Nickles › Forum › Internet › Heimnetzwerke - WIFI, LAN, Router und Co

Heimnetzwerke - WIFI, LAN, Router und Co 16.539 Themen, 81.405 Beiträge

gerät im netz spooft...

Silent Bob am 24.05.2005, 10:38 / 11 Antworten / Flachansicht

guten morgen,

in unserm kleinen netz gibt es ein gerät, dass versucht ip pakete mit einer gefälschten ip adresse zu versenden.

die firewall merkt das natürlich und blockt. nun würde ich gerne herausfinden, welches der rechner bei uns dies versursacht. habe seit dem wochenende fast 3000 spoofing notifikations in meiner mailbox.

die ip adresse nützt mir nicht, aber ich habe die mac adresse des geräts herausgefunden, dank der arp tabelle der firewall.

wie kann ich nun herausbekommen, zu welchem rechner die mac adresse gehört? habt ihr da eine idee?

      ethereal sniffer benutzen - traffic sniffen und auswerten... - GarfTermy 24.05.2005, 12:44
    
      aber ehtereal kann doch bloss den verkehr überwachen, der über meine ... Silent Bob 24.05.2005, 16:12
    
      Richtig, daher ist Ethereal in diesem Fall auch quatsch. Die Karte müsste ... IDE-ATAPI 24.05.2005, 16:41
    
      Hallo . Hm . Nur ein Gedanke . Schau doch mal unter den Set - Angaben unter ... TAsitO 24.05.2005, 16:48
    
      ...wenn du aber nen Router oder Switch zwischen dir und dem Verursacher ... GarfTermy 25.05.2005, 00:26
    
      Mit einem Größenwahnsinnigen über die Definition von klein zu ... IDE-ATAPI 25.05.2005, 20:40
    
      ...dein SCHREIBSTIL mit den GROSSBUCHSTABEN ist witzig.... wer als letztes ... GarfTermy 26.05.2005, 14:49
    
      @garftermy: vielleicht ein missverständnis. unser netz bezeichne ist als ... Silent Bob 25.05.2005, 12:12
    
      mit dem sniffen ist schon mal nicht schlecht. Wenn ich das jetzt richtig ... ostseekrabbe 25.05.2005, 21:53
    
        Rigor Mortis Silent Bob „gerät im netz spooft...“
      
        25.05.2005, 22:53 Optionen
      
          hast du keine weiteren angaben über die genaue art der pakete wie zieladresse, zielport? die procurves sollten doch auch durchaus VLAN beherrschen womit du spoofing auch mehr oder weniger ausschließen kannst was natürlich erst einmal nur eine weitere sicherung wäre.

          wenn du aber davon ausgehen kannst dass ein rechner kompromittiert ist was bei gespooften paketen wahrscheinlich erscheint und du sicher bist dass der filter der firewall keine fehlalarme produziert hat z.b. durch einen rechner der per dhcp keine ip zugesiesen bekam und nun mit apipa-adressen kurzfirstig läuft dann solltest u eventuell einmal das ganze subnet mit languard scannen. womöglich ist auf dem rechner auch eine backdoor aktiv anhand derer du ihn erkennen könntst.

          es ist übrigens auch möglich über einen switch hinweg zu sniffen je nach konfiguration mit arp-spoofing ud arp poisoning so könntest du an die mac-adresse kommen sofern diese nicht auch manipuliert wird.
        
             bei Antwort benachrichtigen
        
      Mit Ethercap kann man doch den Verkehr für andere Rechner mithören was ... Hanussen 29.05.2005, 20:18