Prezentacja otwierająca drugi wykład z cyklu Administracja Sieci Komputerowych. Tematem przewodnim są adresy MAC, protokół ARP, adresowanie IPv4 i IPv6 oraz ICMP. Są to absolutne podstawy, bez których zrozumienie działania przełączników, routerów i zapór sieciowych nie jest możliwe. Każdy administrator musi wiedzieć, jak działa ARP, ponieważ problemy z tą warstwą są częstą przyczyną "niewyjaśnionych" przestojów. Podobnie ICMP jest podstawą każdej diagnostyki sieciowej - bez umiejętności interpretacji kodów błędów ICMP administrator jest bezradny wobec awarii.

Materiał został podzielony na część teoretyczną (ok. 20 minut) i praktyczną (ok. 30 minut). W części praktycznej przewidziano ćwiczenia z tcpdump, ping z zaawansowanymi opcjami oraz analizę tablic sąsiedztwa. Prezentacja zawiera liczne listingi konsolowe z rzeczywistymi wynikami, które można odtworzyć we własnym laboratorium.

Agenda dzisiejszego wykładu została zaplanowana jako płynne przejście od warstwy fizycznej (adresy MAC) przez warstwę sieciową (IPv4/IPv6) aż po warstwę kontrolno-diagnostyczną (ICMP). Taki układ odpowiada warstwom modelu TCP/IP: warstwa dostępu do sieci (L2), warstwa internetu (L3) i warstwa aplikacji (ICMP jako protokół pomocniczy L3).

Każdy blok tematyczny zawiera trzy elementy: teorię (jak działa), praktykę (jak sprawdzić) i troubleshooting (jak naprawić, gdy nie działa). Po wykładzie studenci będą potrafili samodzielnie przeanalizować ruch ARP i ICMP za pomocą tcpdump, zmienić adres MAC w systemie Linux oraz zdiagnozować problem z łącznością na podstawie kodów ICMP.

Cele zostały sformułowane zgodnie z taksonomią Blooma: zaczynamy od zapamiętania (budowa MAC), przechodzimy przez zrozumienie (działanie ARP), zastosowanie (zmiana MAC), analizę (interpretacja kodów ICMP) i ocenę (identyfikacja ataku). Każdy cel jest mierzalny - student albo potrafi wykonać zadanie, albo nie.

Laboratorium zostało zaprojektowane tak, aby każdy mógł je wykonać na jednym komputerze z dwiema maszynami wirtualnymi (np. VirtualBox z dwoma Linuxami). Do zaawansowanych ćwiczeń z ARP Poisoning potrzebne będą trzy maszyny, ale podstawową diagnostykę można przeprowadzić już na pojedynczej stacji.

Adres MAC (Media Access Control) jest przypisany do karty sieciowej na etapie produkcji. Zapisywany jest w pamięci ROM lub EEPROM karty i stanowi jej niepowtarzalny identyfikator w skali globalnej. IEEE przydziela poszczególnym producentom prefiksy OUI, co umożliwia identyfikację producenta na podstawie pierwszych trzech bajtów. Przykładowo 00:23:5E należy do Cisco, 3C:5A:B4 do Google.

Drugi bit najstarszego oktetu decyduje o tym, czy adres jest globalnie unikalny (bit = 0) czy lokalnie administrowany (bit = 1). Globalnie unikalne adresy są przypisane na stałe przez producentów i nie powinny się powtarzać w skali globu. Adresy lokalnie administrowane są używane np. przez maszyny wirtualne, interfejsy mostkowe (bridge) lub po zmianie adresu przez administratora (MAC spoofing).

IEEE publicznie udostępnia bazę OUI, która zawiera ponad 30 000 przypisań. Każdy producent urządzeń sieciowych musi wykupić własny prefiks, co kosztuje obecnie około 2500 USD za trzy prefiksy (24-bitowe). Niektóre firmy posiadają wiele prefiksów - przykładowo Cisco ma ich kilkadziesiąt, co wynika z przejmowania mniejszych firm i działalności różnych oddziałów.

Warto zwrócić uwagę na różne formaty zapisu adresu MAC w zależności od systemu operacyjnego. Windows używa myślników (AA-BB-CC-DD-EE-FF), Linux domyślnie dwukropków (aa:bb:cc:dd:ee:ff), a urządzenia Cisco notacji z kropką (aabb.ccdd.eeff). Wszystkie formaty są równoważne i konwertowalne. Podczas analizy plików konfiguracyjnych trzeba zwracać uwagę na użyty separator.

Teoretycznie adres MAC mógłby zapewnić 281 474 976 710 656 unikalnych kombinacji, co wydaje się liczbą ogromną. W praktyce jednak istnieją ograniczenia: pierwsze 24 bity to identyfikator producenta (OUI), więc każdy producent ma do dyspozycji tylko 16 777 216 (2^24) adresów. Dodatkowo część zakresów jest zarezerwowana do celów specjalnych.

Broadcast L2 (FF:FF:FF:FF:FF:FF) to specjalny adres, którego ramka jest dostarczana do wszystkich interfejsów w tej samej domenie kolizyjnej (w sieci przełączanej - do wszystkich portów w tej samej VLAN). Przełączniki nie dokonują translacji adresów, a jedynie replikują ramkę na wszystkie porty z wyjątkiem tego, z którego przyszła. Adresy multicast L2 zaczynające się od 01:00:5E są mapowane z adresów multicast IPv4 (224.0.0.0/4).

Transmisja typu unicast w warstwie łącza danych polega na wysłaniu ramki Ethernet z docelowym adresem MAC odpowiadającym dokładnie jednemu interfejsowi sieciowemu. Przełącznik (switch) odczytuje docelowy adres MAC z nagłówka ramki i sprawdza go w swojej tablicy adresów MAC (tablica CAM). Jeśli zna port, na którym znajduje się dany adres, przekazuje ramkę tylko na ten właśnie port.

Jeśli przełącznik nie zna docelowego adresu MAC (nie ma wpisu w tablicy CAM), wykonuje flood - wysyła ramkę na wszystkie porty z wyjątkiem tego, z którego przyszła. To zjawisko nazywamy "unknown unicast flooding". Jest to mechanizm awaryjny, który obciąża sieć i należy go minimalizować przez prawidłowe działanie protokołów takich jak STP i konfigurację portów.

Broadcast w warstwie łącza danych jest mechanizmem "wołania wszystkich naraz". Gdy host wysyła ramkę z docelowym adresem FF:FF:FF:FF:FF:FF, przełącznik jest zobowiązany dostarczyć ją na wszystkie porty (z wyjątkiem źródłowego). Każdy host odbierający taką ramkę musi ją przetworzyć w przerwaniu (interrupt), co zużywa cykle procesora.

W dużych sieciach LAN (ponad 500 hostów) broadcast może stanowić istotne obciążenie. Dlatego stosuje się podział na VLAN-y, które izolują domeny broadcastowe. W sieciach IPv6 broadcast został całkowicie wyeliminowany na rzecz multicastu. Przełączniki z włączonym IGMP snoopingiem potrafią inteligentnie kierować ruch multicastowy tylko do hostów, które zadeklarowały chęć odbioru danej grupy.

W systemie Windows istnieje kilka sposobów sprawdzenia adresu MAC. Najstarszym i wciąż działającym jest ipconfig /all, który wyświetla wszystkie informacje o konfiguracji IP, w tym adres fizyczny (Physical Address) każdego interfejsu. W nowszych wersjach Windows polecenie getmac wyświetla zbiorczą listę adresów MAC wszystkich kart sieciowych w systemie.

PowerShell oferuje bardziej zaawansowane możliwości za pomocą modułu NetAdapter (Get-NetAdapter) i NetIPInterface (Get-NetIPInterface). Polecenie Get-NetAdapter zwraca obiekty z właściwościami takimi jak MacAddress, Status, LinkSpeed, MediaType. Dzięki PowerShell można łatwo filtrować, sortować i eksportować te informacje do pliku CSV, co jest przydatne przy inwentaryzacji sieci.

W systemie Linux zestaw narzędzi ip z pakietu iproute2 jest standardem od lat. ip link show wyświetla interfejsy sieciowe wraz z adresem MAC (link/ether), stanem (UP/DOWN), MTU i kolejką (qdisc). Opcja -br (brief) prezentuje dane w zwięzłej formie tabelarycznej, idealnej do szybkiego podglądu. Adres MAC interfejsu można również odczytać bezpośrednio z pseudosystemu plików /sys.

Dawniej do tego celu używano polecenia ifconfig (z pakietu net-tools), które jest obecnie uznawane za przestarzałe i w wielu nowych dystrybucjach (np. Fedora, Arch) nie jest domyślnie instalowane. Nowy zestaw narzędzi ip oferuje więcej funkcji (mostki, VLAN-y, przestrzenie nazw sieciowych) i lepszą integrację z jądrem. Warto jednak znać oba polecenia, ponieważ na starszych systemach ifconfig wciąż może być jedyną opcją.

Adres MAC i adres IP pełnią zupełnie inne funkcje w sieci. Adres MAC jest adresem fizycznym karty sieciowej, działającym w warstwie łącza danych (L2). Jest on płaski - nie zawiera informacji o położeniu hosta w sieci. Dzięki temu adres MAC jest odporny na zmiany topologii sieci, ale uniemożliwia routing między różnymi sieciami.

Adres IP ma budowę hierarchiczną: część sieciowa identyfikuje sieć (podsieć), a część hostowa - konkretne urządzenie w tej sieci. Ta hierarchia umożliwia routing - router wie, do którego portu przekazać pakiet na podstawie części sieciowej adresu. W przeciwieństwie do MAC, adres IP nie jest przypisany na stałe do karty sieciowej - może być zmieniany dynamicznie (DHCP) lub ręcznie. Adres MAC jest niezbędny w sieciach Ethernet, ponieważ przełączniki podejmują decyzje o przekazywaniu ramek na podstawie właśnie adresów MAC.

Dwa najmłodsze bity pierwszego bajtu adresu MAC pełnią specjalne funkcje. Najmłodszy bit (I/G) decyduje o tym, czy adres jest indywidualny (0, unicast) czy grupowy (1, multicast lub broadcast). Drugi najmłodszy bit (U/L) informuje, czy adres jest globalnie unikalny (0, nadany przez producenta) czy lokalnie administrowany (1, zmieniony przez administratora). Przełączniki używają tych bitów do podejmowania decyzji dotyczących przekazywania ramek.

Przykładowo adres 02:00:00:00:00:01 ma ustawiony drugi bit (U/L = 1), co oznacza, że jest to adres lokalnie administrowany. W zapisie binarnym pierwszy bajt 0x02 to 0000 0010. Przełącznik przechowuje pełny 48-bitowy adres MAC w tablicy CAM - żadne bity nie są maskowane. Dlatego adresy 02:00:00:00:00:01 i 00:00:00:00:00:01 są przechowywane i traktowane jako różne adresy.

MAC spoofing, czyli zmiana adresu MAC karty sieciowej, jest techniką stosowaną zarówno w celach uzasadnionych (testy, wirtualizacja), jak i w atakach (ominięcie filtracji, podszycie się pod inne urządzenie). Współczesne systemy operacyjne umożliwiają zmianę adresu MAC bez żadnych dodatkowych narzędzi - jest to funkcja karty sieciowej sterowana przez sterownik.

W testach penetracyjnych zmiana adresu MAC jest standardowym działaniem przed przystąpieniem do włamania - utrudnia identyfikację atakującego w logach przełączników i systemów monitorujących. W środowisku produkcyjnym administrator może zmienić adres MAC, aby obejść tymczasową blokadę portu w przełączniku lub przetestować działanie DHCP z różnymi adresami MAC. Należy jednak pamiętać, że zmiana adresu MAC w sieci firmowej może być naruszeniem polityki bezpieczeństwa.

W systemie Linux zmiana adresu MAC interfejsu sieciowego jest operacją prostą, ale wymaga uprawnień roota i opuszczenia interfejsu (down). Polecenie ip link set dev eth0 address ... modyfikuje adres MAC w sterowniku karty sieciowej. Nowy adres MAC jest używany natychmiast po podniesieniu interfejsu (up). Warto zwrócić uwagę, że standardowo używa się adresów z zakresu lokalnego (drugi bit = 1, np. 02:xx:xx:xx:xx:xx), co sygnalizuje, że adres nie jest fabryczny.

Zmiana adresu MAC nie jest trwała - po ponownym uruchomieniu systemu karta wraca do fabrycznego MAC przechowywanego w pamięci ROM. Aby zmiana była trwała, należy dodać odpowiednie polecenie do skryptu startowego (np. /etc/rc.local) lub skonfigurować za pomocą narzędzi takich jak systemd-networkd lub Netplan. W niektórych przypadkach (starsze karty sieciowe) zmiana MAC może nie być możliwa ze względów sprzętowych.

macchanger to narzędzie dedykowane do zmiany adresu MAC w systemie Linux. Jest ono dostępne w repozytoriach większości dystrybucji (sudo apt install macchanger). W przeciwieństwie do ręcznej zmiany przez ip link, macchanger oferuje opcje wyboru rodzaju losowości, a także możliwość podglądu stałego (fabrycznego) adresu MAC, który jest przechowywany w pamięci ROM karty.

Opcja -a (another) jest szczególnie przydatna w testach penetracyjnych - zachowuje prefiks OUI tego samego producenta, co utrudnia wykrycie zmiany przez systemy monitorujące. Opcja -A wybiera losowy OUI z bazy znanych producentów, a -r generuje całkowicie losowy adres (z ustawionym bitem LAA). Opcja -p (permanent) odczytuje fabryczny MAC z pamięci ROM i przywraca go na interfejs. macchanger wymaga uprawnień roota i działającego interfejsu (automatycznie go opuszcza i podnosi).

W systemie Windows zmiana adresu MAC możliwa jest na kilka sposobów. Graficznie przez Menedżer urządzeń (devmgmt.msc): właściwości karty sieciowej, zakładka Zaawansowane, właściwość "Network Address" lub "Locally Administered Address". Należy wpisać 12 znaków szesnastkowych bez separatorów. Drugi sposób to PowerShell z poleceniem Set-NetAdapter, które wymaga uprawnień administratora i automatycznie restartuje interfejs.

Należy pamiętać, że nie wszystkie karty sieciowe obsługują zmianę adresu MAC - zależy to od sterownika i firmware'u karty. Wirtualne karty sieciowe (Hyper-V, VMware) zawsze obsługują zmianę MAC. W Windows zmiana adresu MAC może być blokowana przez polityki grupowe w środowisku domenowym. Po zmianie MAC Windows może wymagać ponownej autoryzacji w sieci Wi-Fi, ponieważ niektóre sieci zapamiętują adresy MAC do autoryzacji.

Wykrywanie zmiany adresu MAC jest realizowane na kilku poziomach. Na poziomie przełącznika mechanizm Port Security pozwala ograniczyć liczbę adresów MAC, które mogą pojawić się na danym porcie. Po przekroczeniu limitu przełącznik może zablokować port, wysłać SNMP trap lub tylko zalogować zdarzenie. W sieciach korporacyjnych standardem jest 802.1X, który autoryzuje urządzenie na podstawie certyfikatu, a nie adresu MAC.

DHCP Snooping to mechanizm stosowany w przełącznikach (głównie Cisco) do filtrowania nieuprawnionych serwerów DHCP. Sprawdza on zgodność źródłowego adresu MAC w ramce Ethernet z polem chaddr w pakiecie DHCP. Rozbieżność oznacza próbę ataku. Dodatkowo, adresy MAC z ustawionym bitem U/L (drugi bit = 1) są charakterystyczne dla zmienionych adresów - administrator może łatwo odfiltrować takie interfejsy w systemie monitorującym.

Protokół ARP (Address Resolution Protocol) został zdefiniowany w RFC 826 w 1982 roku i od tamtej pory pozostaje niezmieniony. Jest to jeden z najważniejszych protokołów w sieciach Ethernet - bez niego komunikacja między hostami w tej samej sieci LAN byłaby niemożliwa, ponieważ przełączniki podejmują decyzje na podstawie adresów MAC, a aplikacje używają adresów IP.

ARP działa w czterech krokach: (1) host źródłowy sprawdza lokalną tablicę ARP - jeśli jest wpis, używa go. (2) Jeśli nie ma wpisu, wysyła ARP Request z broadcastem L2 (FF:FF:FF:FF:FF:FF) z pytaniem "kto ma adres IP X.X.X.X?". (3) Wszystkie hosty odbierają zapytanie, ale tylko ten z pasującym IP odpowiada ARP Reply (unicast). (4) Host źródłowy zapisuje odpowiedź w tablicy ARP. W IPv6 funkcję ARP przejmuje NDP (Neighbor Discovery Protocol).

Pełny cykl ARP rozpoczyna się, gdy host A (IP 192.168.1.1, MAC AA:BB:CC:DD:EE:01) chce wysłać dane do hosta B (IP 192.168.1.10). Host A sprawdza tablicę ARP - jeśli nie ma wpisu dla 192.168.1.10, tworzy ramkę Ethernet z docelowym MAC = FF:FF:FF:FF:FF:FF (broadcast) i wysyła ARP Request. Ramka ARP Request zawiera: SHA (sender hardware address) = AA:BB:CC:DD:EE:01, SPA (sender protocol address) = 192.168.1.1, THA (target hardware address) = 00:00:00:00:00:00 (nieznany), TPA (target protocol address) = 192.168.1.10.

Wszystkie hosty w sieci odbierają broadcast, ale tylko host B (z IP 192.168.1.10) odpowiada. Host B wysyła ARP Reply bezpośrednio do hosta A (unicast, docelowy MAC = AA:BB:CC:DD:EE:01). Treść odpowiedzi: SHA = BB:CC:DD:EE:10:10 (MAC hosta B), SPA = 192.168.1.10, THA = AA:BB:CC:DD:EE:01, TPA = 192.168.1.1. Po otrzymaniu odpowiedzi host A zapisuje wpis w tablicy ARP: 192.168.1.10 -> BB:CC:DD:EE:10:10. Od tej chwili komunikacja jest możliwa bez ponownego rozgłaszania.

Ramka ARP ma stałą długość 28 bajtów (bez nagłówka Ethernet). Pierwsze dwa pola to typ sprzętu (wartość 1 dla Ethernet) i typ protokołu (0x0800 dla IPv4). Następnie długość adresu sprzętowego (6 bajtów dla MAC) i długość adresu protokołu (4 bajty dla IPv4). Opcode określa typ komunikatu: 1 dla zapytania (Request), 2 dla odpowiedzi (Reply).

Główne pole danych zawiera cztery adresy: nadawcy (MAC i IP) oraz docelowe (MAC i IP). W zapytaniu ARP docelowy MAC jest nieznany, więc wpisywane jest 00:00:00:00:00:00. Cała ramka ARP (28 B) jest enkapsulowana w ramkę Ethernet z EtherType = 0x0806. W sieciach z VLAN (802.1Q) ramka Ethernet zawiera dodatkowy nagłówek 4-bajtowy, ale struktura ARP pozostaje niezmieniona. W przypadku IPv6 funkcję ARP pełni NDP z EtherType = 0x86DD.

Tablica ARP (zwana również tablicą sąsiedztwa - neighbor table) przechowuje mapowania adresów IP na adresy MAC w obrębie sieci lokalnej. W systemie Linux polecenie ip neigh show (z pakietu iproute2) wyświetla tę tablicę z dodatkowymi stanami: REACHABLE (potwierdzona odpowiedź na poziomie L2), STALE (niepotwierdzona od > 30 s), DELAY (oczekiwanie na potwierdzenie), PROBE (próba odświeżenia), INCOMPLETE (brak odpowiedzi na ARP Request), FAILED (nieosiągalny).

Stany tablicy sąsiedztwa mają kluczowe znaczenie w diagnostyce. Jeśli wpis jest w stanie INCOMPLETE (niekompletny - wysłano ARP Request, brak odpowiedzi), oznacza to, że host o danym IP nie odpowiada. Może to wynikać z: wyłączonego hosta, błędnego adresu IP, blokowania ICMP/ARP przez firewall, lub problemu z przełącznikiem (błędna konfiguracja VLAN). W systemie Windows wpisy mogą być typu dynamic (czas życia 2 minuty) lub static (trwałe).

Wpisy dynamiczne w tablicy ARP są dodawane automatycznie, gdy host otrzyma ARP Reply (w odpowiedzi na swoje zapytanie) lub gdy otrzyma ARP Request od innego hosta (wtedy też zapisuje nadawcę w tablicy). Każdy wpis ma czas życia (TTL), po którym zostaje usunięty, jeśli nie jest używany. W Windows czas życia wynosi domyślnie 120 sekund dla nieaktywnych wpisów i 300 sekund dla aktywnych.

Wpisy statyczne są dodawane ręcznie przez administratora i nigdy nie wygasają. W Linux dodaje się je poleceniem: ip neigh add 192.168.1.10 lladdr aa:bb:cc:dd:ee:ff nud permanent dev eth0. W Windows: arp -s 192.168.1.10 aa-bb-cc-dd-ee-ff. Wpisy statyczne są użyteczne do mapowania stałych adresów IP serwerów krytycznych i stanowią podstawową ochronę przed atakami ARP Poisoning, ponieważ system nie zaakceptuje odpowiedzi ARP z innym MAC dla chronionego IP.

tcpdump jest niezastąpionym narzędziem do analizy ruchu ARP. Z opcją -e wyświetla adresy MAC warstwy łącza, a -v włącza szczegółowe informacje o pakiecie ARP. Filtr "arp" ogranicza przechwytywanie tylko do pakietów ARP. Można dodać "and host 192.168.1.10" aby podejrzeć ARP dla konkretnego hosta. Opcja -c 10 zakończy przechwytywanie po 10 pakietach.

Filtrowanie ARP Request (opcode = 1) i Reply (opcode = 2) wymaga użycia składni "arp[6:2]". Indeks 6 to offset pola opcode w strukturze ARP (28 bajtów), a ":2" oznacza 2 bajty. ARP Request ma opcode = 1, ARP Reply = 2. Wartość 6 wynika z: 2B (hardware type) + 2B (protocol type) + 1B (hardware size) + 1B (protocol size) = 6 bajtów offset. Znajomość tej składni pozwala na precyzyjne filtrowanie ruchu ARP w celach diagnostycznych.

ARP Poisoning (zwany również ARP Spoofing lub ARP Cache Poisoning) jest jednym z najstarszych i najprostszych do przeprowadzenia ataków w sieciach LAN. Działa dzięki temu, że ARP nie posiada żadnego mechanizmu uwierzytelniania - każdy host może wysłać ARP Reply z dowolnym mapowaniem IP->MAC, a inne hosty zaakceptują je bez weryfikacji.

Atak przebiega w trzech krokach: (1) Atakujący wysyła ARP Reply do hosta A, informując go, że adres MAC bramy domyślnej (np. 192.168.1.1) to MAC atakującego. (2) Atakujący wysyła ARP Reply do bramy, informując ją, że adres MAC hosta A to MAC atakującego. (3) Teraz cały ruch między hostem A a bramą przechodzi przez atakującego (MITM). Aby być transparentnym, atakujący musi włączyć forwarding IP (ip_forward=1) i ewentualnie modyfikować pakiety (np. narzędziem arpspoof z pakietu dsniff).

Ochrona przed ARP Poisoning wymaga wielowarstwowego podejścia. Podstawową ochroną są statyczne wpisy ARP na serwerach i bramach - system nie zaakceptuje odpowiedzi ARP dla adresu IP, który ma wpis statyczny. Jednak administrowanie setkami statycznych wpisów w dużej sieci jest niepraktyczne. Dlatego w przełącznikach stosuje się Dynamic ARP Inspection (DAI) - mechanizm, który analizuje każdy pakiet ARP i weryfikuje go z bazą DHCP Snooping.

DHCP Snooping buduje tablicę bindings: MAC-IP-port-VLAN na podstawie udzielonych dzierżaw DHCP. DAI sprawdza, czy źródłowy MAC w ramce ARP zgadza się z MAC w bazie DHCP Snooping dla danego portu. Dodatkowo weryfikuje poprawność adresu IP (czy nie jest to adres zarezerwowany czy brama). Porty uplink (w stronę routera) są oznaczane jako zaufane (trust), a ARP z portów nieufnych (access) jest weryfikowany. Wszystkie naruszenia są logowane i mogą blokować port.

Gratuitous ARP (GARP) to pakiet ARP Request (opcode = 1) wysyłany przez host bez uprzedniego zapytania. Charakterystyczną cechą GARP jest to, że nadawca i docelowy adres IP są takie same (Sender IP = Target IP). GARP jest wysyłany jako broadcast (docelowy MAC = FF:FF:FF:FF:FF:FF), co powoduje, że wszystkie hosty w sieci aktualizują swoje tablice ARP.

Gratuitous ARP pełni kilka ważnych funkcji. Po pierwsze, służy do wykrywania duplikacji adresów IP (DAD - Duplicate Address Detection) - jeśli host po wysłaniu GARP otrzyma odpowiedź, oznacza to, że inny host ma ten sam adres IP. Po drugie, po zmianie adresu MAC (np. awaria karty sieciowej), host może wysłać GARP, aby zaktualizować tablice ARP innych hostów i przełączników bez czekania na wygaśnięcie starych wpisów. Po trzecie, niektóre protokoły (VRRP, HSRP, CARP) używają GARP do ogłaszania zmiany aktywnego routera. Niestety, GARP jest również głównym narzędziem w atakach ARP Poisoning.

Adresacja IPv4 jest fundamentem współczesnej komunikacji sieciowej. Każdy adres IPv4 ma 32 bity, co teoretycznie daje 2^32 (ok. 4,3 miliarda) adresów. W praktyce z powodu rezerwacji, adresów prywatnych i struktury hierarchicznej liczba publicznych adresów jest znacznie mniejsza. Maskowanie pozwala wyodrębnić część sieciową od hostowej - routery podejmują decyzje na podstawie części sieciowej.

Historyczny podział na klasy (A, B, C) został wyparty przez CIDR (Classless Inter-Domain Routing) w latach 90. XX wieku, ponieważ prowadził do marnotrawstwa adresów. Obecnie każdy adres IP może być dowolnie maskowany (maski o długości od /1 do /31, a nawet /32 dla pojedynczego hosta). Adresy prywatne (RFC 1918): 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 są przeznaczone do użytku wewnętrznego i nie są routowane w Internecie. Do translacji na adresy publiczne służy NAT (Network Address Translation).

Nagłówek IPv4 ma minimalną długość 20 bajtów (bez opcji) i maksymalną 60 bajtów (z opcjami). Pola nagłówka są ułożone w stałej kolejności i mają stałe długości. Wersja (4 bity) zawsze ma wartość 4, IHL (4 bity) określa długość nagłówka. ToS (Type of Service) został później przedefiniowany na DSCP (DiffServ Code Point) do klasyfikacji ruchu QoS.

TTL (Time To Live) jest jednym z najważniejszych pól dla diagnostyki. Każdy router zmniejsza TTL o 1. Gdy TTL osiągnie 0, router odrzuca pakiet i wysyła ICMP Time Exceeded do nadawcy. Dzięki temu działa narzędzie traceroute, które wysyła pakiety z TTL=1, 2, 3... aż do osiągnięcia celu. Pole Protocol identyfikuje protokół warstwy wyższej: 1 = ICMP, 6 = TCP, 17 = UDP. Suma kontrolna (Header Checksum) weryfikuje tylko nagłówek - integralność danych zapewnia L4 (TCP/UDP checksum).

Pole TTL w nagłówku IPv4 pełni kluczową funkcję zabezpieczającą przed pętlami routingu. Każdy router obniża wartość TTL o 1, a gdy TTL osiągnie 0, pakiet jest odrzucany, a nadawca otrzymuje ICMP Time Exceeded. Bez TTL pakiet mógłby krążyć w sieci w nieskończoność w przypadku błędu routingu.

W diagnostyce TTL umożliwia szybkie określenie odległości hosta docelowego. W systemach Linux początkowy TTL to 64, w Windows 128, w urządzeniach sieciowych (routery Cisco) 255. Odejmując zwrócony TTL od początkowego, otrzymujemy liczbę hopów. Warto jednak pamiętać, że niektóre urządzenia (zwłaszcza NAT, tunel VPN) mogą resetować TTL. Również niektóre systemy operacyjne pozwalają na zmianę domyślnego TTL. TTL=1 jest używany przez traceroute do identyfikacji pierwszego routera na trasie.

Pole Protocol w nagłówku IPv4 (1 bajt) pełni rolę demultipleksera - informuje odbiorcę, któremu protokołowi warstwy wyższej przekazać dane pakietu. Wartości są przypisane przez IANA. Najczęściej spotykane to 1 (ICMP), 6 (TCP) i 17 (UDP). Protokoły routingu jak OSPF (89) używają własnego numeru, ponieważ działają bezpośrednio na IP, nie na TCP/UDP.

W kontekście bezpieczeństwa pole Protocol jest używane w Access Control Lists (ACL) do blokowania lub przepuszczania ruchu określonego typu. Na przykład administrator może zablokować wszystkie pakiety z Protocol=1 (ICMP), aby uniemożliwić pingowanie z zewnątrz, przepuszczając jednocześnie TCP (Protocol=6) i UDP (Protocol=17). W IPv6 funkcję pola Protocol przejmuje pole Next Header, które ma większą elastyczność i obsługuje łańcuchowanie nagłówków opcji.

IPv6 został zaprojektowany w latach 90. XX wieku (RFC 2460, 1998) jako odpowiedź na wyczerpywanie się puli adresów IPv4. Główną zmianą jest zwiększenie długości adresu z 32 do 128 bitów, co daje 2^128 (około 340 undecylionów) adresów. To wystarczy, aby przypisać adres IP każdemu atomowi na powierzchni Ziemi z dużym zapasem. Jednak IPv6 wprowadza znacznie więcej zmian niż tylko większy adres.

Najważniejsze różnice: brak broadcastu (zastąpiony przez multicast i ND - Neighbor Discovery), brak fragmentacji na routerach (fragmentację wykonuje nadawca, Path MTU Discovery), wbudowane IPsec (choć rzadko używane domyślnie), autokonfiguracja SLAAC (Stateless Address Autoconfiguration) bez DHCP, oraz prostszy nagłówek (stała długość 40 B, brak sumy kontrolnej). Adresy IPv6 dzielą się na: globalne (2000::/3), lokalnie unikalne (fd00::/8) i link-local (fe80::/10).

Porównanie nagłówków IPv4 i IPv6 pokazuje fundamentalne różnice filozoficzne w projektowaniu protokołów. IPv4 był projektowany w latach 70., gdy przepustowość sieci była minimalna, a procesory wolne, dlatego starano się minimalizować rozmiar nagłówka kosztem złożoności (opcje, suma kontrolna, fragmentacja na routerach).

IPv6 został zaprojektowany z myślą o szybkich procesorach i wysokich przepustowościach. Usunięto sumę kontrolną (jej obliczanie na każdym hopie spowalnia routing - warstwy wyższe i tak mają własne sumy), fragmentację przeniesiono do nadawcy (Path MTU Discovery), a nagłówek ma stały rozmiar 40 bajtów. Hop Limit w IPv6 pełni tę samą funkcję co TTL, ale zmiana nazwy odzwierciedla rzeczywiste działanie: nie chodzi o "czas życia" tylko o ograniczenie liczby skoków (hopów). Pole Next Header zastępuje pole Protocol z IPv4 i umożliwia łańcuchowanie nagłówków opcji (np. Routing Header, Fragment Header, Destination Options).

Adres link-local w IPv6 jest odpowiednikiem automatycznej konfiguracji adresu w IPv4 (APIPA - 169.254.x.x), ale znacznie bardziej funkcjonalnym. Każdy interfejs IPv6 ma co najmniej jeden adres link-local, który jest generowany automatycznie na podstawie adresu MAC (EUI-64) lub losowo (prywatność - RFC 4941). Adresy link-local nigdy nie są routowane poza sieć lokalną - router nie przekazuje pakietów ze źródłowym adresem link-local.

Adresy link-local pełnią kluczową rolę w działaniu IPv6. Umożliwiają podstawową komunikację w segmencie sieci nawet bez serwera DHCP. Protokół NDP (Neighbor Discovery Protocol) działa wyłącznie na adresach link-local. Protokoły routingu dynamicznego (OSPFv3, RIPng, EIGRP dla IPv6) używają adresów link-local jako źródłowych w swoich pakietach. W narzędziach diagnostycznych adresy link-local wymagają podania interfejsu (%eth0 przy ping6 lub -I w ping).

Neighbor Discovery Protocol (NDP) jest jednym z najważniejszych protokołów w IPv6. Został zdefiniowany w RFC 4861 i zastępuje kilka protokołów z IPv4: ARP (rozwiązywanie adresów), ICMP Router Discovery (wykrywanie routerów) i ICMP Redirect (przekierowanie do lepszej trasy). W przeciwieństwie do ARP, który działa na własnym EtherType (0x0806), NDP jest częścią ICMPv6 i używa numerów typów 133-139.

NDP wprowadza kilka usprawnień w stosunku do ARP. Po pierwsze, używa multicastu zamiast broadcastu - Neighbor Solicitation (NS) jest wysyłany na adres multicast solicited-node (ff02::1:ffxx:xxxx), co ogranicza liczbę hostów odbierających zapytanie. Po drugie, NDP obsługuje mechanizmy bezpieczeństwa: SEND (Secure Neighbor Discovery, RFC 3971) z podpisem kryptograficznym. Po trzecie, NDP dostarcza dodatkowe informacje: prefiksy sieci, długość MTU, adres routera (w RA - Router Advertisement). Tablicę sąsiedztwa w IPv6 wyświetla się poleceniem ip -6 neigh show.

Eliminacja broadcastu w IPv6 jest jedną z najważniejszych zmian w stosunku do IPv4. W IPv4 broadcast (255.255.255.255) wymusza na każdym hoście w sieci odebranie i przetworzenie ramki - nawet jeśli host nie uczestniczy w danej komunikacji. W dużych sieciach może to stanowić istotne obciążenie (średnio 10-20% ruchu w typowej sieci LAN stanowią broadcasty ARP).

W IPv6 broadcast został zastąpiony przez multicast grupowy. Na przykład adres ff02::1 (all-nodes multicast) jest odpowiednikiem broadcastu IPv4, ale hosty mają możliwość subskrypcji tylko tych grup multicast, które ich interesują. Dzięki MLD (Multicast Listener Discovery) przełączniki wiedzą, które porty są zainteresowane daną grupą multicast i nie wysyłają niepotrzebnego ruchu. Solicited-node multicast (ff02::1:ffxx:xxxx) jest używany przez NDP w miejsce broadcastu ARP - tylko 2^24 adresów z 2^128 możliwych jest faktycznie używanych, co znacznie ogranicza zakres rozgłaszania.

Weryfikacja konfiguracji IP jest podstawą każdej diagnostyki sieciowej. W Linux zestaw narzędzi ip pozwala na wyświetlenie adresów IPv4 i IPv6 osobno lub łącznie. Opcja -br (brief) pokazuje tylko nazwę interfejsu, stan i adresy - idealna do szybkiego przeglądu. Warto znać różnicę: ip addr show wyświetla wszystkie adresy, ip -4 addr tylko IPv4, ip -6 addr tylko IPv6.

W Windows polecenie ipconfig wyświetla zarówno IPv4 (Adres IPv4, Maska podsieci, Brama domyślna), jak i IPv6 (Adres IPv6, Długość prefiksu, Brama domyślna IPv6). Polecenie netsh interface ipv6 show addresses wyświetla szczegółową konfigurację IPv6. Na routerach Cisco show ip interface brief pokazuje stan interfejsów IPv4, a show ipv6 interface brief dla IPv6. W kontekście diagnostycznym kluczowe jest potwierdzenie, że interfejs ma adres z odpowiedniej podsieci i widzi bramę domyślną.

ICMP (Internet Control Message Protocol) został zdefiniowany w RFC 792 w 1981 roku i jest integralną częścią pakietu protokołów TCP/IP. W przeciwieństwie do TCP i UDP, ICMP nie służy do przesyłania danych użytkownika, ale do przesyłania informacji kontrolnych i komunikatów błędów. ICMP jest protokołem warstwy 3 - działa bezpośrednio na IP, bez pośrednictwa warstwy transportowej.

ICMP nie ma pojęcia portów (nie ma nagłówka TCP/UDP). Zamiast tego używa typów (Type) i kodów (Code) do identyfikacji rodzaju komunikatu. Na przykład Echo Request ma Type=8 Code=0, a Echo Reply Type=0 Code=0. Wiele firewalle blokuje ICMP (szczególnie Echo), co często prowadzi do problemów diagnostycznych - warto pamiętać, że blokowanie ICMP może zakłócić działanie mechanizmów takich jak Path MTU Discovery (PMTUD). ICMPv6 (dla IPv6) działa podobnie, ale z innymi numerami typów w niektórych przypadkach.

ICMP definiuje kilkadziesiąt typów komunikatów, z których najważniejsze w praktyce administracyjnej to Echo (0/8), Destination Unreachable (3), Time Exceeded (11) i Redirect (5). Każdy typ ma kod (Code), który precyzuje przyczynę. Na przykład Type=3 (Destination Unreachable) ma kody: 0=Network Unreachable, 1=Host Unreachable, 2=Protocol Unreachable, 3=Port Unreachable, 4=Fragmentation Needed (kluczowe dla PMTUD).

Znajomość kodów ICMP jest kluczowa w diagnostyce sieciowej. Przykładowo, jeśli ping zwraca "Destination Host Unreachable" (Type=3, Code=1) oznacza to, że router nie zna trasy do hosta docelowego. "Destination Port Unreachable" (Type=3, Code=3) pojawia się, gdy host osiągalny, ale nie ma nasłuchującego portu. "Fragmentation Needed" (Type=3, Code=4) występuje, gdy pakiet jest większy niż MTU na trasie, a flaga DF (Don't Fragment) jest ustawiona - częsty problem z VPN i tunelami.

ping jest najstarszym i wciąż najczęściej używanym narzędziem diagnostycznym. Został stworzony przez Mike'a Muussa w 1983 roku na potrzeby debugowania sieci ARPANET. Nazwa pochodzi od dźwięku sonaru, ale oficjalnie jest akronimem od "Packet Internet Groper". Narzędzie jest dostępne na każdej platformie (Linux, Windows, macOS) z nieco inną składnią opcji.

Wynik ping podaje czas RTT w ms dla każdego pakietu oraz statystyki: minimalny, średni, maksymalny i odchylenie standardowe (mdev). Utrata pakietów (packet loss) to procent pakietów, które nie otrzymały odpowiedzi. W sieci LAN loss powinien być 0%, w WAN dopuszczalny jest loss do 1%. Wysoki loss świadczy o przeciążeniu łącza, uszkodzonym kablu lub problemie z urządzeniem pośrednim. Warto zwrócić uwagę na wartość TTL w odpowiedzi - pozwala oszacować liczbę hopów.

ICMP Destination Unreachable (Type=3) jest jednym z najczęściej spotykanych komunikatów błędów w sieciach IP. Każdy kod ma inne znaczenie i wskazuje na inny rodzaj problemu. Code 0 (Network Unreachable) oznacza, że router nie ma w tablicy routingu wpisu dla sieci docelowej. Code 1 (Host Unreachable) oznacza, że router zna sieć, ale nie może dotrzeć do konkretnego hosta (np. brak odpowiedzi ARP).

Code 3 (Port Unreachable) jest generowany przez host docelowy, gdy port UDP (lub TCP) nie jest otwarty. Jest to mechanizm używany do wykrywania otwartych portów (np. narzędzie nmap wysyła pakiety na zamknięte porty i analizuje ICMP Port Unreachable). Code 4 (Fragmentation Needed) jest kluczowy dla mechanizmu Path MTU Discovery (PMTUD) - gdy router potrzebuje fragmentować pakiet, ale flaga DF=1, odrzuca go i wysyła ICMP Fragmentation Needed z MTU kolejnego łącza. Problem ten często występuje w tunelach VPN i powoduje "dziwne" problemy z łącznością.

ICMP Time Exceeded (Type 11) jest generowany, gdy TTL pakietu osiągnie 0 (Code 0) lub gdy nie uda się złożyć fragmentów w określonym czasie (Code 1). Pierwszy przypadek jest podstawą działania traceroute - narzędzia do śledzenia trasy pakietów. traceroute wysyła sekwencję pakietów z rosnącym TTL: pierwszy pakiet z TTL=1 ginie na pierwszym routerze (który zwraca Time Exceeded), drugi z TTL=2 ginie na drugim routerze, i tak dalej.

W systemie Linux traceroute domyślnie wysyła datagramy UDP na porty 33434-33534, podczas gdy Windows tracert używa ICMP Echo Request. Różnica ma znaczenie praktyczne: niektóre firewalle blokują ICMP (tracert nie przejdzie), a inne blokują UDP na wysokich portach (traceroute nie przejdzie). W takiej sytuacji warto użyć traceroute -T (TCP SYN, port 80) lub -I (ICMP Echo) w Linux. Gwiazdki (* * *) w wynikach oznaczają routery, które nie odpowiedziały na probing - może to być celowa polityka filtrowania ICMP.

ICMP Redirect (Type 5) jest mechanizmem optymalizacji routingu. Gdy host wysyła pakiet do routera R1, a R1 wie, że lepszą trasę do celu oferuje router R2 (oba w tej samej sieci LAN), R1 wysyła do hosta ICMP Redirect informując go, aby następne pakiety wysyłał bezpośrednio do R2. Host zapisuje tymczasowy wpis w tablicy routingu. Mechanizm ten był użyteczny w starszych sieciach, gdzie hosty miały tylko domyślną bramę.

ICMP Redirect jest jednak poważnym zagrożeniem bezpieczeństwa. Atakujący może wysłać sfałszowany ICMP Redirect do hosta, informując go, że lepszą trasą do bramy domyślnej jest adres IP atakującego. W ten sposób atakujący może przechwycić ruch ofiary (Man-in-the-Middle). Z tego powodu w nowoczesnych systemach operacyjnych akceptacja ICMP Redirect jest domyślnie wyłączona lub ograniczona. W systemach Linux można zarządzać tym przez parametry jądra w /proc/sys/net/ipv4/conf/*/accept_redirects. W routerach Cisco można wyłączyć wysyłanie ICMP Redirect poleceniem "no ip redirects" na interfejsie.

ICMPv6 (RFC 4443) jest integralną i obowiązkową częścią IPv6 - w przeciwieństwie do ICMPv4, który w IPv4 jest często blokowany, ICMPv6 nie może być blokowany bez uszkodzenia działania protokołu IPv6. ICMPv6 łączy funkcje ICMPv4, ARP i IGMP w jednym protokole. Nowe typy: NDP (typy 133-137) i MLD (typy 130-132) są kluczowe dla działania IPv6.

Type 2 (Packet Too Big) w ICMPv6 zastępuje Type 3 Code 4 (Fragmentation Needed) z ICMPv4. W IPv6 routery nigdy nie fragmentują pakietów - jeśli pakiet jest za duży, router odrzuca go i wysyła ICMPv6 Packet Too Big z MTU następnego łącza. Nadawca musi sam dostosować rozmiar pakietu (Path MTU Discovery). Blokowanie ICMPv6 Type 2 uniemożliwia PMTUD, co prowadzi do problemów z łącznością - pakiety są po cichu odrzucane. Dlatego firewalle powinny zawsze przepuszczać ICMPv6 typy niezbędne do poprawnego działania IPv6.

tcpdump jest podstawowym narzędziem do przechwytywania i analizy ruchu sieciowego w systemie Linux. Działa w oparciu o bibliotekę libpcap i pozwala na przechwytywanie pakietów w czasie rzeczywistym oraz ich filtrowanie według różnych kryteriów. W przeciwieństwie do Wireshark, tcpdump działa w trybie tekstowym, co czyni go idealnym do pracy na serwerach bez interfejsu graficznego.

Scenariusz 1: Przechwyć ruch ARP między dwoma hostami. Na hoście A (192.168.1.1) uruchom: sudo tcpdump -i eth0 -e -v arp. Następnie na hoście B (192.168.1.10) wykonaj: ping 192.168.1.1. Zobaczysz ARP Request (broadcast) i ARP Reply (unicast). Zwróć uwagę na adresy MAC w ramkach. Scenariusz 2: Przechwyć ruch ICMP. Uruchom: sudo tcpdump -i eth0 icmp and host 8.8.8.8, a następnie ping 8.8.8.8. Zobaczysz pary Echo Request / Echo Reply z numerami sekwencyjnymi.

Zaawansowane filtrowanie w tcpdump używa składni Berkeley Packet Filter (BPF), która pozwala na tworzenie złożonych wyrażeń logicznych. Można łączyć warunki operatorami and, or, not oraz nawiasami. Przykłady: tcpdump -i eth0 'arp or icmp' (ARP lub ICMP), tcpdump -i eth0 'src 192.168.1.1 and not port 22' (ruch z hosta z wyłączeniem SSH).

Scenariusz laboratoryjny: Przygotuj trzy maszyny wirtualne w jednej sieci LAN. Na maszynie A uruchom: sudo tcpdump -i eth0 -w lab.pcap. Na maszynie B wykonaj ping do maszyny C. Zatrzymaj tcpdump (Ctrl+C) i przeanalizuj plik: tcpdump -r lab.pcap -nn. Zidentyfikuj pakiety ARP (rozwiązywanie adresu C przez B), ICMP Echo Request i Echo Reply. Zwróć uwagę na czasy (timestamp) i kolejność pakietów. Zadanie dodatkowe: Uruchom tcpdump z filtrem 'arp[6:2] = 1' na maszynie A, a następnie wyczyść tablicę ARP na maszynie B (ip neigh flush all) i wykonaj ping do C. Zobaczysz tylko ARP Requesty.

Zaawansowane opcje ping pozwalają na kompleksową diagnostykę sieci. Opcja -M do (Linux) ustawia flagę Don't Fragment (DF) w pakiecie IP. W połączeniu z -s (rozmiar danych) pozwala określić maksymalny MTU na trasie. Jeśli ping z -s 1472 (1472 + 8 ICMP + 20 IP = 1500) działa, ale z -s 1473 już nie, oznacza to, że MTU na trasie wynosi 1500. To przydatne przy diagnostyce problemów z VPN i tunelami.

Scenariusz 3 (MTU Discovery): Uruchom: ping -M do -s 1500 8.8.8.8. Jeśli otrzymasz "Frag needed and DF set" (ICMP Type 3 Code 4), oznacza to, że MTU na trasie jest mniejszy niż 1500. Zmniejszaj -s o 100, aż ping zadziała. Ostatnia działająca wartość + 28 (IP+ICMP overhead) = MTU. Scenariusz 4 (traceroute z ping): Użyj ping -t 1 8.8.8.8 (Windows) lub ping -t 2 -c 1 8.8.8.8 (zwiększaj TTL). Zobaczysz "TTL expired in transit" (ICMP Type 11), co pozwala zidentyfikować kolejne routery na trasie - podobnie jak traceroute.

Polecenie ip neigh (z pakietu iproute2) służy do zarządzania tablicą sąsiedztwa (ang. neighbor table), która w IPv4 jest tablicą ARP, a w IPv6 tablicą NDP. Polecenie ip neigh show wyświetla wszystkie wpisy z informacją o adresie IP, adresie MAC, interfejsie i stanie. Narzędzie watch pozwala na bieżąco monitorować zmiany w tablicy.

Scenariusz 5: W terminalu 1 uruchom: watch -n 1 'ip neigh show'. W terminalu 2 wykonaj: ip neigh flush all, a następnie ping -c 1 192.168.1.10. Obserwuj pojawianie się wpisu w stanie INCOMPLETE (wysłano ARP Request), a następnie zmianę na REACHABLE (otrzymano ARP Reply). Po ok. 30-45 sekundach bez aktywności wpis zmieni się na STALE. Zadanie: Dodaj statyczny wpis ARP (nud permanent) i sprawdź, czy zmieni się na REACHABLE po ping. Spróbuj wysłać sfałszowany ARP Reply (np. narzędziem arpspoof) i sprawdź, czy system zaakceptuje go dla chronionego wpisu statycznego.

Przygotowanie środowiska: Użyj VirtualBox z trzema maszynami (np. Kali Linux jako atakujący, dwie Ubuntu jako ofiary). Wszystkie maszyny muszą być w tej samej sieci NAT lub bridge. Zidentyfikuj adresy IP i upewnij się, że ping między wszystkimi maszynami działa przed rozpoczęciem ataku.

Krok po kroku: (1) Na atakującym: sudo su, echo 1 > /proc/sys/net/ipv4/ip_forward. (2) Na atakującym: arpspoof -i eth0 -t 192.168.1.10 192.168.1.1 (mówi ofierze, że brama to atakujący). (3) W drugim terminalu na atakującym: arpspoof -i eth0 -t 192.168.1.1 192.168.1.10 (mówi bramie, że ofiara to atakujący). (4) Na atakującym uruchom tcpdump: tcpdump -i eth0 host 192.168.1.10. (5) Na ofierze wykonaj ping 8.8.8.8 - pakiety przejdą przez atakującego. Weryfikacja: Na ofierze sprawdź arp -a - adres MAC bramy powinien wskazywać na MAC atakującego. Na atakującym w tcpdump zobaczysz ruch ICMP ofiary. Aby zakończyć atak, zatrzymaj arpspoof (Ctrl+C) i przywróć tablice ARP: arp -d 192.168.1.1 (na ofierze).

Scenariusz A - ARP nie działa (INCOMPLETE): Wykonaj: (1) ip neigh show | grep 192.168.1.10 - jeśli INCOMPLETE, ARP nie otrzymał odpowiedzi. (2) tcpdump -i eth0 -e arp - sprawdź, czy ARP Request jest wysyłany. Jeśli nie ma Requestu - problem z konfiguracją IP interfejsu. Jeśli Request jest, ale nie ma Reply - problem po stronie adresata (host wyłączony, firewall blokuje, inny VLAN). (3) Sprawdź przełącznik: mac address-table | include 192.168.1.10 (czy MAC hosta jest w tablicy CAM).

Scenariusz B - ICMP blokowany: Częsty problem w sieciach produkcyjnych. (1) ping 8.8.8.8 - Destination Host Unreachable (Type 3 Code 1) - router nie ma trasy. (2) ping 8.8.8.8 - Request timeout - brak odpowiedzi (może być blokowany firewall). (3) traceroute -n 8.8.8.8 - zobacz, na którym hopie urywa się trasa. (4) Jeśli gwiazdki pojawiają się po routerze granicznym - prawdopodobnie firewall blokuje ICMP. (5) Spróbuj traceroute -T -p 80 (TCP SYN na port 80) - firewalle często przepuszczają TCP. Scenariusz C - MTU problem: ping -M do -s 1500 8.8.8.8 - jeśli "Frag needed" to MTU < 1500. Sprawdź MTU na interfejsach: ip link show.

Cheat Sheet powyżej zawiera najważniejsze polecenia używane w codziennej pracy administratora sieci do diagnostyki warstw L2 i L3. Warto go wydrukować i mieć pod ręką podczas pracy w laboratorium. Każde z tych poleceń było szczegółowo omówione w trakcie prezentacji z konkretnymi przykładami użycia i interpretacją wyników.

Dodatkowe wskazówki: (1) Zawsze używaj -n w traceroute (Linux) lub -d w tracert (Windows) aby wyłączyć rozwiązywanie nazw DNS - przyspiesza to diagnostykę. (2) Używaj watch -n 1 'polecenie' do monitorowania zmian w czasie rzeczywistym. (3) Zapisuj przechwycony ruch do pliku pcap (tcpdump -w) - możesz go później otworzyć w Wireshark do szczegółowej analizy. (4) W przypadku problemów z MTU zawsze testuj ping -M do -s 1472. (5) Pamiętaj, że blokowanie ICMP w firewallu może powodować problemy z PMTUD - zawsze przepuszczaj ICMP Type 3 Code 4 (Fragmentation Needed).