Página 2 de 4 PrimeiroPrimeiro 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. hehehehehehe... garanto proce que eh virus em algum(s) cliente(s) seu... jah aconteceu aqui e tive que fechar a conexao do camarada ateh ele rancar o bicho da maquina dele...
    faz o seguinte:
    #iptraf -l ethX ( X = GW do wireless) e ve quem eh o fdp do MAC que tah gerando esse trafego... ou ainda rode o iptraf e escolha <IP Traffic Monitor> escolha em seguida a ethX (GW do wireless) e veja o ip do engracadinho... eh Porta 445 ou 135 que tah sendo explorada... manda ver ae e posta o resultado aqui

    pode ainda rodar:
    #tcpdump -ni ethX (GW wireless) | grep "445" > arquivo.log ou
    #tcpdump -ni ethX | grep "135" > arquivo.log

  2. #7
    Bruno_Freitas
    q mancada... vlw velhinho!

    *EDITED*

    Citação Postado originalmente por demiurgo
    Citação Postado originalmente por Bruno_Freitas
    arp who-has 192.168.154.193 tell 192.168.0.1

    traduzindo:

    arp quem-tinha 192.168.154.193 dissel 192.168.0.1

    Nunca vi algo parecido, mas tá parecendo ataque de IP-Spoofing. Uma máquina tentando forjar o IP.
    correcao bruno:

    who has = quem tem (has presente do verbo have)

    isso eh uma pesquisa q a camada d enlace do modelo OSI faz para atulizar a tabela ARP d enlace

    naum eh um ataque



  3. po, tranquilo bruno

    []'s

  4. arp flood eh interessante fazer em switches.

    a sua rede fica lenta porque ele nao consegue mais saber para qual MAC enviar e tem q ficar limpando e colocando na tabela de arp.

    bom como se repete varias voce tem que achar o engracadinho que esta ferrando voce. o jeito eh dar um olho muito "lindo" no tcpdump, usando -w para gravar no logfile e depois abrir no ethereal para ver mais facil.


    grave uma media de 1h de log e depois me envie, eh legal para estudo essas coisas



  5. Citação Postado originalmente por SerAntSou
    hehehehehehe... garanto proce que eh virus em algum(s) cliente(s) seu... jah aconteceu aqui e tive que fechar a conexao do camarada ateh ele rancar o bicho da maquina dele...
    faz o seguinte:
    #iptraf -l ethX ( X = GW do wireless) e ve quem eh o fdp do MAC que tah gerando esse trafego... ou ainda rode o iptraf e escolha <IP Traffic Monitor> escolha em seguida a ethX (GW do wireless) e veja o ip do engracadinho... eh Porta 445 ou 135 que tah sendo explorada... manda ver ae e posta o resultado aqui

    pode ainda rodar:
    #tcpdump -ni ethX (GW wireless) | grep "445" > arquivo.log ou
    #tcpdump -ni ethX | grep "135" > arquivo.log
    Olá,

    00:21:20.986646 192.168.2.233.3974 > 65.75.149.10.http: . ack 580 win 63662 (DF)
    00:21:20.987318 192.168.2.233.3974 > 65.75.149.10.http: F 381:381(0) ack 580 win 63662 (DF)
    00:21:21.096427 192.168.2.37.3678 > 200.188.191.54.http: . ack 16061 win 17520 (DF)
    00:21:21.100534 192.168.2.37.3681 > 200.188.191.54.http: . ack 14601 win 17520 <nop,nop,sack sack 1 {16061:17521} > (DF)
    00:21:21.166637 192.168.2.233.3975 > 206.190.38.65.http: S 1176271981:1176271981(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
    00:21:21.240680 192.168.2.37.3683 > 200.188.191.54.http: . ack 11681 win 17520 <nop,nop,sack sack 1 {13141:16061} > (DF)
    00:21:21.328590 192.168.2.37.3683 > 200.188.191.54.http: . ack 11681 win 17520 <nop,nop,sack sack 1 {13141:17521} > (DF)
    00:21:21.342592 192.168.2.233.3975 > 206.190.38.65.http: . ack 2844271471 win 64240 (DF)
    00:21:21.348823 192.168.2.233.3975 > 206.190.38.65.http: . 0:1460(1460) ack 1 win 64240 (DF)
    00:21:21.348899 192.168.2.233.3975 > 206.190.38.65.http: P 1460:2349(889) ack 1 win 64240 (DF)
    00:21:21.418216 192.168.2.37.3682 > 200.188.191.54.http: . ack 7301 win 17520 <nop,nop,sack sack 1 {8761:10221} > (DF)

    93 packets received by filter
    0 packets dropped by kernel
    [root@pts root]# tcpdump -ni eth1 dst port 445
    tcpdump: listening on eth1
    00:22:28.621784 192.168.1.165.4468 > 211.50.101.168.microsoft-ds: R 2454042708:2454042708(0) win 0

    1 packets received by filter
    0 packets dropped by kernel
    [size=18px][/size]

    rodei com dst 445, e aparece este ip. Depois ele parou de aparecer.

    []s
    Alan






Tópicos Similares

  1. Revidando uma tentativa de ataque !!!
    Por peen-gween no fórum Servidores de Rede
    Respostas: 1
    Último Post: 16-07-2003, 11:25
  2. Respostas: 2
    Último Post: 12-06-2003, 21:21
  3. inserir o mesmo ip na rede - ataque interno
    Por darthv no fórum Segurança
    Respostas: 8
    Último Post: 16-03-2003, 12:26
  4. inserir o mesmo ip na rede - ataque interno
    Por darthv no fórum Segurança
    Respostas: 1
    Último Post: 05-03-2003, 02:31
  5. detecção de ataques
    Por 1c3m4n no fórum Segurança
    Respostas: 0
    Último Post: 27-09-2002, 08:24

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L