Thread: ce inseamna MAC spoofing?
View Single Post
Old 25-02-2003, 15:02   #9 (permalink)
arici
Registered User
 
Join Date: Jul 2000
Location: Bucuresti
Oby
Degeaba isi schimba MAC-ul.Ar fii irelevant. Stiva TCP/IP a calculatorului pe
care se afla atacatorul va asocia automat noul MAC cu ip-ul victimei fara ca
macar atacatorul sa stie ceva.Urmatoarele atacuri vor veni bineinteles pentru noul MAC

aeon
Chiar daca cei din retea nu se pricep trebuie sa intelegi ca tot de la tine din retea vine atacul.Tocmai ca sunt novici e posibil sa fii
executat vreun troian care l-au primit ca atasament la mail.
Nu prea inteleg logul ala de la tine, data e trecuta de 3 ori si mai e si un ip
de vreo doua ori...Era bine daca iti spunea si ce MAC incearca sa trimita acel arp reply.

Anyway, daca 194.105.18.138 este iodes si nu se afla in retea la tine atunci poti face urmatoarele chestii:
1.
Opresti firewall, astepti vreo 20 secunde si dai din command prompt arp -a
Te uiti ce MAC are 194.105.18.138. Daca nu apare mai astepti cateva secunde si dai din nou arp -a pana apare.
Cand apare notezi frumos adresa MAC. e foarte probabil ca asta e adresa atacatorului.
2.
Acum da cate un ping in fiecare calculator din retea (inclusiv router). Dupa fiecare ping te uiti la outputul lui arp -a si vezi ce MAC are
fiecare ip din retea.Poti afla MAC-urile celor din retea si daca te duci la calculatoarele respective si dai comanda ipconfig/all pt win si
ifconfig pt linux. Dupa ce ai aflat toate MAC-urile celor din retea vezi daca unul din ele este identic cu cel aflat la punctul 1.Daca da, ai gasit hackerul sau calculatorul infectat !
3. Daca nu corespunde, io nu mai inteleg nimic.Oricum nu te opresti
Pornesti firewall si opreste "sursa" de internet.Daca esti pe cablelink scoate modemul de cablu din priza sau scoate firul care vine de la
modem in router(nu taia legatura router cu reteaua !).Vezi daca iti mai vin mesajele alea in firewall.Daca mai vin inseamna ca SIGUR atacatorul e la tine in retea si nu ai facut bine pasii 1 sau 2. Daca NU iti mai vin mesajele respective inseamna ca defapt ele nu erau arp reply-uri ci alte dracovenii care vin din internet si sunt interpretate gresit de firewall.Fa rost de ethereal si libcap pt windows (google), opreste firewall si orice trafic inutil in retea si pune-l pe ethereal sa asculte. Daca vezi ceva asemanator cu ce zicea firewall, posteaza aici sa vedem si noi
 
arici is offline    Reply With Quote