ce inseamna MAC spoofing?

[aeon]

Am pus de curand sygate personal firewall si de cateva zile imi tot da MAC spoofing de la o anumita adresa cam din 20 in 20 sec, adica sute pe zi. Ce inseamna asta?

cam asa zice:

Unsolicited incoming ARP reply detected, this is a kind of MAC spoofing that may consequently do harm to your computer.

[Crrina]

Mac spoofing inseamna mascarea intentionata a mac ului placii tale de retea cu un altul...
Am doar o vaga idee despre mesajul tau ..
\O sa ma documentez diseara si sa vad daca aflu ceva...

[corco]

... inseamna ca cineva foloseste adresa ta MAC ...
speculatie fortzata: daca esti intr-un LAN in care accesul Internet de face pe baza adresei MAC inseamna ca posesorul adresei respective itzi foloseste MAC-ul pentru a avea net ...
ARP- adress resolution protocol
RARP - reverse adress resolution protocol
protocoalele astea doua fac asocierea intre adresa IP si adresa fizica a echipamentului (MAC).
... o sa ma documentez si daca e altfel revin ...

[aeon]

hmm, au mai aparut 2 mac spoofinguri de la alte 2 adrese (aceste provin din subreteaua mea), dar numai o singura data, de la adresa sus mentionata continua sa curga continuu. Ce-i de facut ?, spoofingul provine din reteaua Iodes Trading, eu sunt la rds

[arici]

pentru ca doua calculatoae din o retea sa poata comunica trebuie sa-si cunoasca atat adresa ip cat si adresa MAC (adresa unica specifica fiecarei placi de retea)

sa zicem ca avem
calc A cu ip=10.0.0.1/24 MAC=00:50F:2C:E1:77
si
calc B cu ip=10.0.0.2/24
MAC=00:50:AA:C4:Eb:79

daca tu dai ping de pe A catre 10.0.0.2 (calc B) atunci A stie ca trebuie sa trimita un pachet catre un calc cu ip=10.0.0.2 dar nu stie ce adresa MAC are acel calculator.Va trebui sa afle aceast adresa MAC printr-un protocol numit ARP (address resolution protocol).ARP presupune ca se trimite un broadcast in retea prin care se ca acel host cu adresa 10.0.0.2 sa spuna ce adresa MAC are.Acesta este un ARP request. Hostul B vede acest arp request si raspunde cu un ARP reply de genul "bai A, vezi ca adresa mea MAC este 00:50:AA:C4:Eb:79"

Deabea acum hostul A va putea trimite pingul tau catre B fiindca deabea acum stie atat adresa ip (specificata de tine chiar in comanda ping) cat si adresa MAC care a aflat-o prin intermediul protocolului ARP

Acum daca tu primesti ARP reply nesolicitate inseamna ca cineva incearca sa se pretinda drept altcineva

inchipuie-ti ca tu esti la calculatroul A si ai o comunicatie cu calculatorul B. Asta inseamna ca A stie deja MAC pentru B. Daca insa ai un jmecher in retea la calc C acesta poate trimite un ARP reply ca venind de la B si in care spune ca adresa MAC a lui B este de fapt adresa MAC a lui C.
In mod normal intr-o retea pe hub nu era nevoie de o asemenea smecherie. Orice calculator din retea putea "asculta" comunicatia altor 2 hosturi.Facea lucrul acesta intrand in modul promiscuous (adica intercepta si pachetele care nu aveau adresa lui MAC la destinatar)
In momentul cand ai o retea pe switch atunci switchul invata ce MAC are calculatorul atasat fiecarui port si astfel hostul C nu mai putea intercepta o eventuala comunictie intre A si B deoarece switch-ul nu forwarda frame-urile decat pe porturile pe care erau hosturile A si B
Daca insa C trimite un fals ARP reply pretinzand ca defapt adresa MAC a lui B este chiar adresa lui atunci A trimite pachete cu adresa ip a lui B si adresa MAC a lui C. Aceste pachete nu mai pot fi oprite de switch si astfel C poate intercepta traficul intre A si B
Pentru mai multe detalii incearca sa citesti documentatie pe net despre adrese de layer 2 (MAC) si adrese de layer 3 (ip)

P.S . ARP este un protocol neroutabil asadar nu ai cum sa primesti ARP reply din alta retea. Cel mai de departe poti primi chiar de la routerul care leaga reteaua ta cu alta.Probabil ca pachetul ala este manarit si in alte privinte si deruteaza firewall-ul. Instaleaza ethereal si vezi o analiza completa a respectivului pachet

[arici]

daca stau sa ma gandesc e foarte probabil ca cineva de la tine din retea sa trimita sa trimita ARP reply ca venind de la un host din reteaua Iodes Trading.
Probabil ca cineva de la tine din LAN e convins(a) ca ai un trafic extrem de interesant cu Iodes si incearca sa-si substiuie adresa MAC ca fiind de la Iodes.
Vezi ce MAC adress comunica acest arp reply si apoi da din command line un arp -a ca sa vezi cine e nazdravanul. Daca nu apare la arp -a incepe si da-i pinguri la toate hosturile din retea si verifica din nou arp -a dupa fiecare ping reusit
Trebuie sa-l depistezi pe "hacker" ca sigur e de la tine din retea

[Oby One]

Hmm foarte intreresant...
PAi ai putea sa incerci sa iti schimbi mac ul .. ca sa vezi daa "the little hacker" o va face si el dupa tine...
Uite aici cum se face....

arici ... ccna ccnp ?

[aeon]

10x, dar din reteaua mea sigur nu face nimeni magarii (pt ca nu au cunosinte, este vorba de o secretara si alte 3 persoane care abia stiu sa foloseasca internet explorer, se exclude varianta asta)
mac spoofingul din reteaua mea presupun ca vine de la un proxi pe care il am instalat pe compul cu firewallul, dar arp replayul acela de la iodes a facut o saptaman de cand ma streseaza
cam asa arata mesajul de la firewall:

Unsolicited incoming ARP reply detected, this is a kind of MAC spoofing that may consequently do harm to your computer.

02/25/2003 08:59:32 Mac Spoofing Minor Incoming Unknown 194.105.18.138 194.105.18.138 1 02/25/2003 08:59:23 02/25/2003 08:59:23

ce pot sa fac, si cat de grav este?

[arici]

Oby
Degeaba isi schimba MAC-ul.Ar fii irelevant. Stiva TCP/IP a calculatorului pe
care se afla atacatorul va asocia automat noul MAC cu ip-ul victimei fara ca
macar atacatorul sa stie ceva.Urmatoarele atacuri vor veni bineinteles pentru noul MAC

aeon
Chiar daca cei din retea nu se pricep trebuie sa intelegi ca tot de la tine din retea vine atacul.Tocmai ca sunt novici e posibil sa fii
executat vreun troian care l-au primit ca atasament la mail.
Nu prea inteleg logul ala de la tine, data e trecuta de 3 ori si mai e si un ip
de vreo doua ori...Era bine daca iti spunea si ce MAC incearca sa trimita acel arp reply.

Anyway, daca 194.105.18.138 este iodes si nu se afla in retea la tine atunci poti face urmatoarele chestii:
1.
Opresti firewall, astepti vreo 20 secunde si dai din command prompt arp -a
Te uiti ce MAC are 194.105.18.138. Daca nu apare mai astepti cateva secunde si dai din nou arp -a pana apare.
Cand apare notezi frumos adresa MAC. e foarte probabil ca asta e adresa atacatorului.
2.
Acum da cate un ping in fiecare calculator din retea (inclusiv router). Dupa fiecare ping te uiti la outputul lui arp -a si vezi ce MAC are
fiecare ip din retea.Poti afla MAC-urile celor din retea si daca te duci la calculatoarele respective si dai comanda ipconfig/all pt win si
ifconfig pt linux. Dupa ce ai aflat toate MAC-urile celor din retea vezi daca unul din ele este identic cu cel aflat la punctul 1.Daca da, ai gasit hackerul sau calculatorul infectat !
3. Daca nu corespunde, io nu mai inteleg nimic.Oricum nu te opresti
Pornesti firewall si opreste "sursa" de internet.Daca esti pe cablelink scoate modemul de cablu din priza sau scoate firul care vine de la
modem in router(nu taia legatura router cu reteaua !).Vezi daca iti mai vin mesajele alea in firewall.Daca mai vin inseamna ca SIGUR atacatorul e la tine in retea si nu ai facut bine pasii 1 sau 2. Daca NU iti mai vin mesajele respective inseamna ca defapt ele nu erau arp reply-uri ci alte dracovenii care vin din internet si sunt interpretate gresit de firewall.Fa rost de ethereal si libcap pt windows (google), opreste firewall si orice trafic inutil in retea si pune-l pe ethereal sa asculte. Daca vezi ceva asemanator cu ce zicea firewall, posteaza aici sa vedem si noi

[aeon]

am luat ethereal, vad ca merge, dar abia maine pot proba linistit pt ca acum e trafic pe retea si nu-l pot opri si imi ies mii de intregistrari

[arici]

daca stii sa bagi filtre, ethereal iti arata numai ce trebuie...
Oricum vad ca te-ai repezit la ethereal.Ai incercat mai intai pasii 1 si 2 ?

[aeon]

deci, sa mai dau lamuriri: compul pe care am aceste arp repli-uri are 2 placi de retea, una conectata la net, una la un switch prin care dau net la alte 4 compuri. Am dat arp -a, dar nu imi apare deloc adresa aceea de ip, doar adresele celor 2 placi din comp si cateodata adresele interne ale celorlalte 4 compuri. Am pornit etherall (cu firewallul oprit)si l-am pus pe ascultare cam 5 min: cu susa de internet decuplata nu mai primeste nimic, cum cuplez sursa incepe sa primeasca pakete, mare parte trafic de broadcast, dns, ceva icmp, un asa numit spanning tree care are sursa cisco_90 ce o fi acesta, iar tot ce am pe arp este inregistrat ca trafic broadcast. De adresa IP aceea, 194.105.18.138 nici urma, nu apare nicaieri, desi inainte de oprirea firewallului deja aveam vreo 10 inregistrari de la ea in log cu mac spoofing, si dupa repornirea firewallului au continuat sa vina...inclin sa cred ca e trafic broadcast interpretat gresit de firewall....

[arici]

Quote:

Am pornit etherall (cu firewallul oprit)si l-am pus pe ascultare cam 5 min: cu susa de internet decuplata nu mai primeste nimic

Pe ce interfata l-ai pus pe ethereal sa asculte ??
Faptul ca tu ai oprit sursa de internet si ethereal nu ti-a detectat nimic
inseamna ca ori l-ai pus sa asculte pe placa dinspre internet ori daca l-ai pus sa asculte pe amblele placi (any), celelalte calculatoare din lan erau oprite.Trebuia sa primesti ceva trafic si de la ele (windoza trimite broadcasturi intr-o veselie).
Ti-am mai zis, cel mai probabil chestiile cu arp reply vin din lan dar tu nu vrei sa ma crezi...

Fa asa:
Porneste fireawall, internet si retea locala si asteapta sa-ti apara mesajele alea din 20 in 20s. Dupa ce au inceput sa apara scoate din calculatorul tau firul care duce la switch-ul din retea.Daca NU mai vin mesajele cu arp reply inseamna ca SIGUR SURSA ESTE DE LA TINE DIN LAN. Daca mai vin inseamna ca vin din internet.Seteaza-ti firewall-ul sa blocheze tot si sa lase sa treaca numai aceste mesaje si apoi cu ethereal faci o analiza completa.Din internet nu ar trebui sa-ti vina arp repy. Mai mult, daca sunt broadcast-uri atunci sunt arp request si nu trebuie sa vina mai departe de routerul ISP.Sau e posibil ca ISP sa aiba clientii intr-un switch fara vlan si atunci broadcast-urile circula de la un client la altul...
Rezolva si tu problema ca m-ai facut curios

p.s Spanning tree protocol (STP) este un protocol care ruleaza pe switch-urile mai inteligente si permite existenta unor cai redundante intre o grupare de switch-uri.Daca de la switch A catre switch B ai 2 cai atunci una este activa iar una trece in stanby.Daca pica aia activa atunci iese din stanby cealalta.Ai primit aceste mesaje ori de la switch-ul tau ori chiar de la modem-ul de cablu desi ma cam indoiesc. Ce model ai? Lancity?

[aeon]

intr-adevar, celelalte compuri erau decuplate, dar cred ca incep sa inteleg. Nu am modem, legatura e pe fibra optica, eu sunt cuplat la un switch cu 8 porturi, 1 ocupat de mine, 6 ocupate de 6 media convertoare..... In network neigh meu apar zeci de compuri pe interfata externa si cred ca de aici vine problema..

[arici]

gee, dar unde lucrezi de aveti reteaua numai pe fibra optica? Normal daca switch-ul ala are STP (spanning tree protocol) probabil stie si de vlan-uri. Cineva a uitat sa le configureze si acuma apar in Neighborhood vrute si nevrute

p.s. aveti nevoie de help autorizart ?