ho uno spoofatore e non riesco a liberarmene!

[Pelino]

ciao a tutti,
vi incollo il log del mio firewall (fisico, integrato nel router).
non ne posso piu' dei tentativi di spoofing, tanto piu' che non riesco a capire se sono o meno vulnerabile.

----------------------
2004/10/03 14:43:49 : unknown message
2004/10/03 14:43:46 : unknown message
2004/10/03 14:43:36 : Assign 192.168.1.6 to the client(cid is "1:0x000ae6af0861:192.168.1.0") till "Mon Oct 4 14:43:36 2
2004/10/03 14:43:25 : Receive DHCPDECLINE, but can't find binding for such client
2004/10/03 14:43:25 : arp info overwritten for c0a80105 by d2:c1:f5:2c:e3:d6
2004/10/03 14:43:25 : arp info overwritten for c0a80105 by 00:0a:e6:af:08:61
2004/10/03 13:05:27 : unknown message
2004/10/03 13:05:24 : unknown message
2004/10/03 12:52:55 : unknown message
2004/10/03 12:52:52 : unknown message
2004/10/03 12:52:44 : unknown message
2004/10/03 12:52:41 : unknown message
2004/10/03 12:52:29 : Assign 192.168.1.5 to the client(cid is "1:0xd2c1f52ce3d6:192.168.1.0") till "Mon Oct 4 12:52:29 2
2004/10/03 12:36:21 : Assign 192.168.1.4 to the client(cid is "1:0x000039e5658a:192.168.1.0") till "Mon Oct 4 12:36:21 2
2004/10/03 12:36:19 : DHCPREQUEST(from cid:"1:0x000039e5658a:192.168.1.0", ciaddr:192.168.1.6): it isn't available
2004/10/03 11:12:14 : **IP Spoofing** from 192.168.1.34
2004/10/03 10:59:13 : unknown message
2004/10/03 10:59:10 : unknown message
2004/10/03 09:39:31 : SNTPC: Syncronize system time to Sun Oct 3 09:39:31 2004
1970/01/01 00:02:10 : SNTPC: Trying to get time from server1970/01/01 00:00:40 : Secondary DNS address 151.xx.xxx.x
1970/01/01 00:00:40 : Primary DNS address 217.xxx.xxx.xxx
1970/01/01 00:00:40 : Netmask 0.0.0.0
1970/01/01 00:00:40 : remote IP address 192.168.100.1
1970/01/01 00:00:40 : local IP address 82.xx.xxx.xx
1970/01/01 00:00:40 : ipcp: up
1970/01/01 00:00:39 : local IP address 82.xx.xxx.xx
1970/01/01 00:00:39 : ipcp: returning Configure-ACK
1970/01/01 00:00:39 : (ACK)
1970/01/01 00:00:39 : (192.168.100.1)
1970/01/01 00:00:39 : ipcp: received ADDR
1970/01/01 00:00:27 : unknown message
1970/01/01 00:00:24 : unknown message
1970/01/01 00:00:00 : pppOE: serviceName =
1970/01/01 00:00:00 : pppOE: ac_name =
1970/01/01 00:00:00 : pppOE: password = **********
1970/01/01 00:00:00 : pppOE: username = xxxxxxxxxxxx
1970/01/01 00:00:00 : pppOE: Daemon Start at pppoe0
1970/01/01 00:00:00 : Firmware v.1.01.0114 2003.10.22

che posso fare?

[Pelino]

nessuno?

[fivendra]

se è segnato sul router, di solito significa che il firewall integrato ha bloccato il tentativo d'accesso

[Pelino]

si, ma mi da fastidio averlo li giorno dopo giorno che ci prova :P

[nik600]

eh...non ci puoi fare molto! anzi ... niente!

prendi l'ip e denuncialo...se proprio non lo sopporti!

[Habanero]

da quanti host è composta la rete?
dai log non riesci in qualche modo a determinate il MAC della scheda di rete incriminata?

[Pelino]

Eccomi, grazie per le risposte!

la rete e' composta da 3 pc, 2 notebook e un fisso.
il log che vi ho mostrato e' l'unico che ho, non riesco a capire su quale delle tre schede cercano di spoofare
l'ip che vedo e' solo quello fittizio , non ho idea se posso vedere l'ip dello spoofatore :P

[Habanero]

scusa ma i tre pc sono tutti sotto il tuo controllo?
lo spoofing avviene dall'interno della tua rete?

prova a leggere il manuale del tuo FW per cercare di capire a quale situazione si riferisca l'alert nei log.

[Pelino]

i pc sono sotto il mio controllo,
il manuale del mio router e' scarno (e' un mentor economicissimo) :I

[Habanero]

ah! io ipotizzavo uno spoofing dalla rete interna...