Hallo!
Wie kann man denn in einem Netzwerk (Class C) DNS und MAC spoofing von bestimmten Rechnern erkennen?

Mein Problem ist das ich in einem Netzwerk EINEN Linux Rechner habe, der auch checken soll ob die eigene IP/MAC gespoofed wird.

Gibts da schon tools (arpwatch?!) oder muss ich mir da selber was basteln?

Gruss Mario

das wär höchst interessant :)

Wie schützt man sich davor ????

Gruß Temp

i glaub des wird schwer.... da is keine Sicherungsschicht vorhanden....

Naja, man kann die ARP Tabelle nicht dynamisch machen sondern so das sie nicht verändert werden darf... d.h. keiner könnte spoofen... aber in nem großen Netzwerk geht das einfach net ....

Gruß Temp

Original geschrieben von Spiekey
Gibts da schon tools (arpwatch?!) oder muss ich mir da selber was basteln?


checke einfach, ob pakete mit der eigenen ip und/oder MAC über das LAN-interface reinkommen. das passiert nur, wenn jemand deine MAC und/oder IP verwendet.

-j

Oder notiere Dir alle gültigen IP - MAC Kombinationen im ganzen Netz.
Dann loggst Du alle Pakete bei denen IP nicht zu MAC passt...

Könnte mir vorstellen das potentielle Angreifer nur eins von beiden ändern...

mfg
cane

cane
jo das is es - wenn man nur diese IP - MAC kombi zulässt dann ists gesichert aber wie macht man das ? :)

Hmm gute Frage...
Mit den Iptables kann man sowohl die IP als auch die MAC sniffen.

Kann man in das Iptables Script vielleicht eine

if MAC in macfile.txt and IP in IPfile.txt
accept
else deny

Vom Prinzip her meine ich...

Realisiere muß das ein anderer - ist nicht so ganz mein Metier...

cu
cane

iptables -A INPUT -i eth0 -p tcp -s 192.168.1.1 -m mac --mac-source 00:11:22:33:44:55:66 -j Accept

iptables -A INPUT -i eth0 -p tcp -J DROP

so müsste es nur möglich sein mit der IP und der MAC addi auf diesen rechner zuzugreifen.... das war theoretisch... is es auch praktisch richtig ????

Gruß TEmp

The arpwatch package contains arpwatch and arpsnmp. Arpwatch and
arpsnmp are both network monitoring tools. Both utilities monitor
Ethernet or FDDI network traffic and build databases of Ethernet/IP
address pairs, and can report certain changes via email.



grad drübergestolpert ... vielleicht bringts was ...

Gruß Temp

jo arpwatch meldet dir wenn es neue ip's / mac's gefunden hat... ist also das ideale tool um neue pc's im netz ausfindig zu machen..

einfacher ist es für deinen bestimmten fall den kernel parameter log_martians auf 1 (on) zu setzen. der meckert dann sofort wenn jemand mit deiner ip adresse versucht irgendeine ip kommunikation mit deiner kiste zu betreiben...

sysctl -w net.ipv4.conf.all.log_martians = 1

das thema hatte mich auch letztens beschäftigt
das problem ist einfach, dass jmd. sich deine IP erschleichen kann, z. bsp., wenn ein dhcp-server im einsatz ist, oder indem er einfach deine IP statisch einträgt und die MAC spoofed - first come, first served führt dann dazu, dass er unter deiner "identität" im netz spass machen kann

lösungsansätze:

- auf den switches im netzwerk an den ports feste MAC´s eintragen (sehr aufwendig, wenn großes netz), sodass, wenn eine andere, als die am switch freigeschaltene mac ankommt, diese sofort geblockt wird

- protokolle 801.x/802.1x bieten authentication mechanismen zur prüfung der identität des users [1] - nachteil: user meist nicht bereit, solche ("umständlichen") mechanismen zu akzeptieren

dns-spoofing:
wäre hier nicht der erste schritt "reverse-dns-lookups"?

greez


[1]
http://www.sans.org/rr/papers/6/123.pdf