Se qualcuno bombarda la rete di pacchetti ARP

[FreeManX]

Ciao,
c'e' uno nella mia rete che su 1000 paccheti generati (cattuarati con ethereal) 995 sono suoi e di tipo ARP.

Secondo voi che cosa sta combinando?

bye

[Habanero]

riesci a vedere che tipo di richieste sono? Quali IP, quali MAC? Sempre uguali?

Avete uno switch? Non è che cerca di fare un flooding delle voci ARP nella tabella dello switch in modo da saturarla e far si che lo switch vada in fail open? In questo caso lo switch potrebbe comportarsi da hub e permettere quindi lo sniffing in modalità promiscua....

Se sono stato troppo criptico fammi sapere!

[FreeManX]

Originariamente inviato da Habanero
riesci a vedere che tipo di richieste sono? Quali IP, quali MAC? Sempre uguali?

Avete uno switch? Non è che cerca di fare un flooding delle voci ARP nella tabella dello switch in modo da saturarla e far si che lo switch vada in fail open? In questo caso lo switch potrebbe comportarsi da hub e permettere quindi lo sniffing in modalità promiscua....

Se sono stato troppo criptico fammi sapere!

Non del tutto criptico.... cosa intendi per flooding e sniffing in modalita promiscua???

Le info date da Ethereal sono del tipo:
"Who is xxx.xxx.xxx.xxx Tell xxx.xxx.xxx.xxx" Dove Tell e sempre lo stesso indirizzo, invece who li scandisce tutti!

Si la rete ha degli switch.

Inoltre questo tipo aveva tentato di attacarmi, o almeno penso dato che Il filewall lo ha bloccato dandomi come informazioni "(qlacosa) RPC buffer overflow (qualcosaltro)"

[Habanero]

un hub è un ripetitore. Quando arriva un pacchetto su una delle sue porte semplicemente lo copia su tutte le altre uscite. E' poi compito di ogni PC presente sulle uscite decidere se il pacchetto è destinato a lui, nel qual caso viene letto, oppure ad un altro, e in questo caso viene scartato. Ponenedo la scheda di rete in modalità promiscua è possibile leggere tutti i pacchetti anche quelli non destinati a noi.

Uno switch invece possiede una tabella interna di associazioni MAC-porta di uscita. Se una prima volta vede che dalla porta X arriva un MAC Y allora memorizza questa associazione. Se sucessivamente da una porta Z arriva un pacchetto per il MAC Y allora lo switch inoltra il pacchetto solo sulla porta X e non su tutte le altre. In questo modo si guadagna in banda sulla rete e in privacy. La modalità promiscua in questo caso servirebbe a poco.

Dato che la tabella delle associazioni ha dimensione finita è possibile che questa si saturi. Se cio' avviene è possibile o che lo Switch vada in fail open cioè si comporti da hub (broadcast su tutte le porte con conseguente possibilità di sniffing) oppure in fail close cioè chiude tutte le sue porte e non è possibile nessun tipo di collegamento.

Dal tipo di pacchetti ARP però non mi sembra sia uno di questi casi...

Qui trovi ulteriori info sullo sniffing in rete lan

http://www.sikurezza.org/webbit02/At...nceOverLan.pdf
http://www.packetwatch.net/documents...r2sniffing.pdf

Per quanto riguarda l'RPC buffer overflow è una grossa vulnerabilità dei sistemi windows 2000/xp/2003 che permette l'esecuzione di codice remoto. La vulnerabilità viene usata anche da numerosi virus tra cui il famoso Blaster.
Qui il bollettino e la patch:
http://www.microsoft.com/technet/sec.../MS03-039.mspx


Tu sei l'amministraore della rete? La rete è molto grande? Che tipo di rete è? Nel caso, un richiamo verbale puo' essere più che sufficiente a fargli passare la voglia di fare il furbo....

[FreeManX]

Holla
cmq non sono messo cosi male so cosa e un hub, switch e come funzioanone, quello che non so e come un "pir*a" possa fare quello che fa

No non sono io l'amministratore, ma sono quello a cui (e non penso l'unico) sia arrivato un attaco di quello sopracitato!

Siccome per principio mi stanno sul caise quelli che fanno queste cose.. sto raccogliendo dati dap resentare all'amministratore!

bye