Nickles › Forum › Internet › Heimnetzwerke - WIFI, LAN, Router und Co

Heimnetzwerke - WIFI, LAN, Router und Co 16.538 Themen, 81.400 Beiträge

gerät im netz spooft...

Silent Bob am 24.05.2005, 10:38 / 11 Antworten / Flachansicht

guten morgen,

in unserm kleinen netz gibt es ein gerät, dass versucht ip pakete mit einer gefälschten ip adresse zu versenden.

die firewall merkt das natürlich und blockt. nun würde ich gerne herausfinden, welches der rechner bei uns dies versursacht. habe seit dem wochenende fast 3000 spoofing notifikations in meiner mailbox.

die ip adresse nützt mir nicht, aber ich habe die mac adresse des geräts herausgefunden, dank der arp tabelle der firewall.

wie kann ich nun herausbekommen, zu welchem rechner die mac adresse gehört? habt ihr da eine idee?

      ethereal sniffer benutzen - traffic sniffen und auswerten... - GarfTermy 24.05.2005, 12:44
    
      aber ehtereal kann doch bloss den verkehr überwachen, der über meine ... Silent Bob 24.05.2005, 16:12
    
      Richtig, daher ist Ethereal in diesem Fall auch quatsch. Die Karte müsste ... IDE-ATAPI 24.05.2005, 16:41
    
      Hallo . Hm . Nur ein Gedanke . Schau doch mal unter den Set - Angaben unter ... TAsitO 24.05.2005, 16:48
    
      ...wenn du aber nen Router oder Switch zwischen dir und dem Verursacher ... GarfTermy 25.05.2005, 00:26
    
      Mit einem Größenwahnsinnigen über die Definition von klein zu ... IDE-ATAPI 25.05.2005, 20:40
    
      ...dein SCHREIBSTIL mit den GROSSBUCHSTABEN ist witzig.... wer als letztes ... GarfTermy 26.05.2005, 14:49
    
        Silent Bob Nachtrag zu: „gerät im netz spooft...“
      
        25.05.2005, 12:12 Optionen
      
          @garftermy: vielleicht ein missverständnis. unser netz bezeichne ist als klein, aber es stehen 9 server drin, und es hängen ca. 70 clients dran (die meisten davon thin clients).

          wir haben einen grossen hp pro curve switch da hängen und eine watchgaurd firewall.

          wie gesagt, in dem fall hilft ethereal leider nicht weiter.

          @ die andern: scheinbar habe ich mich bei der mac adresse geirrt. die habe ich aus der arp tabelle. blöderweise gehört die mac adresse aber der firewall, wie ich rausgefunden habe.

          ich muss mal noch weitersuchen. irgendwo ist da der wurm. der versursache der spoofing aktionen soll angeblich der zweite domaincontroller sein. aber darauf kann ich mich nicht verlassen, da ja die absender ip gefälscht sein soll.

          man ist das kompliziert...
        
             bei Antwort benachrichtigen
        
      mit dem sniffen ist schon mal nicht schlecht. Wenn ich das jetzt richtig ... ostseekrabbe 25.05.2005, 21:53
    
      hast du keine weiteren angaben über die genaue art der pakete wie ... Rigor Mortis 25.05.2005, 22:53
    
      Mit Ethercap kann man doch den Verkehr für andere Rechner mithören was ... Hanussen 29.05.2005, 20:18