ARP spoofer zurückverfolgen
Ärger im Token Ring
Hallo.
Hab hier ein Token Ring Netzwerk ( :] ), in welchem die eindeutige IP Adresse über DHCP anhand der M A C zugewiesen wird. Mit der MAC/IP sind dann diverse Traff*ckontingente und sonstige Einschränkungen verbunden.
Ein User scheint nun durchgängig Arp-Spoofing zu betreiben und benutzt dabei die wohl mitgesnifften MACs anderer Rechner im Ring, was gegen die Nutzungsbedingungen des Netzwerks verstößt.
Wie kann man diesen Menschen/seinen Computer finden?
FG,
ninja
Hab hier ein Token Ring Netzwerk ( :] ), in welchem die eindeutige IP Adresse über DHCP anhand der M A C zugewiesen wird. Mit der MAC/IP sind dann diverse Traff*ckontingente und sonstige Einschränkungen verbunden.
Ein User scheint nun durchgängig Arp-Spoofing zu betreiben und benutzt dabei die wohl mitgesnifften MACs anderer Rechner im Ring, was gegen die Nutzungsbedingungen des Netzwerks verstößt.
Wie kann man diesen Menschen/seinen Computer finden?
FG,
ninja
Please also mark the comments that contributed to the solution of the article
Content-Key: 96851
Url: https://administrator.de/contentid/96851
Printed on: April 24, 2024 at 22:04 o'clock
7 Comments
Latest comment
Mit Tokenring kenn ich mich nicht so aus.
Prinzipiell kann man jedoch - wenn man die MAC-Adresse um die es geht kennt oder die IP um die es geht kennt, den genauen Anschlussport am Switch an dem der Pösewicht hängt ermitteln.
Auf den Switchen gibt man die MAC-Adresse ein um herauszufinden an welchem Endport der PC hängt (Beispiel Cisco Switch, z. B. 2950).
Die MAC darf nur klein-Buchstaben enthalten und folgende Schreibweise: xxxx.xxxx.xxxx und nicht etwa xx:xx:xx:xx
switch#sh mac-address-table | inc 00ef.ed1d.ed2f
Der Switch spuckt dann den Port aus an dem der Client PC hängt, bzw. an welchem Uplinkport die MAC gelernt wurde.
Wenn es ein Uplinkport ist, widerholt man den Befehl auf dem Uplinkswitch und hangelt sich bis zum konkreten Endport durch.
Vorrausseztung wäre dass der PC, der diese MAC u. IP tatsächlich haben "sollte" nachweislich nicht online ist...
Prinzipiell kann man jedoch - wenn man die MAC-Adresse um die es geht kennt oder die IP um die es geht kennt, den genauen Anschlussport am Switch an dem der Pösewicht hängt ermitteln.
Auf den Switchen gibt man die MAC-Adresse ein um herauszufinden an welchem Endport der PC hängt (Beispiel Cisco Switch, z. B. 2950).
Die MAC darf nur klein-Buchstaben enthalten und folgende Schreibweise: xxxx.xxxx.xxxx und nicht etwa xx:xx:xx:xx
switch#sh mac-address-table | inc 00ef.ed1d.ed2f
Der Switch spuckt dann den Port aus an dem der Client PC hängt, bzw. an welchem Uplinkport die MAC gelernt wurde.
Wenn es ein Uplinkport ist, widerholt man den Befehl auf dem Uplinkswitch und hangelt sich bis zum konkreten Endport durch.
Vorrausseztung wäre dass der PC, der diese MAC u. IP tatsächlich haben "sollte" nachweislich nicht online ist...
Wäre ja auch eigentlich eher was für die Rubrik:
» Netzwerke » LAN, WAN und Wireless » Token Ring
Aber egal...
Wenn der Spoofer Vorhandene MAC Adressen benutzt ist ein Detektieren nicht einfach.
Hast du einen einfachen Ring oder mehrere Ringe die mit einer TR Bridge gekoppelt sind ??
Anhand des TR Ring Indicators und der Bridge Number könntest du dann wenigstens rausbekommen in welchem Ring der Attacker sitzt, mehr aber auch nicht.
Wenn du nur einen passiven verkabelten Ring (passive MAU) hast ohne TR Switch oder wenigstens einer aktiven TR MAU ist es fast unmöglich, denn dann müsstest du an den Endgeräten selber manipulieren. Auch Tools wie ARPwatch usw. helfen dir da nicht wirklich.
Wenn du nicht allzuviel Geräte hast kannst du mit einem Wireshark dich in den TR einklinken, warten bis eine ARP Spoofing Attacke passiert und schnell mal die Stecker an der MAU ziehen um den verdächtigen Port rauszubekommen wenn dann aufhört.
Ist ein wenig eine Steinzeitmethode aber unter den technischen Voraussetzungen die du hast ist da nicht mehr machbar... leider
» Netzwerke » LAN, WAN und Wireless » Token Ring
Aber egal...
Wenn der Spoofer Vorhandene MAC Adressen benutzt ist ein Detektieren nicht einfach.
Hast du einen einfachen Ring oder mehrere Ringe die mit einer TR Bridge gekoppelt sind ??
Anhand des TR Ring Indicators und der Bridge Number könntest du dann wenigstens rausbekommen in welchem Ring der Attacker sitzt, mehr aber auch nicht.
Wenn du nur einen passiven verkabelten Ring (passive MAU) hast ohne TR Switch oder wenigstens einer aktiven TR MAU ist es fast unmöglich, denn dann müsstest du an den Endgeräten selber manipulieren. Auch Tools wie ARPwatch usw. helfen dir da nicht wirklich.
Wenn du nicht allzuviel Geräte hast kannst du mit einem Wireshark dich in den TR einklinken, warten bis eine ARP Spoofing Attacke passiert und schnell mal die Stecker an der MAU ziehen um den verdächtigen Port rauszubekommen wenn dann aufhört.
Ist ein wenig eine Steinzeitmethode aber unter den technischen Voraussetzungen die du hast ist da nicht mehr machbar... leider
Leider habe ich auch keine praktischen Erfahrungen mit Token Ring. Wenn du den Netzwerkverkehr mitschneiden kannst, dann würde ich darin mal suchen. Evtl. verrät der Mensch sich durch seine Daten / Webseiten / Login / Email abholen / Serverzugriff, also durch das Mensch sein. Immerhin suchst du jemanden der ein erhebliches wissen über Computernetzwerke hat. In den meisten Firmen bleiben damit nur wenige Verdächtige übrig.
Gruß Rafiki
Gruß Rafiki
Das ist natürlich vollkommener Unsinn, gehört ins Reich der Fabel und entbehrt jeglicher technischer Grundlage !!
Natürlich hat TR auch MAC Adressen, wie sollte es auch anders funktionieren ??!! Da hat wohl der, der dir das beigebracht hat, keine Ahnung von Daten Netzwerken gehabt wie leider so oft...
http://de.wikipedia.org/wiki/Token_Ring
Bzw. hier genau zum Aufbau des Frames:
http://www.networkuptime.com/faqs/token-ring/index.shtml
bzw. hier in Deutsch:
http://www.koehler-ks.de/TokenRing.html
Der Unterschied in den MACs ist nur das Ethernet MACs im Canonical Modus (LSB mode, Least Significant Bit) hat und Token Ring im Non Canonical Modus (MSB mode, Most Significant Bit). Der Aufbau ist aber vollkommen gleich. Auch hier passiert die Kommunikation im OSI Layer 2 auf MACs genau so wie bei Ethernet !
Dafür gibt es sogar MAC Umrechner wie z.B. DIESEN hier (canonical/non canonical) für die, die Translational Bridging zw. TR und Ethernet machen, denn auch das funktioniert problemlos damit Totes Rind und Eternit zusammen reden können !
Natürlich hat TR auch MAC Adressen, wie sollte es auch anders funktionieren ??!! Da hat wohl der, der dir das beigebracht hat, keine Ahnung von Daten Netzwerken gehabt wie leider so oft...
http://de.wikipedia.org/wiki/Token_Ring
Bzw. hier genau zum Aufbau des Frames:
http://www.networkuptime.com/faqs/token-ring/index.shtml
bzw. hier in Deutsch:
http://www.koehler-ks.de/TokenRing.html
Der Unterschied in den MACs ist nur das Ethernet MACs im Canonical Modus (LSB mode, Least Significant Bit) hat und Token Ring im Non Canonical Modus (MSB mode, Most Significant Bit). Der Aufbau ist aber vollkommen gleich. Auch hier passiert die Kommunikation im OSI Layer 2 auf MACs genau so wie bei Ethernet !
Dafür gibt es sogar MAC Umrechner wie z.B. DIESEN hier (canonical/non canonical) für die, die Translational Bridging zw. TR und Ethernet machen, denn auch das funktioniert problemlos damit Totes Rind und Eternit zusammen reden können !