Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: el_dr_smoke en 02 de Abril de 2004, 02:31:18 pm
-
Haciendo capturas con Ethereal tras encender el Modem aparecen un huevo de paketes de Broadcast a cientos de Ips del tipo "who has "213.73..... ?" para averiguar su Mac.
No tngo el pc conectado en Lan y uso Xp.
Xq puede pasar esto?? salu2
-
hola amigo, me alegro de que te hayas vuelto a registrar (creo que te pillo la caida no??)
no lo entiendo bien, me dices que no estas conectado a una Lan no??
supongo que tendras la tarjeta en modo promiscuo y que estara esnifando todo el trafico que pasa por ahi e incluso igual al estar tu tarjeta asi esten intentando hasta hacer un envenenamiento ARP a tu cache, ya sabes que uno de los ataques ARP se basa en enviar paquetes broadcast , cientos, para inundar de peticiones a toda la red adyacente pero hay algo que no me cuadra, no se, necesitaria mas datos o darte un escaneo, si estas por la noche te doy un vistazo a ver que veo
lo muevo al de hacking ok????
saludos y rebienvenido amigo :!:
-
tienes razon, stuve aki registrado hace bastante tiempo!!!
A ver t comento, el ethereal no lo tnia en modo promiscuo, como no tngo Lan ni lo he usado remotamente no le veia utlidad a lo de promiscuo.
Si hay algun tipo d atake ARP q manda Broadcast a ips adyacentes me da q lo tngo, desd mi pc se produce cada vez q enciendo el modem. Es un gusano???? Bueno lo dejo en tus manos xq no se d dnd ha salido ni como ha entrado ni como erradicarlo. Ese scanneo q dices me vendria muy bien !!!
desd dentro he scaneado con NOD32 , Kaspersky , PespPatrol y nada de nada.
keria poner una regla en el cortafuegos mientras lo soluciono pero no s puede o no veo nada sobre ARP asi q he prohibido a todas las ips adyacentes en todos los protocolos .
salu2 y gracias!
-
bueno, entonces creo que sera otra cosa, mira, si te parece bien, quedamos a una hora y te escaneo desde fuera a ver lo que puedo ver, ahora ando fatal de tiempo pero me mandas un MP (mensaje privado) y te doy un vistazo ok???
bueno no es, te contare amigo
un abrazo :!:
-
Creo (y digo creo porque estuve buscando en manuales y no lo encontre :x ) haber leido que en una conexion de internet, aunque tu MAC no llegue al destino, si va al siguiente router.
Explico mi hipótesis (a ver si la encuentro y la puedo confirmar... si no, diré que lo he soñado).
Al conectarnos, como ya sabemos, nuestros "paquetes" no van directamente al host destino, sino que pasan por varios "encaminadores" que sí se comunican directamente, es decir, que al hacer un "traceroute" hasta un destino tendriamos una salida:
host_origen ---> host_destino
host1 ...
host2 ...
host3 ....
....
....
host_destino
Bueno, pues los routers contiguos, si que se pasan una direccion MAC. Creo que lei que cuando un router recibe un paquete, mira su MAC, la borra y pone la suya, (y mas pasos) y lo reenvia. Y el siguiente hace lo mismo.
Así, si esto que te digo fuera cierto y no un sueño (que tengo muchas dudas), tu ordenador podría estar mandando "ARP requests" a todoel rango de tus posibles nodos de salida, para ver cual es el que tiene que usar.
No se la IP a la que manda solicitudes ARP pero puedes compararla con tu nodo de salida. Es decir, cuando captures paquetes, te apuntas el rango al que "ARPea" xD, y luego haces un tracert (si usas windows) o traceroute (si usas linux) a cualquier pagina (google siempre funciona xD) y si el primer nodo, o uno de los 3 primeros estan en ese rango... puede que todo el rollo que te he soltado no sea un sueño.... o puede que si :roll:
Ataques con ARP si... ARP spoffing, envenenamiento de la cache de ARP, y se basan en floodeo de paquetes... pero eso sí se suele hacer en LANs mal configuradas, en internet nunca lo he visto precisamente por lo que te cuento arriba, que entre dos hosts remotos ARP no interviene.
-
Aki os dejo el tracert completo a google.
Traza a la dirección www.google.akadns.net [216.239.59.104]
sobre un máximo de 30 saltos:
1 6 ms 11 ms 5 ms 10.45.0.1
2 6 ms 6 ms 14 ms 10.45.211.1
3 16 ms 5 ms 5 ms 49-108-100-62.libre.auna.net [62.100.108.49]
4 8 ms 10 ms 9 ms 226-108-100-62.libre.auna.net [62.100.108.226]
5 6 ms 7 ms 7 ms lambdanet-2.espanix.net [193.149.1.163]
6 8 ms 7 ms 8 ms M-1-pos121.es.lambdanet.net [217.71.103.1]
7 49 ms 46 ms 46 ms F-8-eth100-0.de.lambdanet.net [217.71.105.110]
8 49 ms 50 ms 49 ms Google-F.de.lambdanet.net [217.71.111.38]
9 78 ms 79 ms 77 ms 216.239.48.146
10 78 ms 79 ms 81 ms 64.233.174.50
11 79 ms 78 ms 79 ms 216.239.49.117
12 77 ms 79 ms 77 ms 216.239.59.104
Los ARP REQUEST q envio a todos, salen en direccion a 213.37.240.*** , 213.37.241.*** , 213.37.70.*** y 213.37.71.*** ,coinciden con las ips dinámicas q me han asignado.
cuando kerais os paso la captura del ethereal .
salu2 y gracias!!
mi pc se cree una Lan y no sabe por dnd tiene q salir???? q raro es esto!!!!!!!!!
-
pues si que es raro, buho,igual no estabas soñando hermano, de verdad
Los ARP REQUEST q envio a todos, salen en direccion a 213.37.240.*** , 213.37.241.*** , 213.37.70.*** y 213.37.71.*** ,coinciden con las ips dinámicas q me han asignado.
ahi esta la movida
ya te he contestado para la hora, a eso de las 23 de mañana te damos un barrido a ver que pasa
buho, si estas loggeado lo hacemos los dos, un saludo
-
Entonces si es cierto lo que dice Buho, al hacer un tracert...mando la Mac...si alguien espia podri capturala???....
-
Si es verdad lo que digo xDD tu MAC solo viaja hasta el router al que te conectas directamente, es decir, a tu nodo de conexion.
-
no no, creo que entonces la MAC va hacia el router, no hacia fuera con lo que no lo veo probable