[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Settembre 2006 ml@sikurezza.org Soggetto: [ml] strana attività arp Mittente: Alessandro R. Data: Fri, 1 Sep 2006 16:47:27 +0200 (CEST)
Ciao a tutti,
volevo porvi un quisito, magari qui trovo risposta ai miei dubbi. Questo pomeriggio mi chiama il mio fornitore di servizi Internet per dirmi che su un ip che non à stato assegnato alla mia azienda risponde una mia macchina.
Controllo prontamente per verificare e noto che per condurre alcuni test, alcuni mesi prima era stato impostato su una delle interfacce di rete del server lo stesso ip notificato; tuttavia la scheda di rete configurata con quell'ip non era collegata a nulla e in stato di down.
Lo stesso fornitore di servizi, una volta risolto il problema, mi ha accusato di condurre attività di sniffing poichà su i suoi firewall ha notato una strana attività arp.
Io ho cercato di darmi una spiegazione scientifica, visto che non à stata condotta nessuna attività dolosa e il server non sembra essere stato compromesso.
La spiegazione che mi sono dato à la seguente:
portato in datacenter un nuovo server il mio fornitore ha impostato l'ip in questione (che chaimeremo 1.1.1.2) sulla suddetta macchina. La mia scheda di rete attiva (1.1.1.5) ha incominciato a rispondere con il suo MAC ADDRESS allo switch creando un po' di caos a livello arp. Tale caos à stato preso dal mio fornitore di servizio come un tentativo di arp poisoning o sniffing.
Puà essere?
Ogni suggerimento à ben accetto.
Grazie a tutti.
-- Alessandro
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005