Heimnetzwerke - WIFI, LAN, Router und Co 16.557 Themen, 81.662 Beiträge

Verfolgung starten Optionen

gerät im netz spooft...

Silent Bob / 11 Antworten / Baumansicht Nickles

guten morgen,

in unserm kleinen netz gibt es ein gerät, dass versucht ip pakete mit einer gefälschten ip adresse zu versenden.

die firewall merkt das natürlich und blockt. nun würde ich gerne herausfinden, welches der rechner bei uns dies versursacht. habe seit dem wochenende fast 3000 spoofing notifikations in meiner mailbox.

die ip adresse nützt mir nicht, aber ich habe die mac adresse des geräts herausgefunden, dank der arp tabelle der firewall.

wie kann ich nun herausbekommen, zu welchem rechner die mac adresse gehört? habt ihr da eine idee?

bei Antwort benachrichtigen
GarfTermy Silent Bob „gerät im netz spooft...“
Optionen

ethereal (sniffer) benutzen - traffic sniffen und auswerten...

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Silent Bob GarfTermy „ethereal sniffer benutzen - traffic sniffen und auswerten... - “
Optionen

aber ehtereal kann doch bloss den verkehr überwachen, der über meine netzwerkkarte läuft.

und dafür müsste ich dann doch die karte der firewall überwachen.
das geht doch mit etereal nicht oder?

bei Antwort benachrichtigen
IDE-ATAPI Silent Bob „aber ehtereal kann doch bloss den verkehr überwachen, der über meine...“
Optionen

Richtig, daher ist Ethereal in diesem Fall auch quatsch.
Die Karte müsste zwar im promiscuous mode laufen (heisst sie liest auch Verkehr der nicht für sie bestimmt ist), wenn du aber nen Router oder Switch zwischen dir und dem Verursacher hast, bekommst du nichts mit.

Du hast doch die mac adresse, dann schau doch mal nach zu welchem Gerät sie gehört. Mac adresse bekommst du heraus indem du "netstat -r" in eine Dosbox eingibst.

bei Antwort benachrichtigen
TAsitO Silent Bob „gerät im netz spooft...“
Optionen

Hallo .
Hm . Nur ein Gedanke .
Schau doch mal unter den Set - Angaben unter MS-Dos Eingabeaufforderung ( Diese öffnen und einfach set beim jeweiligen Rechner eingeben ) .
Gruss .

http://www.talk-about.org/leben-ist-mehr/default.asp
bei Antwort benachrichtigen
GarfTermy Silent Bob „gerät im netz spooft...“
Optionen

"...wenn du aber nen Router oder Switch zwischen dir und dem Verursacher hast, bekommst du nichts mit. ..."

wieviele router/switches stehen in einem KLEINEN netz? ...meistens KEINE - vielleicht noch der dsl-router, der hier aber keine rolle spielt.

so hat ein sniffer ein möglicher lösungsansatz seine berechtigung und ist eben NICHT quatsch.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
IDE-ATAPI GarfTermy „ ...wenn du aber nen Router oder Switch zwischen dir und dem Verursacher hast,...“
Optionen

Mit einem Größenwahnsinnigen über die Definition von "klein" zu diskutieren, das tue ich mir heute nicht an. Im Übrigen lese Silent Bobs Antwort.

Und noch was: dein SCHREIBSTIL mit den GROSSBUCHSTABEN ist witzig. Grossbuchstaben werden von vielen als Schreien interpretiert.
Bedenke aber dabei: Nicht der, der am lautesten schreit, hat immer recht. Kommt bei dir so rüber als hättest du das nicht verstanden.

bei Antwort benachrichtigen
GarfTermy IDE-ATAPI „Mit einem Größenwahnsinnigen über die Definition von klein zu diskutieren,...“
Optionen

"...dein SCHREIBSTIL mit den GROSSBUCHSTABEN ist witzig...."

wer als letztes argument nur noch den stil oder die rechtschreibung kritisiert - man bedenke: das hier ist kein rechtschreibforum - der hat schon verloren und sich selbst diskreditiert.

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Silent Bob Nachtrag zu: „gerät im netz spooft...“
Optionen

@garftermy: vielleicht ein missverständnis. unser netz bezeichne ist als klein, aber es stehen 9 server drin, und es hängen ca. 70 clients dran (die meisten davon thin clients).
wir haben einen grossen hp pro curve switch da hängen und eine watchgaurd firewall.
wie gesagt, in dem fall hilft ethereal leider nicht weiter.

@ die andern: scheinbar habe ich mich bei der mac adresse geirrt. die habe ich aus der arp tabelle. blöderweise gehört die mac adresse aber der firewall, wie ich rausgefunden habe.

ich muss mal noch weitersuchen. irgendwo ist da der wurm. der versursache der spoofing aktionen soll angeblich der zweite domaincontroller sein. aber darauf kann ich mich nicht verlassen, da ja die absender ip gefälscht sein soll.

man ist das kompliziert...

bei Antwort benachrichtigen
ostseekrabbe Silent Bob „gerät im netz spooft...“
Optionen

mit dem sniffen ist schon mal nicht schlecht. Wenn ich das jetzt richtig verstehe ist zwischen Deinem Rechner und dem Störenfried eine Firewall und ein Router und ein Switch.

Ich würde den Sniffer an den Switch hängen und mit dem Firewallbeinchen und der Hälfte der Server und Clients ein VLAN bilden. Dann mal so ein Spoofing Paket abwarten und analysieren ob die Quelle in dem VLAN ist. Nicht drin? dann die andere Hälfte nehmen und sehen. So hat man es schon mal auf die Hälfte eingegrent. Und so weitermachen, immer wieder die Menge halbieren und weiter eingrenzen.

Klingt zu simpel? Könnte aber funktionieren.

bei Antwort benachrichtigen
Rigor Mortis Silent Bob „gerät im netz spooft...“
Optionen

hast du keine weiteren angaben über die genaue art der pakete wie zieladresse, zielport? die procurves sollten doch auch durchaus VLAN beherrschen womit du spoofing auch mehr oder weniger ausschließen kannst was natürlich erst einmal nur eine weitere sicherung wäre.
wenn du aber davon ausgehen kannst dass ein rechner kompromittiert ist was bei gespooften paketen wahrscheinlich erscheint und du sicher bist dass der filter der firewall keine fehlalarme produziert hat z.b. durch einen rechner der per dhcp keine ip zugesiesen bekam und nun mit apipa-adressen kurzfirstig läuft dann solltest u eventuell einmal das ganze subnet mit languard scannen. womöglich ist auf dem rechner auch eine backdoor aktiv anhand derer du ihn erkennen könntst.
es ist übrigens auch möglich über einen switch hinweg zu sniffen je nach konfiguration mit arp-spoofing ud arp poisoning so könntest du an die mac-adresse kommen sofern diese nicht auch manipuliert wird.

bei Antwort benachrichtigen
Hanussen Silent Bob „gerät im netz spooft...“
Optionen

Mit Ethercap kann man doch den Verkehr für andere Rechner mithören was auch mit Switches funktioniert.. Es manipuliert die eigene MAC-Adresse und der Switch sendet dann die Packete an beide Rechner raus. Weiss jemand wie Ethercap das bewerkstelligt? Das Programm wird ja kaum die Hardware-MAC der Netzwerkkarte ändern (mehrere Male pro Sekunde), aber wie dann?

Außerdem, was spricht dagegen einfach mal die Anschlussdosen der Nutzer zu kontrollieren wo etwas verdächtiges dranhängt.. Thin-Clients tun so etwas meines Wissens nicht.

MfG Hanussen

bei Antwort benachrichtigen