Få en "ethernet-enhet" att lyssna till namn och IP-adress.

[grottan]

Apropå att mäta. Vad slags Op-amp skulle klara att förstärka en Ethernet signal 10/100base-T så att man kan linjelyssna utan att överlasta källan?

Finns flera sätt:

1. Använda en hubb (inte helt enkla att få tag på i dag), duger inte till i fall man av någon anledning vill se hur det fungerar i full duplex
2. Använda en konfigurerbar switch och spegla en port, duger inte till i fall man vill kunna se trasiga ethernetframes
3. Använda en "tap" (http://www.networkinstruments.com/produ ... opper.html)

Personligen så kör jag alltid med variant 2 då jag hittils aldrig behövt analyser huruvida en frame är hel eller trasig (man får tillräckligt stöd av statistiken i switchen).

[TomasL]

Bara nyfiken (och har funderat på det förrut)...

Hur gör man med Wireshark och ett enbart switchat nät om det
inte är samma maskin som Wireshark körs på som ska loggas ?
Behöver man koppla in en hub ? Hur "sniffar" man annars ?
Finessen med en switch är väl bl.a att trafiken bara syns på
de berörda nodernas/hosternas anslutningar !?

Du har rätt sodjan, man behöver en HUB.
I teorin går det inte att paketsniffa ett switchat nätverk.
Det finns dock en metod som tydligen funkar på en del switchar dvs ARP-Spoofing

[ToPNoTCH]

Om det är en Cisco (inte allt för ovanligt märke) så heter det Port Mirroring

[sodjan]

Hemma (och speciellt i de modeller som används hemma) är det nog
inte jättevanligt...

[Ulf]

Va! Är inte Cisco med GB-portar vanliga hemma? Tyvär är inte all kabel cat6 hemma än. Kanske fiber till växthuset... .

Som TomasL skriver implementera en dhcp-client och fixa med namnet där.
Håll även koll på lease-tidien (tex mha timer) och gör en ny begäran om adress innan tiden löper ut. Det är ju inget som behöver "snurra" hela tiden. Minns inte om dhcp-servern kan begära via broadcast att klinterna frågar efter nya adresser, tex vid omstart så ska ju inte klienterna behöva startas om.

Studera RFC:n ordentligt så att även om du hårdkodar så har du lärt dig något!

[H.O]

Yes, tack ThomasL och Ulf (och givetvis alla andra som svarat),
Sitter med RFC2131, 2132, 1533, ett par exempel i C, några forumtrådar, Wikipedia och ett par andra sidor så det börjar klarna.

Det verkar finnas två sätt att ange "sitt namn" när i samband med att man kör en DHCP request.
1) Det ena är att använda option overload och ange "namnet" i fältet chaddr som, om jag fattat det rätt normalt innehåller klientens IP-adress (EDIT: MAC-adress ska det såklart vara). Men när jag tittar på option overload (option code 52) så finns inget alternativ som säger att fältet chaddr är overloaded. file, sname eller båda däremot - men inte chaddr.

2) I RFC2131 anges att alternativ 1 inte längre behöver användas (vilket är tur eftersom det inte verka gå ihop riktigt...) utan att en speciell Client Identifier option har lagts till. Denna hittar jag i option code 61 med referens till ytterligare en RFC nämligen RFC4361 vilket verkar behandla detta.

Det är ungefär där jag är i nuläget men om jag fattat det rätt så här långt så är alternativ 2 det jag bör använda. Är någon av en annan uppfattning?

Jo självklart ska jag hålla koll på lease-tiden. Om/när jag kommer dit men just nu känns/ser det mer hoppfullt ut än vid den här tiden igår.

Tack återigen!

[H.O]

Du har rätt sodjan, man behöver en HUB.
I teorin går det inte att paketsniffa ett switchat nätverk.
Det finns dock en metod som tydligen funkar på en del switchar dvs ARP-Spoofing

Betyder detta alltså att jag, i mitt högst "typiska hem-nätverk", inte kan använda Wireshark för att verifiera vad jag skickar och får tillbaka?
Jag har alltså PC'n och mitt kort kopplat till en och samma switch och switchen är sedan kopplad till routern som agerar DHCP server. Jag tror jag skickar ett DHCP discover paket från mitt kort men jag ser inte ett smack i Wireshark. Borde jag det?

Det är mycket möjligt, att det jag skickar inte är ett giltigt DHCP-discover paket men jag ser som sagt inte ett smack i Wireshark.

[TomasL]

Nej du kan inte se nånting, tyvärr.
Du måste få tag på en gammal hub.

[H.O]

Tack för det Tomas, det var på ett sätt goda nyheter.
Så byta ut befintlig switch mot en hub alltså - kan ju inte var så svårt att hitta en sån...

[TomasL]

He He, svårare än du tror faktiskt, det är väl 10 år sedan de slutade tillverka dem.
Men visst hittar du en hub, det kan finnas folk här som kan ha någon liggande, så funkar det.

[Meduza]

Naturligtvis har man sparat ett par hubbar för att använda vid felsökning, använde mina senast i går natt

[sodjan]

> men jag ser inte ett smack i Wireshark.

Exakt. Det är en av de *stora* fördelarna med switchar...

[grottan]

Fast ett DHCP discovery skall ses på alla portar, det går mot broadcastadressen (255.255.255.255).

[maDa]

Ja absolut, fast FF:FF:FF:FF:FF:FF egentligen. Switchen bryr sig inte om IP-broadcasts.

[H.O]

OK, så två säger att jag inte borde se något (vilket f.n stämmer med verkligheten) och två säger att jag absolut borde se anropet om jag skickar till 255.255.255.255, vilket jag gör.

Eller, rättare sagt, det är vad jag tror att jag gör men eftersom jag inte ser nått så vet jag inte med säkerhet var felet ligger...

Jag sätter som sagt destination IP till 255.255.255.255 men däremot har jag haft destination hardware adress satt till 00-00-00-00-00-00, borde den varit FF-FF-FF-FF-FF-FF?

Hur som helst så känns det som att en hub skulle underlätta då den borde göra att jag ser "allt", oavsett till vilket IP eller MAC paketet är destinerat och hurvida det är ett gilltigt DHCP discover eller ej.