über IP MAC-Adresse herausfinden

adebar

Big d00d

Registered: Dec 2001
Location: Kopf.
Posts: 275

09.07.2003 - 11:50

Ist es möglich zu einer bekannten IP die MAC-Adresse herauszufinden?
Meines Wissens nach sollte das mit ARP (oder doch RARP?) möglich sein.

Habe auch schon versucht zu googeln aber nichts brauchbares gefunden. Wer von euch weiß mehr dazu?

tia

condor

out of my way

Registered: Mar 2003
Location: Hamburg
Posts: 1967

09.07.2003 - 11:53

unter windows:

nbtstat -a ip

NyoMic

xepera-xeper-xeperu

Registered: Feb 2001
Location: Stahlstadt
Posts: 2620

09.07.2003 - 11:54

hmm ich glaub mit arp kann ma aber nur Einträge hinzufügen. Wennst die Mac von deinem Gateway oder einem anderen stark von deinem PC frequentierten PC brauchst, probiers mal mit "arp -a" vielleicht steht er ja schon drin

adebar

Big d00d

Registered: Dec 2001
Location: Kopf.
Posts: 275

09.07.2003 - 12:53

Erstmal danke!

Hab beides mal probiert:
ad 1) funktioniert anscheinend nur lokal :confused:

ad 2) die IP ist in der liste nicht vorhanden. Muss man um sie hinzuzufügen die MAC kennen?

Gibts noch andere Möglichkeiten/Tools?

HaBa

Vereinsmitglied
Dr. Funkenstein

Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19777

09.07.2003 - 12:55

IIRC zeigt arp nur aktive Verbindungen an.

Aktuelle Netzwerkscanner ala languard sollten sowas auch ohne Verbindung (man lädt nicht gerade Daten usw. herunter, nicht "offline") anzeigen können.

Joshua

transparent nobody

Registered: Dec 2000
Location: dahoam
Posts: 833

09.07.2003 - 13:46

languard kanns!

adebar

Big d00d

Registered: Dec 2001
Location: Kopf.
Posts: 275

09.07.2003 - 14:23

Nochmal Danke!

Lösung war folgende:
Ich hab den Host mal mit pings beschäftigt ("ping [IP] -t").
Währenddessen "arp -a".
:schwupdiwupp: da war die MAC.

Einfach genial: genial Einfach!

atrox

in fairy dust... I trust!

Registered: Sep 2002
Location: HTTP/1.1 404
Posts: 2782

10.07.2003 - 05:36

um korrekt zu sein, die arp-table ist ein cache. wurde die MAC-Addr einer lokalen IP (=zielip innerhalb der selben netaddr/netmask) über ein aktives broadcast oder eine anfrage der gegenseite aufgelöst, wird die IP/MAC kombination in die tabelle aufgenommen. erst wenn über einge gewisse zeit lang (w2k:120sec) kein datagram von dem rechner empfangen wird, oder dorthingeschickt, wird der arp-eintrag entfernt.

es ist also volkommen ausreichend, zuerst einen host zu pingen, und danach mit arp -a die tabelle anzeigen zu lassen - man hat ca 2 min zeit

flocky

sn0wner (analphabet)

Registered: May 2002
Location: life-compiler
Posts: 1663

10.07.2003 - 17:44

wie schanm schon sagte scheint nbtstat nur lokal zu funktionieren.
nbtstat is ja die abfrage des NetBIOS (over TCP/IP) statuses einer angegebenen adresse / eines angegebenen hosts. netbios ist nicht routingfähig, netbios over TCP/IP afaik schon. trotz allem lässt sich ein host mit nbtstat nicht auflösen wenn er sich nicht im selben segment bzw. in der selben kollisionsdomäne, sondern einen oder mehr hops entfernt ist. wie kann man das aber dann machen, dass so eine nbt-abfrage doch weitergeroutet wird?
ich mein, wenn ich jetz einen host anpinge, der sich hinter einem router befindet, dann is die MAC-adresse nicht von nöten, dafür gibts ja die IP's, aber gibts doch eine möglichkeit das herauszufinden ?

HaBa

Vereinsmitglied
Dr. Funkenstein

Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19777

10.07.2003 - 18:34

So wie oben mit arp oder einem tool wie z.B. Languard? Wird ja die MAC von der IP angezeigt, egal ob vor oder hinter einem Router, oder?

Oder verstehe ich die Frage falsch?

flocky

sn0wner (analphabet)

Registered: May 2002
Location: life-compiler
Posts: 1663

10.07.2003 - 18:37

Zitat von HaBa
So wie oben mit arp oder einem tool wie z.B. Languard? Wird ja die MAC von der IP angezeigt, egal ob vor oder hinter einem Router, oder?

Oder verstehe ich die Frage falsch?

nein, hast shcon richtig verstanden. wenn ich aber über i-net (klarerweise über router) einen rechner mit languard scanne bekomme ich als result auch nur den hostnamen und die offenen ports, keine MAC oder sonst was.

HaBa

Vereinsmitglied
Dr. Funkenstein

Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19777

10.07.2003 - 18:43

und wenn du den rechner pingst und in den arp-table schaust?

flocky

sn0wner (analphabet)

Registered: May 2002
Location: life-compiler
Posts: 1663

10.07.2003 - 18:46

Zitat von HaBa
und wenn du den rechner pingst und in den arp-table schaust?

komischerweise nix drinnen. aber sogar ich bin ja schon hinter meinem router

und logischerweise braucht er die IP ja auch gar nicht, weil ich brauch ja nur die MAC von meinem router, der braucht die MAC vom nächsten router usw. nur die IP bleibt immer gleich, und die MAC wird ja nur innerhalb einer kollisionsdomäne gebraucht/verwendet (afaik).

noledge

CWNE #540

Registered: Apr 2001
Location: ::1
Posts: 6838

10.07.2003 - 19:49

jo... hinter dem router, könnte ja ein ganz anderes netz sein (also statt ethernet zB atm, tokenring oder sonstwas) - da brauchst ja garkeine mac mehr. in dem fall sendet er das paket an den router (dessen mac bekommt er), der router übernimmt alles weitere.

edit: nicht in der collision domain, sondern in einer broadcast domain. mit einem switch hast ja auch schon eine trennung der collision domains, aber immer noch eine broadcast domain.

collision domains werden durch swiches, broadcast domains durch router getrennt.

adebar Big d00d Registered: Dec 2001 Location: Kopf. Posts: 275	09.07.2003 - 11:50 Ist es möglich zu einer bekannten IP die MAC-Adresse herauszufinden? Meines Wissens nach sollte das mit ARP (oder doch RARP?) möglich sein. Habe auch schon versucht zu googeln aber nichts brauchbares gefunden. Wer von euch weiß mehr dazu? tia
condor out of my way Registered: Mar 2003 Location: Hamburg Posts: 1967	09.07.2003 - 11:53 unter windows: nbtstat -a ip
NyoMic xepera-xeper-xeperu Registered: Feb 2001 Location: Stahlstadt Posts: 2620	09.07.2003 - 11:54 hmm ich glaub mit arp kann ma aber nur Einträge hinzufügen. Wennst die Mac von deinem Gateway oder einem anderen stark von deinem PC frequentierten PC brauchst, probiers mal mit "arp -a" vielleicht steht er ja schon drin
adebar Big d00d Registered: Dec 2001 Location: Kopf. Posts: 275	09.07.2003 - 12:53 Erstmal danke! Hab beides mal probiert: ad 1) funktioniert anscheinend nur lokal ad 2) die IP ist in der liste nicht vorhanden. Muss man um sie hinzuzufügen die MAC kennen? Gibts noch andere Möglichkeiten/Tools?
HaBa Vereinsmitglied Dr. Funkenstein Registered: Mar 2001 Location: St. Speidl / Gle.. Posts: 19777	09.07.2003 - 12:55 IIRC zeigt arp nur aktive Verbindungen an. Aktuelle Netzwerkscanner ala languard sollten sowas auch ohne Verbindung (man lädt nicht gerade Daten usw. herunter, nicht "offline") anzeigen können.
Joshua transparent nobody Registered: Dec 2000 Location: dahoam Posts: 833	09.07.2003 - 13:46 languard kanns!
adebar Big d00d Registered: Dec 2001 Location: Kopf. Posts: 275	09.07.2003 - 14:23 Nochmal Danke! Lösung war folgende: Ich hab den Host mal mit pings beschäftigt ("ping [IP] -t"). Währenddessen "arp -a". :schwupdiwupp: da war die MAC. Einfach genial: genial Einfach!
atrox in fairy dust... I trust! Registered: Sep 2002 Location: HTTP/1.1 404 Posts: 2782	10.07.2003 - 05:36 um korrekt zu sein, die arp-table ist ein cache. wurde die MAC-Addr einer lokalen IP (=zielip innerhalb der selben netaddr/netmask) über ein aktives broadcast oder eine anfrage der gegenseite aufgelöst, wird die IP/MAC kombination in die tabelle aufgenommen. erst wenn über einge gewisse zeit lang (w2k:120sec) kein datagram von dem rechner empfangen wird, oder dorthingeschickt, wird der arp-eintrag entfernt. es ist also volkommen ausreichend, zuerst einen host zu pingen, und danach mit arp -a die tabelle anzeigen zu lassen - man hat ca 2 min zeit
flocky sn0wner (analphabet) Registered: May 2002 Location: life-compiler Posts: 1663	10.07.2003 - 17:44 wie schanm schon sagte scheint nbtstat nur lokal zu funktionieren. nbtstat is ja die abfrage des NetBIOS (over TCP/IP) statuses einer angegebenen adresse / eines angegebenen hosts. netbios ist nicht routingfähig, netbios over TCP/IP afaik schon. trotz allem lässt sich ein host mit nbtstat nicht auflösen wenn er sich nicht im selben segment bzw. in der selben kollisionsdomäne, sondern einen oder mehr hops entfernt ist. wie kann man das aber dann machen, dass so eine nbt-abfrage doch weitergeroutet wird? ich mein, wenn ich jetz einen host anpinge, der sich hinter einem router befindet, dann is die MAC-adresse nicht von nöten, dafür gibts ja die IP's, aber gibts doch eine möglichkeit das herauszufinden ?
HaBa Vereinsmitglied Dr. Funkenstein Registered: Mar 2001 Location: St. Speidl / Gle.. Posts: 19777	10.07.2003 - 18:34 So wie oben mit arp oder einem tool wie z.B. Languard? Wird ja die MAC von der IP angezeigt, egal ob vor oder hinter einem Router, oder? Oder verstehe ich die Frage falsch?
flocky sn0wner (analphabet) Registered: May 2002 Location: life-compiler Posts: 1663	10.07.2003 - 18:37 Zitat von HaBa So wie oben mit arp oder einem tool wie z.B. Languard? Wird ja die MAC von der IP angezeigt, egal ob vor oder hinter einem Router, oder? Oder verstehe ich die Frage falsch? nein, hast shcon richtig verstanden. wenn ich aber über i-net (klarerweise über router) einen rechner mit languard scanne bekomme ich als result auch nur den hostnamen und die offenen ports, keine MAC oder sonst was.
HaBa Vereinsmitglied Dr. Funkenstein Registered: Mar 2001 Location: St. Speidl / Gle.. Posts: 19777	10.07.2003 - 18:43 und wenn du den rechner pingst und in den arp-table schaust?
flocky sn0wner (analphabet) Registered: May 2002 Location: life-compiler Posts: 1663	10.07.2003 - 18:46 Zitat von HaBa und wenn du den rechner pingst und in den arp-table schaust? komischerweise nix drinnen. aber sogar ich bin ja schon hinter meinem router und logischerweise braucht er die IP ja auch gar nicht, weil ich brauch ja nur die MAC von meinem router, der braucht die MAC vom nächsten router usw. nur die IP bleibt immer gleich, und die MAC wird ja nur innerhalb einer kollisionsdomäne gebraucht/verwendet (afaik).
noledge CWNE #540 Registered: Apr 2001 Location: ::1 Posts: 6838	10.07.2003 - 19:49 jo... hinter dem router, könnte ja ein ganz anderes netz sein (also statt ethernet zB atm, tokenring oder sonstwas) - da brauchst ja garkeine mac mehr. in dem fall sendet er das paket an den router (dessen mac bekommt er), der router übernimmt alles weitere. edit: nicht in der collision domain, sondern in einer broadcast domain. mit einem switch hast ja auch schon eine trennung der collision domains, aber immer noch eine broadcast domain. collision domains werden durch swiches, broadcast domains durch router getrennt.

über IP MAC-Adresse herausfinden

Forum Index > Hardware > Peripherie > Netzwerktechnik

adebar

condor

NyoMic

adebar

HaBa

Joshua

adebar

atrox

flocky

HaBa

flocky

HaBa

flocky

noledge