Re: Ether-Adresse und IP-Adresse

["E. Kuch" <fannetcom gmx de>]

Howha Frank, Liste,

Mir kommt da grad' ne nette Idee:

>Wenn du keine IP hast, also nur die MAC-Adresse, dann wirds haarig.
>Du kannst versuchen, mittel "snmpwalk" die ARP-Caches der Router im

Ich hab' davon doch schon was gelesen... *gruebel*

>aus einem Router diesen ARP-Cache ausliest und in ein Textfile
>speichert.

Sehr schoen.

>Das Problem ist, das ARP-Caches (egal ob von Routern oder Maschinen)
>meist innerhalb weniger Sekunden (Minuten) veralten und dann die
>Einträge rausgekickt werden.

Hmm, ich geh' mal von 'ner stehenden Verbindung aus.

>Wenn die Maschine also nicht wirklich dauernd aktiv ist (=alle paar
>Sekunden ein Paket über den von dir angezapften Router schickt), dann
>hast ziemlich verloren...

S. O. aber mit Veraenderungen.

>Du mußt ebenfalls den Router anzapfen, hinter dessen Interfaces die
>Maschine steht, da nur dort noch die MAC des Endgerätes auftritt...

Die Router dazwischen haben nur die MAC des letzten Routers, oder?

>Wenn du also absolut keine Ahnung hast, wo sich im Internet (Subnetz)
>die Maschine befindet, hast wenig Chancen...ansonsten könntest du mit
>viel Mühe die Kiste wiederfinden...

hmmm... (gruebel)

Also ich nehm' jetzt mal an, jemand beschiesst mich mit 'nem
gespooften ICMP-Flood.

Es tauchen andauernd verschiedenste IPs im IDS-Log auf.

Ich will ein Script, dass mir den "echten" Weg der IPs zeigt, die
gespooften bringen mir ja nix.

Also les' ich erst mal meinen ARP-Cache nach den IPs aus.
Die Packete muessten ja dann erst mal die MAC von meinem Router haben, oder?
Wenn dass so ist, geht's weiter:
Jetzt lese ich den ARP-Cache meines Routers aus, vergleiche die Source-IPs,
und hab' dann die MAC des naechsten Routers.
Dort das Spiel wieder von vorne.

Und jetzt wird's schoen:
Das ganze soll noch wie z.B. Visual-Route den Weg grafisch auf 'ner
Landkarte zurueckzeigen.

Wie im Film:
Kommissar:
"Halten sie ihn am sprechen! Er darf nicht auflegen! Gleich haben wir ihn!"
Lockvogel ins Telefon:
"Nein, sie brauchen das nicht tun, alles wird wieder gut. Erzaehlen sie mir
doch erst mal was sie so aufgeregt hat."
Kommissar:
"Wir haben ihn! Hamburg! Terroristenstrasse 23! Telefonzelle!
Zuschlagen!"

Selbst, wenn man den Angreifer nicht vollstaendig zurueckverfolgen koennte,
koennte man wenigstens die ungefaehre Richtung (z.B. Israel) sehen. Und fuer
den Angriffszeitraum z.B. Israel sperren.

Traeum ich, oder waer sowas vorstellbar?

Cheerio,
Eric

--
c:\winnt> secure_nt.exe
  Securing NT.  Insert Linux boot disk to continue......