[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Settembre 2002 ml@sikurezza.org Soggetto: Re: ARP Poisoning Mittente: Igor Falcomata' Data: 2 Sep 2002 01:16:25 -0000
ovviamente questo solo se sei su una porta di monitor dello switch, oppure stanno arppoisonando te, oppure stai dumpando sulla macchina che stanno poisonando.. altrimenti questo traffico non lo vedi, essendo (generalmente) unicast. bye Koba (moderatore) --- Enclosed, please find the posted message. From: embyte <embyte<at>madlab.it> Subject: Re: ARP Poisoning Date: Sun, 1 Sep 2002 03:16:26 +0200 ~ Quali metodi si possono usare per capire se qualche utente utilizza ~ questa tecnica? Dando una occhiata al traffico che sta passando sulla rete. Se vedi una cosa del genere e ripetitiva ti potresti insospettire: 03:14:02.639754 arp reply 192.168.1.5 is-at 0:40:d0:1e:26:f4 03:14:04.649763 arp reply 192.168.1.5 is-at 0:40:d0:1e:26:f4 03:14:06.659775 arp reply 192.168.1.5 is-at 0:40:d0:1e:26:f4 03:14:08.669772 arp reply 192.168.1.5 is-at 0:40:d0:1e:26:f4 Se ti ? possibile controlla il vero MAC address dell'host in questione (192.168.1.5), se sono differenti ? facile che ci sia un arp-poisoning in atto dal PC col MAC address indicato (0:40:d0:1e:26:f4). Per risolvere il problema ti consiglio delle tabelle arp statiche (arp -s) se la rete non ? troppo grande. Ciao, embyte -- UIN: 48790142 && MAILTO: embyte<at>madlab.it || embyte<at>bglug.it It took the computing power of three C-64s to fly to the Moon. It takes a 486 to run Windows 95. Something is wrong here. ----- End forwarded message ----- ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005