tabela ARP

[hanaga]

Colegas,

Alguns dias ja' tenho notado que IP's estranhos tem aparecido na tabela "arp" do meu servidor.

Rodo o snort aqui ele nao registra nada de anormal....me parece que algum espertinho esta rodando algo tipo um scan na rede toda...

Quando eu rodo o comando "arp"...aparece o seguinte:

10.0.178.159 (incomplete) eth1
10.0.178.96 (incomplete) eth1
10.0.178.68 (incomplete) eth1
10.0.178.41 (incomplete) eth1
10.0.177.241 (incomplete) eth1
10.0.177.213 (incomplete) eth1
10.0.177.184 (incomplete) eth1
10.0.177.156 (incomplete) eth1
10.0.177.99 (incomplete) eth1
10.0.177.71 (incomplete) eth1
10.0.177.42 (incomplete) eth1
10.0.176.240 (incomplete) eth1
10.0.176.212 (incomplete) eth1
10.0.176.185 (incomplete) eth1
10.0.176.157 (incomplete) eth1
10.0.176.98 (incomplete) eth1
10.0.176.70 (incomplete) eth1

Este e' um exemplo...porque sao ip's que na verdade nao pertecem a minha rede...

Alguem tem alguma dica de como posso descobrir de onde vem esses IPs ??

Obrigado pela ajuda,

Abracos,

Tiago

[pilantrox]

fera,, mas esses ips são ips inválidos ,,mascarados ,,, provavelmente deve ser da sua rede interna ,,,,,,,,,,,se sua rede for wireless talvez algum
espertinho tentando scaniar seu server.
eth1 é sua rede interna ou eh a placa ligada a internet????

Colegas,

Alguns dias ja' tenho notado que IP's estranhos tem aparecido na tabela "arp" do meu servidor.

Rodo o snort aqui ele nao registra nada de anormal....me parece que algum espertinho esta rodando algo tipo um scan na rede toda...

Quando eu rodo o comando "arp"...aparece o seguinte:

10.0.178.159 (incomplete) eth1
10.0.178.96 (incomplete) eth1
10.0.178.68 (incomplete) eth1
10.0.178.41 (incomplete) eth1
10.0.177.241 (incomplete) eth1
10.0.177.213 (incomplete) eth1
10.0.177.184 (incomplete) eth1
10.0.177.156 (incomplete) eth1
10.0.177.99 (incomplete) eth1
10.0.177.71 (incomplete) eth1
10.0.177.42 (incomplete) eth1
10.0.176.240 (incomplete) eth1
10.0.176.212 (incomplete) eth1
10.0.176.185 (incomplete) eth1
10.0.176.157 (incomplete) eth1
10.0.176.98 (incomplete) eth1
10.0.176.70 (incomplete) eth1

Este e' um exemplo...porque sao ip's que na verdade nao pertecem a minha rede...

Alguem tem alguma dica de como posso descobrir de onde vem esses IPs ??

Obrigado pela ajuda,

Abracos,

Tiago

[sadirj]

fera,, mas esses ips são ips inválidos ,,mascarados ,,, provavelmente deve ser da sua rede interna ,,,,,,,,,,,se sua rede for wireless talvez algum
espertinho tentando scaniar seu server.
eth1 é sua rede interna ou eh a placa ligada a internet????

Colegas,

Alguns dias ja' tenho notado que IP's estranhos tem aparecido na tabela "arp" do meu servidor.

Rodo o snort aqui ele nao registra nada de anormal....me parece que algum espertinho esta rodando algo tipo um scan na rede toda...

Quando eu rodo o comando "arp"...aparece o seguinte:

10.0.178.159 (incomplete) eth1
10.0.178.96 (incomplete) eth1
10.0.178.68 (incomplete) eth1
10.0.178.41 (incomplete) eth1
10.0.177.241 (incomplete) eth1
10.0.177.213 (incomplete) eth1
10.0.177.184 (incomplete) eth1
10.0.177.156 (incomplete) eth1
10.0.177.99 (incomplete) eth1
10.0.177.71 (incomplete) eth1
10.0.177.42 (incomplete) eth1
10.0.176.240 (incomplete) eth1
10.0.176.212 (incomplete) eth1
10.0.176.185 (incomplete) eth1
10.0.176.157 (incomplete) eth1
10.0.176.98 (incomplete) eth1
10.0.176.70 (incomplete) eth1

Este e' um exemplo...porque sao ip's que na verdade nao pertecem a minha rede...

Alguem tem alguma dica de como posso descobrir de onde vem esses IPs ??

Obrigado pela ajuda,

Abracos,

Tiago

Cara, isso acontece dirteto aqui no provedor... Fatalmente é alguma máquina da sua rede interna (algum cliente) que está infectada com algum trojam e está fazendo isso. Para vc descobrir qual máquina está originando e se o snort não está ajudando muito, tire um tempo para monitorar o tráfego visualmente, com algum software tipo o iptraf e veja quem está fazendo o ataque. Se for uma máquina de cliente seu, ela aparecerá com um monte de SYN. Ajuda de vez em sempre monitorar a rede visualmente... eu acho. :?

Abraços.

[haas]

o PPPoE faz isso...