ARP spoofer zurückverfolgen

Mit Tokenring kenn ich mich nicht so aus.
Prinzipiell kann man jedoch - wenn man die MAC-Adresse um die es geht kennt oder die IP um die es geht kennt, den genauen Anschlussport am Switch an dem der Pösewicht hängt ermitteln.

Auf den Switchen gibt man die MAC-Adresse ein um herauszufinden an welchem Endport der PC hängt (Beispiel Cisco Switch, z. B. 2950).
Die MAC darf nur klein-Buchstaben enthalten und folgende Schreibweise: xxxx.xxxx.xxxx und nicht etwa xx:xx:xx:xx

switch#sh mac-address-table | inc 00ef.ed1d.ed2f

Der Switch spuckt dann den Port aus an dem der Client PC hängt, bzw. an welchem Uplinkport die MAC gelernt wurde.
Wenn es ein Uplinkport ist, widerholt man den Befehl auf dem Uplinkswitch und hangelt sich bis zum konkreten Endport durch.

Vorrausseztung wäre dass der PC, der diese MAC u. IP tatsächlich haben "sollte" nachweislich nicht online ist...

Remote auf den Client zugreifen und die MAC ermitteln?

Sicherheit auf Basis von MAC/DHCP ist halt auch ne "Krücke", das ist immer relativ leicht umgehbar.

Wäre ja auch eigentlich eher was für die Rubrik:

» Netzwerke » LAN, WAN und Wireless » Token Ring

Aber egal...
Wenn der Spoofer Vorhandene MAC Adressen benutzt ist ein Detektieren nicht einfach.
Hast du einen einfachen Ring oder mehrere Ringe die mit einer TR Bridge gekoppelt sind ??

Anhand des TR Ring Indicators und der Bridge Number könntest du dann wenigstens rausbekommen in welchem Ring der Attacker sitzt, mehr aber auch nicht.

Wenn du nur einen passiven verkabelten Ring (passive MAU) hast ohne TR Switch oder wenigstens einer aktiven TR MAU ist es fast unmöglich, denn dann müsstest du an den Endgeräten selber manipulieren. Auch Tools wie ARPwatch usw. helfen dir da nicht wirklich.

Wenn du nicht allzuviel Geräte hast kannst du mit einem Wireshark dich in den TR einklinken, warten bis eine ARP Spoofing Attacke passiert und schnell mal die Stecker an der MAU ziehen um den verdächtigen Port rauszubekommen wenn dann aufhört.
Ist ein wenig eine Steinzeitmethode aber unter den technischen Voraussetzungen die du hast ist da nicht mehr machbar... leider

Leider habe ich auch keine praktischen Erfahrungen mit Token Ring. Wenn du den Netzwerkverkehr mitschneiden kannst, dann würde ich darin mal suchen. Evtl. verrät der Mensch sich durch seine Daten / Webseiten / Login / Email abholen / Serverzugriff, also durch das Mensch sein. Immerhin suchst du jemanden der ein erhebliches wissen über Computernetzwerke hat. In den meisten Firmen bleiben damit nur wenige Verdächtige übrig.
Gruß Rafiki

Hallo,

also vielleicht bin ich ja einfach zu jung um mich mit Token Ring auszukennen. Aber mir wurde beigebracht, dass MAC-Adressen zum Ethernet gehören. Token Ring dagegen hätte keine Mac-Adressen, da hier die Adressierung auf physikalischer Ebene durch die Ringstruktur erzwungen wird.

Gruß

Filipp

Das ist natürlich vollkommener Unsinn, gehört ins Reich der Fabel und entbehrt jeglicher technischer Grundlage !!
Natürlich hat TR auch MAC Adressen, wie sollte es auch anders funktionieren ??!! Da hat wohl der, der dir das beigebracht hat, keine Ahnung von Daten Netzwerken gehabt wie leider so oft...

http://de.wikipedia.org/wiki/Token_Ring

Bzw. hier genau zum Aufbau des Frames:

http://www.networkuptime.com/faqs/token-r ...
bzw. hier in Deutsch:
http://www.koehler-ks.de/TokenRing.html

Der Unterschied in den MACs ist nur das Ethernet MACs im Canonical Modus (LSB mode, Least Significant Bit) hat und Token Ring im Non Canonical Modus (MSB mode, Most Significant Bit). Der Aufbau ist aber vollkommen gleich. Auch hier passiert die Kommunikation im OSI Layer 2 auf MACs genau so wie bei Ethernet !
Dafür gibt es sogar MAC Umrechner wie z.B. DIESEN hier (canonical/non canonical) für die, die Translational Bridging zw. TR und Ethernet machen, denn auch das funktioniert problemlos damit Totes Rind und Eternit zusammen reden können !