# Форум на русском языке  > Угрозы информационной безопасности  > Сетевые атаки  >  команда:  arp -a

## PORSHEvchik

Есть в сети один человек, который, видимо лазает в чужие компьютеры сети. На его попытки входа срабатывает файрволл:"входящее соединение в процесс system". Провайдер вроде предпринимает какие-то действия. Он сказал, чтоб при очередной попытке я воспользовался данной командой и показал им скрин. Мне очень интересно, что именно показывает эта команда(внутрисетевые прямые подключения(запросы) к моему компу), чем может помочь, какие есть альтернативы этой команде?
Ну и примерчик команды каждые 50 минут, не могли бы вы пояснить, что именно я вижу на скрине(в это время не было срабатываний файрволла)


P.S.: Я читал некоторые материалы с упоминанием этой команды, но мне непонятны некоторые вещи. Может есть несложное пояснение, для моего ламер-мозга? :Smiley:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Virtual

> -a            Отображает текущие ARP-записи, опрашивая текущие данные    20
>                протокола. Если задан inet_addr, то будут отображены IP и
>                и физический адреса только для заданного компьютера.
>                Если более одного сетевого интерфейса используют ARP,
>                то будут отображаться записи для каждой таблицы.


грубо говоря, таблица сопоставления ип адреса и физического мак адреса, ну а далее отследить, в теории нарушителя, по шлюзам (маршрутизаторы хранять таблици соответствия мак адресов и портов назначения, что дает очь легкия способ найти шнурок злыдня ;_) и наказать кого не попадя.

PS в двух словах: админ провайдера прав. как только обнаружится теоритическая атака, тут-же снять таблицу сопоставления адресов (arp -a) и звонить им. по IP-MAC нарушителя, администратор, просмотрит таблици коммутаторов, и однозначно узнает на каком порту он сидит. главное максимально быстро все проделать, дабы поймать злыдня. если он в сети вашего провайдера, ему ничего не поможет скрытся  :Wink: .

----------


## PORSHEvchik

здесь понятно, а что именно показывает, то что подключено? ведь когда я осуществлял разрешённый вход на комп через HFS у меня входящие ипы и, соответственно маки, не отображены. Какие ИПы и МАКи я вижу после выполнения команды? какие-то запросы с тех адресов, непосредственные подключения? Соединения с сервером авторизации я вижу и понимаю, а другие? Например в скрине есть внешний ип, каким образом он оказался в списке отображения? откуда мог взяться недопустимый? Откуда может появиться внешний ИП адрес не характерный для моей сети, и почему он отображается(его нет в скрине). Я увижу адреса только из внутренней сетки, или могут отобразиться и внешние(физические адреса принадлежат моей сети?).

----------


## Virtual

> -a Отображает текущие ARP-записи


тоесть текущую таблицу (с небольшим кэшированием.)
будут видны только адреса твоей физической подсети,



> Например в скрине есть внешний ип


 как как ты опр. что он внешний?  :Smiley:  он в твоей подсети, т.к. МАС адрес недействует дальше твоего шлюза  :Wink: .
учи матчасть думаю вопросов меньше будет
ну хоть это
http://ru.wikipedia.org/wiki/ARP
http://ru.wikipedia.org/wiki/Сетевой_шлюз
http://ru.wikipedia.org/wiki/MAC-адрес

----------


## PORSHEvchik

вот и ответ в двух словах, СПС так вот сразу всё стало на  много понятнее  :Smiley: 

Только вот следом такой вопросик, если ипа такого в сети официально не имеется, может ли значить, что это тот кого ищут? тот самый переборщик?, или это подтвердится если тот мак окажется опять с новым ипом?

----------


## Virtual

*PORSHEvchik*, в трех словах
1. ты обнаруживаеш "атаку" с опр IP
2. тут-же получаеш соответствие IP-MAC
3. и тут же, Админ провайдера, Получает сопоставление маршрутизатор_порт по MAC адресу (ибо именно MAC запоминается в таблицах маршрутизатора)

и пофиг какой ип и мак будет у нарушителя завтра, ибо уже известен "хвост" на котором он сидит, а так же его учетные и соответственно паспортные данные  :Wink: .

----------


## PORSHEvchik

Невероятно, огромное спасибо, я считаю, что получил исчерпывающий ответ. Особо в точку с маршрутизатором и необычным ИП, как пояснил пров, это был клиентский маршрутизатор.  :Smiley:

----------

