluhforumID1/68389.html#3 Wed, 23 Aug 2006 11:27:07 GMT &gt;&gt;&gt;Добрый день! <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;<br>&gt;&gt;&gt; Команда tcpdump -nvvei em0 arp выдает такой результат: <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;11:44:29.223384 0:7:de:50:70:19 ff:ff:ff:ff:ff:ff 0806 60: arp reply 0.0.0.0 is-at 0:7:de:50:70:19 (0:2b:d7:b5:ab:23) <br>&gt;&gt;&gt;<br>&gt;&gt;&gt; Первый мак адрес от кого, второй кому (беруться из заголовка фрейма), <br>&gt;&gt;&gt;ответ что у ип 0.0.0.0 мак 0:7:de:50:70:19 (такой же как и <br>&gt;&gt;&gt;адрес в заголовке). А вот что за мак адрес в скобках? <br>&gt;&gt;&gt;От куда он береться и что обозначает? <br>&gt;&gt;это адрес спросившего (т.е. отвечаю такому-то (второй адрес) 0.0.0.0 находится там-то (первый <br>&gt;&gt;адрес)) <br>&gt;&gt;если ответ настоящий, а не forged, то тоже должен совпадать с адресом <br>&gt;&gt;в link layer header <br>&gt;&gt;<br>&gt;&gt;\^P^/ <br>&gt; А от куда тцпдамп его берет? Из этого же фрейма? <br>&gt; А ответы эти 100% поддельные, наверно снифиром каким сгенеренные, поэтому такая <br>&gt;фигня и выходит - и ип левый, и мак адреса непонятные. <br>&gt;<br><br><br> Эм... разобрался - посмотрел как вообще должен арп пакет выглядеть.<br> А вот тогда вопрос такой - а можно ли tcpdump заставить в норма https://opennet.ru/openforum/vsluhforumID1/68389.html#2 Wed, 23 Aug 2006 11:21:51 GMT &gt;&gt;Добрый день! <br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt; Команда tcpdump -nvvei em0 arp выдает такой результат: <br>&gt;&gt;<br>&gt;&gt;11:44:29.223384 0:7:de:50:70:19 ff:ff:ff:ff:ff:ff 0806 60: arp reply 0.0.0.0 is-at 0:7:de:50:70:19 (0:2b:d7:b5:ab:23) <br>&gt;&gt;<br>&gt;&gt; Первый мак адрес от кого, второй кому (беруться из заголовка фрейма), <br>&gt;&gt;ответ что у ип 0.0.0.0 мак 0:7:de:50:70:19 (такой же как и <br>&gt;&gt;адрес в заголовке). А вот что за мак адрес в скобках? <br>&gt;&gt;От куда он береться и что обозначает? <br>&gt;это адрес спросившего (т.е. отвечаю такому-то (второй адрес) 0.0.0.0 находится там-то (первый <br>&gt;адрес)) <br>&gt;если ответ настоящий, а не forged, то тоже должен совпадать с адресом <br>&gt;в link layer header <br>&gt;<br>&gt;\^P^/ <br> А от куда тцпдамп его берет? Из этого же фрейма?<br> А ответы эти 100% поддельные, наверно снифиром каким сгенеренные, поэтому такая фигня и выходит - и ип левый, и мак адреса непонятные.<br><br><br> https://opennet.ru/openforum/vsluhforumID1/68389.html#1 Tue, 22 Aug 2006 22:25:31 GMT &gt;Добрый день! <br>&gt;<br>&gt;<br>&gt; Команда tcpdump -nvvei em0 arp выдает такой результат: <br>&gt;<br>&gt;11:44:29.223384 0:7:de:50:70:19 ff:ff:ff:ff:ff:ff 0806 60: arp reply 0.0.0.0 is-at 0:7:de:50:70:19 (0:2b:d7:b5:ab:23) <br>&gt;<br>&gt; Первый мак адрес от кого, второй кому (беруться из заголовка фрейма), <br>&gt;ответ что у ип 0.0.0.0 мак 0:7:de:50:70:19 (такой же как и <br>&gt;адрес в заголовке). А вот что за мак адрес в скобках? <br>&gt;От куда он береться и что обозначает? <br>это адрес спросившего (т.е. отвечаю такому-то (второй адрес) 0.0.0.0 находится там-то (первый адрес))<br>если ответ настоящий, а не forged, то тоже должен совпадать с адресом в link layer header<br><br>\^P^/<br>