trace im netzwerk mit internetanschluss abspielen

hallo, ihr wissenden,

ich beschäftige mich erst seit kurzem mit der analyse von netzwerkverkehren.
hier bin ich auf eine sache gestoßen, zu der ich keine antwort finden konnte:

wenn ein pcap-file einer realen internetkommunikation mittels tcpreplay auf einem 1GB switch, der an einen router ins internet verbunden ist wiedergeben wird:

-> gelangen dann die pakete tatsächlich an die mit destination ip gekennzeichneten empfänger im WAN, auch wenn die source ip nicht mit der adresse des routers übereinstimmt?

->werden die pakete empfangen und beantwortet?


->wenn ja, wie könnte man das verhindern?

vielen dank im voraus...

Hallo!

Das ist so korrekt. Zunächst muss geprüft werden ob sich die Quell- und Zieladresse des Paketes im gleichen
Subnetz befinden. Dabei vergleicht (in diesem Fall der Switch) die Zieladresse mit seinem ARP-Cache
(ARP=Address Resolution Protocol), der die MAC Adressen sämtlicher Hosts im LAN enthält. Dieser Cache wird
regelmäßig durch Broadcasts (=Nachicht an Alle) aktuell gehalten.
In diesem Fall wird der Switch nun erkennen, dass das Paket für einen Host im WAN bestimmt ist. Deshalb wird
er anhand einer Routingtabelle die IP-Adresse des nächsten Routers ermittelt und das Paket dort hin
weitergeleitet. Hier wird dann die Quelladresse des Pakets mittels Network Address Translation (NAT) durch
eine (in der Regel vom ISP zugewiesene) öffentlichen IP-Adresse substituiert. Dabei wird dieser Austausch
in der NAT-Table festgehalten indem die Quelladresse aus dem eigenen Subnetz und die Zieladresse des WAN
gespeichert werden. Kommt nun ein Response auf die Anfrage, sind Quell- und Zieladresse vertauscht und der
Router kann anhand der NAT-Table feststellen an welchen Host des Intranets die Anfrage gerichtet ist und
tauscht die öffentliche voherig ersetzte Zieladresse wieder mit der Lokalen aus. Auf diesem Weg bleibt das
lokale Netz vom öffentlichen gekapselt, da (sofern man keine Ports öffnet ) von im WAN lediglich die
IP des Routers bekannt ist, nicht aber die Netzstruktur die dahinter steht.
Was du aber jetzt konkret verhindern möchtest ist mir aber nicht ganz klar

MfG

Theoretisch wäre das sicherlich möglich - zumindest gelangen die Pakete mit der Ziel-IP ins Internet.
Aber wenn es nicht das erste Paket (also die ursprüngliche SYN-Anfrage an den Server) ist, werden die Pakete beim Ziel-Host verworfen, wenn die Sequence-Number nicht stimmt, oder die Kommunikation nicht mit den Protokoll-Handshake (SYN => ACK => SYN-ACK) eingeleitet wurde.