» »

mac spoofing

mac spoofing

Suhy ::

mam inštaliran sygate firewall, in dogaja se mi, da na cca. 10 minut dobim dva security opozorila, z dveh različnih ip naslovov(zmerom istih), eden je od voljatel-a, in eden od perftecha(195.246.23.224 in 217.72.82.73):

Mac spoofing: Unsolicited incoming arp reply detected, this is a kind of mac spoofing that may consequently do harm to your computer.

in potem mi pokaze se vsebino paketa, ki je ponavadi enaka, za vsak ip posebi, seveda....

any idea?

hruske ::

del arp protokola, ki deluje na ethernetu... lahko ignoriraš, ni pa nujno, da bos varen. tako je.

Suhy ::

kateri port pa moram odpreti, da bo sprejemal?
in kaj točno naj bi delal, ker jaz kar sem zasledil na netu, piše, da je nekje isti mac adres na internetu. zato bi rad vedel bolj podrobno.
in zakaj od volje in perftecha, zmeraj iz istih nalovov. in na približno iste intervale.:'( Kaj hočeta od mene?

jype ::

Naslovi IP so definitivno fake, razen ce si na omrezjih, v katerih se nahajajo ti naslovi.

MAC spoofing je napad na storitev ARP, ki se dogaja na ethernet nivoju, in se poslje kot ethernet frame. To ni IP (Internet Protocol) ampak ethernet paket. ARP paketi se nikoli ne routajo naprej po omrezju, ker to vsekakor nima smisla.

http://www.faqs.org/rfcs/rfc826.html

Skratka, paketi prihajajo iz tvojega fizicnega ethernet omrezja.

Zgodovina sprememb…

  • spremenilo: jype ()

hruske ::

tudi tukaj dokaj kvalitetno pise: 2.1. Address Resolution Protocol (ARP)

Suhy ::

ja, moj ip je 217.72.82.xxx, torej v istem omrežju, kot prvi ip.

Torej bi sklepal iz tega kaj?

- da ip 195.246.23.224 ni resničen, oz mi iz tega naslova nihče nič ne pošilja
-da je napadalec 217.72.82.73, torej pošiljatel paketov
-kako, oz. na kak način jih pošilja?
-zakaj?(kaj želi oz,. kaj lahko doseze s takim početjem)
kaj lahko naredim, poleg tega, da ignoriram sporočila?


p.s. iz mojega fizičnega omrežja si mislil na omrežje do prvega routeja?
p.p.s. mk-klavz, je pozno, zjutraj preberem stran, ki si jo poslal(da ne bo hude krvi, če sem prasal kaj, kar tu piše.)

hruske ::

suhi, morta bit povezana prek etherneta s tistim racunalnikom, ki to dela. ne adsl al pa kabl, ampak ETHERNET. zdej pa pogrunti kdo je to lahko.

Mr.B ::

MAc spoofing, ni pomembno ali je lokalni ali je wan link, gre se za to da če je bridge, kar je ADSL na eni centrali gre vse skozi.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

Suhy ::

huh, ta je pa huda. to pa zato, ker mam samo server-win2k3 in pa mojo mašino, na kateri delam. Torej je nemogoče, to kar praviš. upam. za viruse sem precekiral, za spyware uporabil adaware in spyboot.

ma, vsaj, kaj se lahko doseže z mac spoofingom?? (razen to da mi najeda živce :D )

mr.b, tebe pa žal nisem razumel kaj si mi hotel povedat. sem bolj lame narave kukr zgleda..:(

p.s. aja, pa sem čekiral loge, in se je zadeva dogajala tud ko sem mel mojo masino off, tako da je bila edin prizgan pc server, ki naj bi potem sam sebe?? drugače pa firewall dosti blokira 1211 pa 3168 in 3169. pa se kej bi se naslo..
jst obupal.

Zgodovina sprememb…

  • spremenilo: Suhy ()

jype ::

Ce hoces razumet MAC spoofing moras razumet ethernet.

To zgleda enostavno receno takole:

Imas racunalnik A z naslovom IP 192.168.0.8 in racunalnik B z naslovom 192.168.0.10.

Oba sta na istem fizicnem ethernet omrezju, vmes ni nobene naprave, ki bi delala routing IP.

A hoce nekaj povedat B in vse kar ve je to, da je ta B dostopen na omrezju. Ker je to omrezje ethernet rabi za komunikacijo MAC naslov.

Zato A rece "Ej! Kdo ma naslov 192.168.0.10, povejte 192.168.0.8!":
00:0a:95:f4:93:29 > ff:ff:ff:ff:ff:ff, ethertype ARP, length 42: arp who-has 192.168.0.10 tell 192.168.0.8

(ff:ff:ff:ff:ff:ff je ethernet broadcast naslov, vsak paket ki ga posljes na ta naslov dobijo vsi znotraj tega etherneta).

Potem B rece "192.168.0.10 je dostopen na naslovu 00:30:48:54:58:ae!":
00:30:48:54:58:ae > 00:0a:95:f4:93:29, ethertype ARP, length 60: arp reply 192.168.0.10 is-at 00:30:48:54:58:ae

Ce racunalnik C dela MAC spoofing potem posilja racunalniku A paketke, ki pravijo "192.168.0.10 je dostopen na naslovu 00:00:00:00:00:01" in racunalnik A, mislec da pakete posilja racunalniku B, dejansko pakete poslje na ethernet naslov, ki ga je dobil od racunalnika C.

Ta tehnika se obicajno uporablja v switched ethernet omrezjih zato ker je sicer prestrezanje prometa pogosto nemogoce (ker pakete vidita samo racunalnika, ki si jih izmenjujeta). Podobna rec je tudi ARP poisoning, glej google.

Ce imas ADSL, potem je tvoj ethernet obicajno sestavljen iz PPPoE povezave, po kateri ARP nima smisla (to ni ethernet). Imas pa ethernet prikljucen v ADSL modem, vendar bi na drugi strani linije moral biti siolov ethernet port s samo tvojim VLANom in brez opreme, ki bi govorila IP. Skratka, na ADSL se to ne bi smelo zgoditi. A si preprican, da je tvoje lokalno omrezje "cisto" ? Na katero mrezno kartico dobivas te pakete?

ginekolog ::

zanimivo, jaz dobivam podobno, le da redko (1x na teden).

06/07/2004 19:13:45 Mac Spoofing Minor Incoming None 213.157.231.69 00-0A-79-0F-57-B5 212.18.58.x 00-90-64-BB-BB-BB

In vedno z istega ipja, vendar ni moja ip klasa. IP JE pa znotraj mojega kabelskega omrežja, vendar drug dhcp bazen. Ni mi čisto jasno, zakaj, pa se precej spoznam na omrežja. Pa sam sem na direkt na modem vključen.
Divers do it deeper.

64202 ::

Kaj ves kaj v resnici pocne ADSL modem in/ali siolov hardver. A ni bilo nekaj casa nazaj nekaj o adsl modemih, da imajo polno funkcionalen router/firewall noter? Pa tudi PPPoE = PPP over Ethernet, kar sicer naj ne bi pomenilo prevec, ampak vseeno? Modem ziher podpira ethernet na obeh straneh, torej LAN in WAN.

jype ::

Ja ampak oba vmesnika (tvoj ethernet in siolov ethernet, vmes je pa adsl link do centrale, potem pa ATM port in znotraj njega tvoj VC do siolove opreme, ki terminira tvojo PPPoE povezavo) naj bi imela IP izkljucen. Skratka nobenih naslovov IP, nobenega ARP protokola, nic. Vse kar hodi med tvojo in siolovo opremo so ethernet okvirji, znotraj njih pa PPPoE, ne pa tudi IP.

Skratka, na tvojo mrezno kartico ARP paketi nikakor ne bi smeli priti, ker si znotraj svojega virtual circuita v tistem ATMju od centrale do siola. Vsaj tako bi moralo bit :)

Na PPPoE vmesnik pa itak nima kaj hodit ARP ker je to point to point link in ne potrebuje ARP, zato ga tudi nima, tam za vecino reci poskrbi LCP.

Madonca je teh kratic:
PPPoE = Point to Point Protocol over Ethernet
ARP = Address Resolution Protocol
LCP = Link Control Protocol
ATM = Asynchronous Transfer Mode
VC = Virtual Circuit
IP = Internet Protocol

Suhy ::

Sem na kablu - ljubljanski kabel, preko volje.

Upam, da ti bo to bolj pomagalo.... cedalje bolj pa se mi zdi da dela to moj server sam.

na mojem pc-u imam pognat program netwatcher, in mi isto na deset minut (kot tudi forewall za mac spoofing )javlja, da je vzpostavljena povezava iz 127.0.0.1 :: IPC$, ki traja cca minuto

te slike so iz serverja...




p.s. sem probal odklopit mrežni kabel iz modema, in mac spoofing je izginil....

Zgodovina sprememb…

  • zavaroval slike: Gandalfar ()

jype ::

Ce jaz prav vidim je tole ARP REQUEST. Takih bos v vsakem normalnem omrezju videl vse polno in to ni nikakrsen razlog za paniko.

Zakaj se taki paketi pojavljajo sem ti razlozil zgoraj.

64202 ::

jype: Skratka, na tvojo mrezno kartico ARP paketi nikakor ne bi smeli priti, ker si znotraj svojega virtual circuita v tistem ATMju od centrale do siola. Vsaj tako bi moralo bit :)

Exactly, "moralo bit" :)).

No, pa saj ne drugac, da bi imel jaz pretirano pojma o ATM-ju. Za to moras nekaj casa delat pri kakem ISP-ju, da to vidis v zivo kot navaden smrtnik, ane? :)

Suhy ::

ok, nove informacije :)
mac spoofing je izginil !! haha suhy budala ne zna skonfigurirat dns serverja. al je pa win 2003 kriv. Skratka, nekako so mi zacele stvari smrdeti in prva zadeva ki je bila sem ustavil dns server, nastavil dns od arnesa, in zdej ze 3 ure nimam nobenega mac spoofinga...
kaj pa je sploh treba vedt pr dns-ju? nastavis ip serverja, forwarding, in to je to, ane? čudno mi je bilo edino to, da ko dam v dhcp-ju pod scope options dns server, in napisem ime mojega serverja, mi je reslove-ov zunanji ip, in ne notranjega. ??

ostaja pa to:
na mojem pc-u imam pognat program netwatcher, in mi isto na deset minut (kot tudi forewall za mac spoofing )javlja, da je vzpostavljena povezava iz 127.0.0.1 :: IPC$, ki traja cca minuto... in to mi v stari mreži ni delalo, tako, da spet nekej pomoje win2k3... grrr??


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Mikrotik RB2011UiAS-2HnD-IN na Amisu, bizarno počasen internet. (strani: 1 2 )

Oddelek: Omrežja in internet
9012281 (9561) Invictus
»

2x WRT54GL 2x ADSL, skupno omrežje?

Oddelek: Omrežja in internet
82531 (2291) b
»

Homenetwork

Oddelek: Omrežja in internet
333452 (2728) MrStein
»

ebtables+linux+brctl+siol-tv

Oddelek: Omrežja in internet
122355 (2207) korenje_ver2
»

ADSL modem -> Switch -> Router, kako da so vsi v istem subnetu?

Oddelek: Omrežja in internet
384877 (4396) SasoS

Več podobnih tem