Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

ARP spoofer zurückverfolgen

Frage Netzwerke LAN, WAN, Wireless

Mitglied: ninjafraggle

ninjafraggle (Level 1) - Jetzt verbinden

13.09.2008, aktualisiert 21:44 Uhr, 9070 Aufrufe, 7 Kommentare

Ärger im Token Ring

Hallo.

Hab hier ein Token Ring Netzwerk ( :] ), in welchem die eindeutige IP Adresse über DHCP anhand der M A C zugewiesen wird. Mit der MAC/IP sind dann diverse Traff*ckontingente und sonstige Einschränkungen verbunden.

Ein User scheint nun durchgängig Arp-Spoofing zu betreiben und benutzt dabei die wohl mitgesnifften MACs anderer Rechner im Ring, was gegen die Nutzungsbedingungen des Netzwerks verstößt.

Wie kann man diesen Menschen/seinen Computer finden?

FG,
ninja
Mitglied: spacyfreak
13.09.2008 um 13:35 Uhr
Mit Tokenring kenn ich mich nicht so aus.
Prinzipiell kann man jedoch - wenn man die MAC-Adresse um die es geht kennt oder die IP um die es geht kennt, den genauen Anschlussport am Switch an dem der Pösewicht hängt ermitteln.

Auf den Switchen gibt man die MAC-Adresse ein um herauszufinden an welchem Endport der PC hängt (Beispiel Cisco Switch, z. B. 2950).
Die MAC darf nur klein-Buchstaben enthalten und folgende Schreibweise: xxxx.xxxx.xxxx und nicht etwa xx:xx:xx:xx

switch#sh mac-address-table | inc 00ef.ed1d.ed2f

Der Switch spuckt dann den Port aus an dem der Client PC hängt, bzw. an welchem Uplinkport die MAC gelernt wurde.
Wenn es ein Uplinkport ist, widerholt man den Befehl auf dem Uplinkswitch und hangelt sich bis zum konkreten Endport durch.

Vorrausseztung wäre dass der PC, der diese MAC u. IP tatsächlich haben "sollte" nachweislich nicht online ist...
Bitte warten ..
Mitglied: ninjafraggle
13.09.2008 um 13:41 Uhr
Das Problem ist, dass das Netzwerk nicht geswitcht ist (Token Ring), als auch, dass quasi immer zwei Rechner mit selber IP/MAC da sind.
Bitte warten ..
Mitglied: spacyfreak
13.09.2008 um 13:46 Uhr
Remote auf den Client zugreifen und die MAC ermitteln?

Sicherheit auf Basis von MAC/DHCP ist halt auch ne "Krücke", das ist immer relativ leicht umgehbar.
Bitte warten ..
Mitglied: aqui
13.09.2008 um 13:51 Uhr
Wäre ja auch eigentlich eher was für die Rubrik:

» Netzwerke » LAN, WAN und Wireless » Token Ring

Aber egal...
Wenn der Spoofer Vorhandene MAC Adressen benutzt ist ein Detektieren nicht einfach.
Hast du einen einfachen Ring oder mehrere Ringe die mit einer TR Bridge gekoppelt sind ??

Anhand des TR Ring Indicators und der Bridge Number könntest du dann wenigstens rausbekommen in welchem Ring der Attacker sitzt, mehr aber auch nicht.

Wenn du nur einen passiven verkabelten Ring (passive MAU) hast ohne TR Switch oder wenigstens einer aktiven TR MAU ist es fast unmöglich, denn dann müsstest du an den Endgeräten selber manipulieren. Auch Tools wie ARPwatch usw. helfen dir da nicht wirklich.

Wenn du nicht allzuviel Geräte hast kannst du mit einem Wireshark dich in den TR einklinken, warten bis eine ARP Spoofing Attacke passiert und schnell mal die Stecker an der MAU ziehen um den verdächtigen Port rauszubekommen wenn dann aufhört.
Ist ein wenig eine Steinzeitmethode aber unter den technischen Voraussetzungen die du hast ist da nicht mehr machbar... leider
Bitte warten ..
Mitglied: Rafiki
13.09.2008 um 15:18 Uhr
Leider habe ich auch keine praktischen Erfahrungen mit Token Ring. Wenn du den Netzwerkverkehr mitschneiden kannst, dann würde ich darin mal suchen. Evtl. verrät der Mensch sich durch seine Daten / Webseiten / Login / Email abholen / Serverzugriff, also durch das Mensch sein. Immerhin suchst du jemanden der ein erhebliches wissen über Computernetzwerke hat. In den meisten Firmen bleiben damit nur wenige Verdächtige übrig.
Gruß Rafiki
Bitte warten ..
Mitglied: filippg
13.09.2008 um 21:13 Uhr
Hallo,

also vielleicht bin ich ja einfach zu jung um mich mit Token Ring auszukennen. Aber mir wurde beigebracht, dass MAC-Adressen zum Ethernet gehören. Token Ring dagegen hätte keine Mac-Adressen, da hier die Adressierung auf physikalischer Ebene durch die Ringstruktur erzwungen wird.

Gruß

Filipp
Bitte warten ..
Mitglied: aqui
13.09.2008 um 21:44 Uhr
Das ist natürlich vollkommener Unsinn, gehört ins Reich der Fabel und entbehrt jeglicher technischer Grundlage !!
Natürlich hat TR auch MAC Adressen, wie sollte es auch anders funktionieren ??!! Da hat wohl der, der dir das beigebracht hat, keine Ahnung von Daten Netzwerken gehabt wie leider so oft...

http://de.wikipedia.org/wiki/Token_Ring

Bzw. hier genau zum Aufbau des Frames:

http://www.networkuptime.com/faqs/token-ring/index.shtml
bzw. hier in Deutsch:
http://www.koehler-ks.de/TokenRing.html

Der Unterschied in den MACs ist nur das Ethernet MACs im Canonical Modus (LSB mode, Least Significant Bit) hat und Token Ring im Non Canonical Modus (MSB mode, Most Significant Bit). Der Aufbau ist aber vollkommen gleich. Auch hier passiert die Kommunikation im OSI Layer 2 auf MACs genau so wie bei Ethernet !
Dafür gibt es sogar MAC Umrechner wie z.B. DIESEN hier (canonical/non canonical) für die, die Translational Bridging zw. TR und Ethernet machen, denn auch das funktioniert problemlos damit Totes Rind und Eternit zusammen reden können !
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Windows Netzwerk
Windows Server 2012 R2: Anpassung des Intervalls für ARP Wiederholungen (6)

Frage von Michael12 zum Thema Windows Netzwerk ...

Windows Netzwerk
gelöst IP Adresse zurückverfolgen (7)

Frage von Florian86 zum Thema Windows Netzwerk ...

Router & Routing
gelöst ARP-Proxy an WAN Port "zerstört" Modem (8)

Frage von 118080 zum Thema Router & Routing ...

Datenschutz
Handysuche zurückverfolgen Datenschutz allgemein (6)

Frage von 129463 zum Thema Datenschutz ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...