Re: Mal ein paar LOG-Sachen: SYN-Flood und Kernel-Murks

[SPATZ1 t-online de (Frank Schneider)]

"E. Kuch" wrote:
> 
> Howha Frank,
> 
> >> BTW: Da diese IP aber warscheinlich gespooft ist, waere jetzt so ein
> >> Proggie fuer den ARP-Cache, das ich derletzt mal angesprochen hab sehr
> nuetzlich.
> 
> >Ich spinn mal bisschen rum:
> >Gesetzt den Fall, du bist dauerhaft im Inet (direkt), hast also nen
> >Class-C-Netz oder so (teilst es dir mit andren).
> >Wenn du dann dort "arpwatch" laufen läßt, bzw. "cheops" bemühst,
> >solltest du alle in dieses Netz gehenden Router rausbekommen.
> >Macht jetzt einer SYN oder sowas, bekommst du über deinen ARP-Cache die
> >MAC des Routers, der dir
> >den Schrott reinhaut und könntest deinen ISP bitten, da mal dichzumachen
> >(oder selber blocken, wenn man diesen Router unter Kontrolle hat).
> 
> Sowas hatte ich gemeint.
> 
> >Über traceroute bekommst du den letzten Router vor dem Typ raus.
> >Dann dessen Arp-Cache auslesen, und du hast die "wahre" MAC, also
> >passend zur (evtl. gespooften) IP.
> >Mit dieser MAC kannst du dann aber wenig anfangen, da die IP ja gespooft
> >ist.
> 
> Ich hatte das allerdings nicht mit Traceroute gemeint. Die gespoofte IP
> ist mir da ziemlich wurscht. Ich meinte den Arp-Cache auslesen nach der mac,
> die die gespoofte Adresse schickte. Also den Weg zurueckverfolgen.
> Erst den Cache meines Routers, dann dort die mac des vorigen auslesen usw...

Wieso dieses ?
Bzw, wo ist der Unterschied/Vorteil zu traceroute, außer das es
komplexer ist ?
 
Um die MAC rauszubekommen gibts angeblich auch nen Tool (netcraft oder
so ähnlich),
das dann direkt den dortigen TCP/IP-Stack anlabert (eine Art RARP
vermutlich).
Weiß aber nicht, ob das auch über Router hinweg arbeitet, ich denke mal
nicht...

Solong..
mfg Frank.

-- 
Frank Schneider, <spatz1 t-online de>
Microsoft isn't the answer.
Microsoft is the question, and the answer is NO.
...-.-