Visite também:
Br-Linux ·
VivaOLinux ·
LinuxSecurity ·
Dicas-L ·
NoticiasLinux ·
SoftwareLivre.org ·
[mais]
29-07-2004, 11:36
|
#1 (permalink) |
 
Registrado em: Sep 2002
Posts: 42
Agradeceu: 1
Agradecido 0 vez(es) em 0 Posts
Reputação: 0  |
Ataque
Olá,
Gostaria que algéum me auxiliasse na interpretação destes resultados do tcpdump na minha eht1, que é a conexão com o AP de minha wlan, 6904 arp who-has 192.168.30.16 tell 192.168.0.1 10:20:18.974785 arp who-has 192.168.0.1 tell 192.168.2.25 10:20:18.974821 arp reply 192.168.0.1 is-at 0:8:54:1:3f:97 10:20:18.976879 arp who-has 192.168.103.77 tell 192.168.0.1 10:20:18.976884 arp who-has 192.168.205.188 tell 192.168.0.1 10:20:18.986876 arp who-has 192.168.174.129 tell 192.168.0.1 10:20:18.993812 arp who-has 192.168.189.167 tell 192.168.0.1 10:20:19.014729 arp who-has 192.168.2.27 tell 192.168.0.20 10:20:19.015862 arp who-has 192.168.191.155 tell 192.168.0.1 10:20:19.026898 arp who-has 192.168.91.215 tell 192.168.0.1 10:20:19.026908 arp who-has 192.168.137.65 tell 192.168.0.1 10:20:19.042252 arp who-has 192.168.132.161 tell 192.168.0.1 10:20:19.106899 arp who-has 192.168.154.193 tell 192.168.0.1 10:20:19.116877 arp who-has 192.168.138.2 tell 192.168.0.1 10:20:19.194793 arp who-has 192.168.218.144 tell 192.168.0.1 10:20:19.196877 arp who-has 192.168.154.42 tell 192.168.0.1 10:20:19.206876 arp who-has 192.168.62.138 tell 192.168.0.1 10:20:19.244296 arp who-has 192.168.28.35 tell 192.168.0.1 O servidor está varrendo a rede? Como evitar isso? []s Caps
__________________
Carlos Alan Peres <br />www.liaa.ch.ufpb.br |
|
|
29-07-2004, 11:57
|
#2 (permalink) |
Registrado em: Jan 2004
Posts: 451
Agradeceu: 0
Agradecido 1 vez em 1 Post
Reputação: 0   |
Ataque
isso nao eh ataque , no caso o 192.168.0.1 que deve ser o gateway de sua rede esta mandando pacotes arp para verificar se os ips liberados por vc estao conectados a ele ou nao .
|
|
|
|
29-07-2004, 15:46
|
#3 (permalink) | |
|
Registrado em: Sep 2002
Posts: 42
Agradeceu: 1
Agradecido 0 vez(es) em 0 Posts
Reputação: 0 |
Ataque
Citação:
(192.168.3.150) em <incompleto> em eth1 ? (192.168.90.121) em <incompleto> em eth1 ? (192.168.227.63) em <incompleto> em eth1 ? (192.168.179.2) em <incompleto> em eth1 ? (192.168.120.164) em <incompleto> em eth1 ? (192.168.74.178) em <incompleto> em eth1 ? (192.168.253.179) em <incompleto> em eth1 ? (192.168.115.25) em <incompleto> em eth1 ? (192.168.18.49) em <incompleto> em eth1 ? (192.168.104.75) em <incompleto> em eth1 ? (192.168.228.142) em <incompleto> em eth1 ? (192.168.138.86) em <incompleto> em eth1 ? (192.168.184.100) em <incompleto> em eth1 ? (192.168.231.169) em <incompleto> em eth1 ? (169.254.178.60) em <incompleto> em eth1 A tabela ip_conntrack atinge seu limite máximo, a mensagem, "Neighbour table overflow" repete-se na tela e a rede fica lenta. O que eu acho estranho é que isto começou a acontecer recentemente. []s Alan
__________________
Carlos Alan Peres <br />www.liaa.ch.ufpb.br |
|
|
|
|
29-07-2004, 16:21
|
#4 (permalink) |
Registrado em: Jul 2004
Posts: 17
Agradeceu: 0
Agradecido 0 vez(es) em 0 Posts
Reputação: 0 |
Ataque
arp who-has 192.168.154.193 tell 192.168.0.1
traduzindo: arp quem-tem 192.168.154.193 disse 192.168.0.1 Nunca vi algo parecido, mas tá parecendo ataque de IP-Spoofing. Uma máquina tentando forjar o IP. |
|
|
|
29-07-2004, 18:26
|
#5 (permalink) | |
 
Registrado em: Oct 2002
Idade: 27
Posts: 4,040
Agradeceu: 0
Agradecido 3 vez(es) em 3 Posts
Reputação: 0   |
Ataque
Citação:
who has = quem tem (has presente do verbo have) isso eh uma pesquisa q a camada d enlace do modelo OSI faz para atulizar a tabela ARP d enlace naum eh um ataque |
|
|
|
|
29-07-2004, 18:59
|
#6 (permalink) |
|
do kill -9 $every;
Registrado em: Jan 2004
Localização: Capital do Triângulo
Distribuição: Slackware, CentOS, Ubuntu
Posts: 3,488
Agradeceu: 13
Agradecido 291 vez(es) em 244 Posts
Reputação: 444 |
Ataque
hehehehehehe... garanto proce que eh virus em algum(s) cliente(s) seu... jah aconteceu aqui e tive que fechar a conexao do camarada ateh ele rancar o bicho da maquina dele...
faz o seguinte: #iptraf -l ethX ( X = GW do wireless) e ve quem eh o fdp do MAC que tah gerando esse trafego... ou ainda rode o iptraf e escolha <IP Traffic Monitor> escolha em seguida a ethX (GW do wireless) e veja o ip do engracadinho... eh Porta 445 ou 135 que tah sendo explorada... manda ver ae e posta o resultado aqui  pode ainda rodar: #tcpdump -ni ethX (GW wireless) | grep "445" > arquivo.log ou #tcpdump -ni ethX | grep "135" > arquivo.log
__________________
-- Sérgio Souza É impossível criar qualquer coisa a prova de imbecis - os idiotas são muito inventivos. (Lei de Murph) |
|
|
|
29-07-2004, 19:16
|
#7 (permalink) | ||
|
Registrado em: Jul 2004
Posts: 17
Agradeceu: 0
Agradecido 0 vez(es) em 0 Posts
Reputação: 0 |
Ataque
q mancada... vlw velhinho!
*EDITED* Citação:
|
||
|
|
|
30-07-2004, 03:18
|
#9 (permalink) |
|
Super Moderador
Registrado em: Jan 2003
Localização: Pará
Idade: 24
Posts: 3,082
Agradeceu: 2
Agradecido 42 vez(es) em 40 Posts
Reputação: 387 |
Ataque
arp flood
 eh interessante fazer em switches.a sua rede fica lenta porque ele nao consegue mais saber para qual MAC enviar e tem q ficar limpando e colocando na tabela de arp. bom como se repete varias voce tem que achar o engracadinho que esta ferrando voce. o jeito eh dar um olho muito "lindo" no tcpdump, usando -w para gravar no logfile e depois abrir no ethereal para ver mais facil. grave uma media de 1h de log e depois me envie, eh legal para estudo essas coisas
__________________
Better Safe Than Sorry Participe do Underlinux Wiki! http://www.under-linux.org/wiki/ |
|
|
|
30-07-2004, 23:01
|
#10 (permalink) | |
|
Registrado em: Sep 2002
Posts: 42
Agradeceu: 1
Agradecido 0 vez(es) em 0 Posts
Reputação: 0 |
Ataque
Citação:
00:21:20.986646 192.168.2.233.3974 > 65.75.149.10.http: . ack 580 win 63662 (DF) 00:21:20.987318 192.168.2.233.3974 > 65.75.149.10.http: F 381:381(0) ack 580 win 63662 (DF) 00:21:21.096427 192.168.2.37.3678 > 200.188.191.54.http: . ack 16061 win 17520 (DF) 00:21:21.100534 192.168.2.37.3681 > 200.188.191.54.http: . ack 14601 win 17520 <nop,nop,sack sack 1 {16061:17521} > (DF) 00:21:21.166637 192.168.2.233.3975 > 206.190.38.65.http: S 1176271981:1176271981(0) win 64240 <mss 1460,nop,nop,sackOK> (DF) 00:21:21.240680 192.168.2.37.3683 > 200.188.191.54.http: . ack 11681 win 17520 <nop,nop,sack sack 1 {13141:16061} > (DF) 00:21:21.328590 192.168.2.37.3683 > 200.188.191.54.http: . ack 11681 win 17520 <nop,nop,sack sack 1 {13141:17521} > (DF) 00:21:21.342592 192.168.2.233.3975 > 206.190.38.65.http: . ack 2844271471 win 64240 (DF) 00:21:21.348823 192.168.2.233.3975 > 206.190.38.65.http: . 0:1460(1460) ack 1 win 64240 (DF) 00:21:21.348899 192.168.2.233.3975 > 206.190.38.65.http: P 1460:2349(889) ack 1 win 64240 (DF) 00:21:21.418216 192.168.2.37.3682 > 200.188.191.54.http: . ack 7301 win 17520 <nop,nop,sack sack 1 {8761:10221} > (DF) 93 packets received by filter 0 packets dropped by kernel [root@pts root]# tcpdump -ni eth1 dst port 445 tcpdump: listening on eth1 00:22:28.621784 192.168.1.165.4468 > 211.50.101.168.microsoft-ds: R 2454042708:2454042708(0) win 0 1 packets received by filter 0 packets dropped by kernel [size=18px][/size] rodei com dst 445, e aparece este ip. Depois ele parou de aparecer. []s Alan
__________________
Carlos Alan Peres <br />www.liaa.ch.ufpb.br |
|
|
|
 |
| Ferramentas do Tópico | |
|
|
Tópicos Similares
|
||||
| Tópico | Tópico Iniciado Por | Fórum | Respostas | Última Mensagem |
| ataque DOS e vulnerabilidade de 802.11 | LEE337 | Wireless | 1 | 09-10-2006 08:26 |
| Ataque por wordlist | WhiteTiger | Proxy/NAT/Firewall | 13 | 19-06-2005 11:17 |
| Ataque SSH | guiga07 | Proxy/NAT/Firewall | 7 | 28-04-2005 07:03 |
| Ataque de scan no SSH | Aquini | Segurança | 38 | 10-02-2005 11:35 |
| Tipo de Ataque | ynsor | Segurança | 4 | 21-10-2004 14:35 |
Horários baseados na GMT -3. Agora são 01:45.
Powered by vBulletin®
Copyright ©2000 - 2008, Jelsoft Enterprises Ltd.
Copyright ©2000 - 2008, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0 ©2008, Crawlability, Inc.
| Divulgue |
|
