Re: Ether-Adresse und IP-Adresse

[SPATZ1 t-online de (Frank Schneider)]

Hallo...

"E. Kuch" wrote:
> 
> Howha Frank, Liste,
> 
> Mir kommt da grad' ne nette Idee:
> 
> >Wenn du keine IP hast, also nur die MAC-Adresse, dann wirds haarig.
> >Du kannst versuchen, mittel "snmpwalk" die ARP-Caches der Router im
> 
> Ich hab' davon doch schon was gelesen... *gruebel*
> 
> >aus einem Router diesen ARP-Cache ausliest und in ein Textfile
> >speichert.
> 
> Sehr schoen.

Vorraussetzung:
Der Router gibt die Info her, d.h. du kannst mit dem SNMP-String
(Community)
"public" (der Default) diese Info abziehen.
Man kann diese Community-Strings aber natürlich auch ändern, dann
bekommst nix...
 
> >Das Problem ist, das ARP-Caches (egal ob von Routern oder Maschinen)
> >meist innerhalb weniger Sekunden (Minuten) veralten und dann die
> >Einträge rausgekickt werden.
> 
> Hmm, ich geh' mal von 'ner stehenden Verbindung aus.

Mußt du. Vergangene Verbindungen kannst nicht tracen, die ARP-Caches
werden im Sekundenabstand geleert...
 
> >Du mußt ebenfalls den Router anzapfen, hinter dessen Interfaces die
> >Maschine steht, da nur dort noch die MAC des Endgerätes auftritt...
> 
> Die Router dazwischen haben nur die MAC des letzten Routers, oder?

Richtig, wobei es da auch wieder Probleme geben kann, Stichwort
Verfügbarkeiten 
oder Redundante Links, OSPF-Protokoll, etc.
Es muß nicht sein, das deine jetzigen Pakete nach www.girls.de den exakt
selben
Weg nehmen wie die vor einer Stunde/Woche, etc...

> >Wenn du also absolut keine Ahnung hast, wo sich im Internet (Subnetz)
> >die Maschine befindet, hast wenig Chancen...ansonsten könntest du mit
> >viel Mühe die Kiste wiederfinden...
> 
> hmmm... (gruebel)
> 
> Also ich nehm' jetzt mal an, jemand beschiesst mich mit 'nem
> gespooften ICMP-Flood.
> 
> Es tauchen andauernd verschiedenste IPs im IDS-Log auf.

Hört sich nach "distributed attack" an....
 
> Ich will ein Script, dass mir den "echten" Weg der IPs zeigt, die
> gespooften bringen mir ja nix.
> 
> Also les' ich erst mal meinen ARP-Cache nach den IPs aus.
> Die Packete muessten ja dann erst mal die MAC von meinem Router haben, oder?

Richtig, das ist dein ISDN/Modem-Zugangsrouter...wie es allerdings mit
MAC-Adressen auf PPP-Links aussieht, weiß ich nicht...kann gut sein, das
die PPP-Verbindung gar keine MACs hat und damit eine
endgültige Suche daran scheitert, weil die gestohlene Maschine über PPP
dranhängt....

> Wenn dass so ist, geht's weiter:
> Jetzt lese ich den ARP-Cache meines Routers aus, vergleiche die Source-IPs,
> und hab' dann die MAC des naechsten Routers.
> Dort das Spiel wieder von vorne.

Richtig...
 
> Und jetzt wird's schoen:
> Das ganze soll noch wie z.B. Visual-Route den Weg grafisch auf 'ner
> Landkarte zurueckzeigen.

Nicht unmöglich, aber ne Heidenarbeit...probier das mal mit nem Kumpel,
wenn ihr beide über denselben Provider Online seid....es mag geht, macht
aber Probleme...
 
> Wie im Film:
> Kommissar:
> "Halten sie ihn am sprechen! Er darf nicht auflegen! Gleich haben wir ihn!"
> Lockvogel ins Telefon:
> "Nein, sie brauchen das nicht tun, alles wird wieder gut. Erzaehlen sie mir
> doch erst mal was sie so aufgeregt hat."
> Kommissar:
> "Wir haben ihn! Hamburg! Terroristenstrasse 23! Telefonzelle!
> Zuschlagen!"

Falscher Film:
Man schaue sich den James Bond "Golden Eye" an, da gehts genau um das
Thema...auch halbwegs realistisch dargestellt...
Starte Spike...
 
> Selbst, wenn man den Angreifer nicht vollstaendig zurueckverfolgen koennte,
> koennte man wenigstens die ungefaehre Richtung (z.B. Israel) sehen. Und fuer
> den Angriffszeitraum z.B. Israel sperren.
> 
> Traeum ich, oder waer sowas vorstellbar?

Das mit dem finden ist vermutlich kein Traum, das mit dem Sperren wohl
schon, hihi...

Solong..
mfg Frank.

-- 
Frank Schneider, <spatz1 t-online de>
Microsoft isn't the answer.
Microsoft is the question, and the answer is NO.
...-.-