Zaraduum 10 Geschrieben 23. März 2005 Melden Teilen Geschrieben 23. März 2005 Seit kurzem bekomme ich viertelstündlich eine Meldung unserer Firewall, dass ein IP-Spoofer hier im Netz sein Unwesen treibt. Ich hab keine Ahnung wo der ist. Klingt komisch, ist aber so. Normalerweise kriege in der Meldung noch eine MAC-Adresse. Bei dieser lautet die MAC-Adresse 00.00.00.00.00.00. Die IP ist aus einem privaten Adressbereich (192.168.x.x), unser LAN ist ein 10er Netz. Wir haben ein paar VPN-Clients, die sich aus dem 192er Bereich in unser Netz verbinden, aber auf Anfrage existiert dort kein Host mit der besagten IP. Wie kann ich diesen Spoofer endlich aufspüren und eliminieren. Vielen Dank im Voraus. Zitieren Link zu diesem Kommentar
dongel 10 Geschrieben 24. März 2005 Melden Teilen Geschrieben 24. März 2005 Hallo, da ich selber keine Ahnung habe , wie man am Besten in einem solche Falle vorgeht, war mir auch unklar, daher hab ich das mal an eine andere spezielle Mailingliste weitergereicht. Ich kopier dir hier mal den Response und du kannst ja mal schauen, ob du damit was anfangen kannst. Wär gut, wenn du mal auf die Sachen unten antworten könntest: 1:) One way is to start disconnecting lan segments to limit it geographically. Then lan drops. Or, if your network switch(s) has smarts (management), it can make it much easier by telling you the port the rouge is connected to. 2:) Follow the traffic: watch on which interface you see the incomming traffic, than hop from device to device and do the same until you find the switchport where the attacker is connected. 3:) is that inside the fw or outside .. if it is outside, the fw rules is doing what it supposed to be doing, denying non-routable ip# if its inside your lan .. - count the number of machines on your network - find out what ip# is assigned to each machine - if you have wireless, disconnect it - if you have vpn from home .. disconnect it - if you have dhcp ... disconnect it and see if the "spoofer" still shows up - with wireless, dhcp and vpn, you have zero control of what the other users have done with their network at home or anywhere and the attacker would have free access inside your corp lan thru their home networks - look for a black van outside your office or on the mountain top 4:) Since the MAC addy is all 00 - is there anything on your network that you know of that is in PtP mode? Either someone is doing it purposely , which I find less likely as it won't do anyone any good except as a DoS, to have a src MAC of 00 on a LAN segment. Do you have a linux machine? if so arping the IP# and see if you get a reply with a real mac addy. Or find a windows tool to send an arp request. mit internettem Gruß dongle Zitieren Link zu diesem Kommentar
Zaraduum 10 Geschrieben 24. März 2005 Autor Melden Teilen Geschrieben 24. März 2005 Danke, was für´n Service :-) Nach Ostern werde ich Gelegenheit haben, was auszuprobieren. Also, frohes Fest Zitieren Link zu diesem Kommentar
dongel 10 Geschrieben 24. März 2005 Melden Teilen Geschrieben 24. März 2005 Is halt ein Thema das mich interessiert, wär also sehr nett von dir, wenn du dann beschreiben könntest was und wie du vorgegangen bist um den Spoofer zu identifizieren und womit du erfolgreich bist. danke und mit internettem Gruß dongle Zitieren Link zu diesem Kommentar
Zaraduum 10 Geschrieben 14. April 2005 Autor Melden Teilen Geschrieben 14. April 2005 Also das war ja einfach. Es ist ein Host aus einem VPN-Netz, der sich hier aufmotzt. Nachdem wir den Tunnel abgeschaltet haben, war der Spoofer auch verschwunden. Jetzt warte ich auf eine Antwort vom dortigen Admin, was die Ursache war. Ich habe mir so etwas schon gedacht, nachdem ich hier nicht fündig wurde. Nochmals danke für die Anleitung, copy!! Sers Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.