Autor Tema: ARP  (Leído 4333 veces)

Desconectado el_dr_smoke

  • Newbie
  • *
  • Mensajes: 5
ARP
« en: 02 de Abril de 2004, 02:31:18 pm »
Haciendo capturas con Ethereal tras encender el Modem aparecen un huevo de  paketes de Broadcast  a cientos de Ips del tipo  "who has "213.73..... ?" para averiguar su Mac.

No tngo el pc conectado en Lan y uso Xp.

Xq puede pasar esto?? salu2

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15344
    • https://www.daboblog.com
ARP
« Respuesta #1 en: 02 de Abril de 2004, 03:09:17 pm »
hola amigo, me alegro de que te hayas vuelto a registrar (creo que te pillo la caida no??)

no lo entiendo bien, me dices que no estas conectado a una Lan no??

supongo que tendras la tarjeta en modo promiscuo y que estara esnifando todo el trafico que pasa por ahi e incluso igual al estar tu tarjeta asi esten intentando hasta hacer un envenenamiento ARP a tu cache, ya sabes que uno de los ataques ARP se basa en enviar paquetes broadcast , cientos, para inundar de peticiones a toda la red adyacente pero hay algo que no me cuadra, no se, necesitaria mas datos o darte un escaneo, si estas por la noche te doy un vistazo a ver que veo

lo muevo al de hacking ok????


saludos y rebienvenido amigo :!:
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; https://twitter.com/daboblog
Instagram: @daboblog


www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.davidhernandez

Desconectado el_dr_smoke

  • Newbie
  • *
  • Mensajes: 5
ARP
« Respuesta #2 en: 02 de Abril de 2004, 07:06:14 pm »
tienes razon, stuve aki registrado hace bastante tiempo!!!  
 
A ver t comento, el ethereal no lo tnia en modo promiscuo, como no tngo Lan ni lo he usado remotamente no le veia utlidad a lo de promiscuo.

Si hay algun tipo d atake ARP q manda Broadcast a ips adyacentes me da q lo tngo, desd mi pc se produce cada vez q enciendo el modem. Es un gusano???? Bueno lo dejo en tus manos xq no se d dnd ha salido ni como ha entrado ni como erradicarlo. Ese scanneo q dices me vendria muy bien !!!

desd dentro he scaneado con NOD32 , Kaspersky , PespPatrol y nada de nada.

keria poner una regla en el cortafuegos mientras lo soluciono pero no s puede o no veo nada sobre ARP asi q he prohibido a todas las ips adyacentes en todos los  protocolos .


salu2 y gracias!

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15344
    • https://www.daboblog.com
ARP
« Respuesta #3 en: 02 de Abril de 2004, 11:03:45 pm »
bueno, entonces creo que sera otra cosa, mira, si te parece bien, quedamos a una hora y te escaneo desde fuera a ver lo que puedo ver, ahora ando fatal de tiempo pero me mandas un MP (mensaje privado) y te doy un vistazo ok???

bueno no es, te contare amigo

un abrazo  :!:
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; https://twitter.com/daboblog
Instagram: @daboblog


www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.davidhernandez

Desconectado BuHo

  • Pro Member
  • ****
  • Mensajes: 733
    • La Estancia Azul
ARP
« Respuesta #4 en: 03 de Abril de 2004, 03:10:04 pm »
Creo (y digo creo porque estuve buscando en manuales y no lo encontre  :x  ) haber leido que en una conexion de internet, aunque tu MAC no llegue al destino, si va al siguiente router.

Explico mi hipótesis (a ver si la encuentro y la puedo confirmar... si no, diré que lo he soñado).

Al conectarnos, como ya sabemos, nuestros "paquetes" no van directamente al host destino, sino que pasan por varios "encaminadores" que sí se comunican directamente, es decir, que al hacer un "traceroute" hasta un destino tendriamos una salida:

host_origen ---> host_destino

host1 ...
host2 ...
host3 ....
....
....
host_destino

Bueno, pues los routers contiguos, si que se pasan una direccion MAC. Creo que lei que cuando un router recibe un paquete, mira su MAC, la borra y pone la suya, (y mas pasos) y lo reenvia. Y el siguiente hace lo mismo.

Así, si esto que te digo fuera cierto y no un sueño (que tengo muchas dudas), tu ordenador podría estar mandando "ARP requests" a todoel rango de tus posibles nodos de salida, para ver cual es el que tiene que usar.

No se la IP a la que manda solicitudes ARP pero puedes compararla con tu nodo de salida. Es decir, cuando captures paquetes, te apuntas el rango al que "ARPea" xD, y luego haces un tracert (si usas windows) o traceroute (si usas linux) a cualquier pagina (google siempre funciona xD) y si  el primer nodo, o uno de los 3 primeros estan en ese rango... puede que todo el rollo que te he soltado no sea un  sueño.... o puede que si :roll:


Ataques con ARP si... ARP spoffing, envenenamiento de la cache de ARP, y se basan en floodeo de paquetes... pero eso sí se suele hacer en LANs mal configuradas, en internet nunca lo he visto precisamente por lo que te cuento arriba, que entre dos hosts remotos ARP no interviene.
Wake up BuHo...
Daboweb has you[/color]
Mi blog: La Estancia Azul

Desconectado el_dr_smoke

  • Newbie
  • *
  • Mensajes: 5
ARP
« Respuesta #5 en: 03 de Abril de 2004, 04:45:16 pm »
Aki os dejo el tracert completo a google.

Traza a la dirección www.google.akadns.net [216.239.59.104]
sobre un máximo de 30 saltos:

  1     6 ms    11 ms     5 ms  10.45.0.1
  2     6 ms     6 ms    14 ms  10.45.211.1
  3    16 ms     5 ms     5 ms  49-108-100-62.libre.auna.net [62.100.108.49]
  4     8 ms    10 ms     9 ms  226-108-100-62.libre.auna.net [62.100.108.226]
  5     6 ms     7 ms     7 ms  lambdanet-2.espanix.net [193.149.1.163]
  6     8 ms     7 ms     8 ms  M-1-pos121.es.lambdanet.net [217.71.103.1]
  7    49 ms    46 ms    46 ms  F-8-eth100-0.de.lambdanet.net [217.71.105.110]
  8    49 ms    50 ms    49 ms  Google-F.de.lambdanet.net [217.71.111.38]
  9    78 ms    79 ms    77 ms  216.239.48.146
 10    78 ms    79 ms    81 ms  64.233.174.50
 11    79 ms    78 ms    79 ms  216.239.49.117
 12    77 ms    79 ms    77 ms  216.239.59.104

Los ARP REQUEST q envio a todos,  salen en direccion a 213.37.240.***  , 213.37.241.*** , 213.37.70.*** y 213.37.71.***  ,coinciden con las ips dinámicas q me han asignado.

cuando kerais os paso la captura del ethereal .

salu2 y gracias!!

mi pc se cree una Lan y no sabe por dnd tiene q salir???? q raro es esto!!!!!!!!!

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15344
    • https://www.daboblog.com
ARP
« Respuesta #6 en: 03 de Abril de 2004, 06:08:00 pm »
pues si que es raro, buho,igual no estabas soñando hermano, de verdad

Citar
Los ARP REQUEST q envio a todos, salen en direccion a 213.37.240.*** , 213.37.241.*** , 213.37.70.*** y 213.37.71.*** ,coinciden con las ips dinámicas q me han asignado.


ahi esta la movida

ya te he contestado para la hora, a eso de las 23 de mañana te damos un barrido a ver que pasa


buho, si estas loggeado lo hacemos los dos, un saludo
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; https://twitter.com/daboblog
Instagram: @daboblog


www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.davidhernandez

Desconectado jirho

  • Member
  • ***
  • Mensajes: 303
ARP
« Respuesta #7 en: 06 de Abril de 2004, 10:49:55 pm »
Entonces si es cierto lo que dice Buho, al hacer un tracert...mando la Mac...si alguien espia podri capturala???....
[root@local_host jirho]#Conecting to underground zone...:superman:

http://www.hackeando.com/gifs/logomini.gif

Desconectado BuHo

  • Pro Member
  • ****
  • Mensajes: 733
    • La Estancia Azul
ARP
« Respuesta #8 en: 06 de Abril de 2004, 11:06:26 pm »
Si es verdad lo que digo xDD tu MAC solo viaja hasta el router al que te conectas directamente, es decir, a tu nodo de conexion.
Wake up BuHo...
Daboweb has you[/color]
Mi blog: La Estancia Azul

Desconectado Dabo

  • Administrator
  • ******
  • Mensajes: 15344
    • https://www.daboblog.com
ARP
« Respuesta #9 en: 06 de Abril de 2004, 11:07:54 pm »
no no, creo que entonces la MAC va hacia el router, no hacia fuera con lo que no lo veo probable
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; https://twitter.com/daboblog
Instagram: @daboblog


www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.davidhernandez

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License