Zkoušel jsem problém vyřešit jak bylo popsáno ve zmíněném topicu, ale kámen úrazu pro mě byl IP rozsah lokální sítě nemám ponětí kde ten rozsah najdu.
Takže by mě zajímalo jestli můžu aplikovat stejnej postup a taktéž jak zjistím IP rozsah lokální sítě.
Vypněte firewall v ESET Smart Security a spusťte program Wireshark.
Z horního menu zvolte "Capture" a následně "Interfaces" a klikněte dvakrát na řádek příslušné síťové karty.
V okně "Edit Interface Settings" vyplňte do pole "Captured Filter:" "arp" (bez uvozovek) a potvrďte kliknutím na "OK".
Ve spodní části "Stop Capture..." zaškrtněte druhou položku a vyplňte hodnotu 100 a ponechte megabyte(s). Zaškrtněte ještě třetí položku, napište hodnotu 3 a zvolte hour(s).
Následně klikněte na "Start". Teď bude zachytávána veškerá arp komunikace a bude se ukládat do logu. Po 3 hodinách (pc při tom normálně používejte) nebo po dosažení velikosti logu 100MB bude zachytávání automaticky ukončeno. Poté zavřete Wireshark a log nahrajte na náš FTP server a napište mi pouze název souboru.
omlouvám se, asi jsem přehlédnul notifikační email.
K problému. Bohužel IP adresa 192.168.1.66 se v logu nenachází. Podle logu je ale často posílána GARP request (žádost) ze zařízení Apple. Na tento request ale není odpověď, protože je posílán na všechny MAC adresy ale svojí vlastní IP. Jedná se o speciální paket, který se používá pouze v několika případech (konflikty IP, aktualizace ARP tabulky, ...). Záleží tedy, proč zařízení Apple tuto žádost pravidelně odesílá.
Len tak, jednoducha logika. Nemoze byt problem s pridelenim rovnakej IP manualne ? Je tam nejake zariadenie, co dostalo rovnaku IP. Alebo sa pouziva DHCP server, co prideluje adresy. Jednu IP si niekto nastavil manualne, druhu pridal DHCP server automaticky a je konfklikt.
Alebo - zariadenie je suspenduje a pamata si svoju IP adresu. Po nejakej dobe DHCP server uvolni adresu ako volnu, priradi ju inemu zariadeniu. Potom staci pripojit to povodne zariadenie k sieti bez restartu a moze byt konflikt.
Alebo tiez moznost - niekto sa snazi o falosny pristup na internet a naklonoval IP a pripadne aj MAC adresu. Co sa zda skor pravdpodobnejsie, pretoze utok ARP Cache poisoning by zodpovedal falosne priradenej MAC adrese. Pri zhodnej IP a zhodnej MAC adrese sa nevypise vo vacsine konflikt na sieti, takze pravdepodobnost niekoho, kto sa snazi pouzit rovnake nastavenia pre pristup na net, je celkom velka.
V tom pripade, ak to vyhlasuje by sa to dalo otestovat. Zmenit IP a zmenit aj MAC adresu a skusit PINGnut danu IP /ak bude odpovedat/. Pripadne si preverit zabezpecenie na domacej sieti ak sa jedna o Wifi, alebo je moznost, ze cez kabel sa niekto napaja /deti, sused atd/.
Čínske príslovie: Víno pi z pohára, vedomosti z veľkej čaše.---Hebbel: Často je treba väčšej odvahy k tomu, svoj názor zmeniť, než za ním pevne stáť.---Konfucius: Mudrc hľadá všetko v sebe, nerozumný človek všetko v druhom.---Edison: Nie je múdry ten, kto veľa vie, ale ten, kto vie, čo je treba.---Plutarchus: Nepotrebujem priateľa, ktorý prikyvuje na všetko, čo poviem. Môj tieň sa kýve častejšie.---Wang Čchung: Ak sa začneš učiť, poznáš, ako málo vieš. Ak začneš učiť iných, poznáš, aké je to ťažké poslanie.--- Michelangelo: Dokonalosť spočíva v maličkostiach, cez to všetko, nie je dokonalosť maličkosťou.---Seneca: Rozumný je ten, kto skôr premýšľa, než uverí.---O.Wilde: Starci všetkému veria. Muži o všetkom pochybujú. Mladí všetko vedia.---Konfucius: Dobrý liek chutí horko, dobrá rada drása dušu.
ale podle logu k duplicitě IP adres nedochází. Pouze zařízení Apple odesílá žádosti a aktualizaci ARP tabulky do celé sítě. Tzn., v prvé řadě bych se zaměřil na toto zařízení. Pokud toto zařízení není "validním členem" lokální sítě, pak zjistit jeho majitele.
Podle všeho se ale v tomto případě opravdu jedná o falešný polach.
Pokial je rovnaka IP a rovnaka MAC adresa, to som skusal simulovat, tak vobec to nehadze konflikt IP. Obe adresy mozu normalne fungovat a tvaria sa ako ta ista. To by odpovedalo ARP cache poisoning utoku. Potom aj v logu by mohla komunikacia byt z rovnakej IP a rovnakej MAC vzdialeneho PC, lenze i tam by bol asi problem rozoznat, ktora je ktora.
Riesenim je zmeni IP a zmenit MAC adresu a potom filtrovat.
Čínske príslovie: Víno pi z pohára, vedomosti z veľkej čaše.---Hebbel: Často je treba väčšej odvahy k tomu, svoj názor zmeniť, než za ním pevne stáť.---Konfucius: Mudrc hľadá všetko v sebe, nerozumný človek všetko v druhom.---Edison: Nie je múdry ten, kto veľa vie, ale ten, kto vie, čo je treba.---Plutarchus: Nepotrebujem priateľa, ktorý prikyvuje na všetko, čo poviem. Môj tieň sa kýve častejšie.---Wang Čchung: Ak sa začneš učiť, poznáš, ako málo vieš. Ak začneš učiť iných, poznáš, aké je to ťažké poslanie.--- Michelangelo: Dokonalosť spočíva v maličkostiach, cez to všetko, nie je dokonalosť maličkosťou.---Seneca: Rozumný je ten, kto skôr premýšľa, než uverí.---O.Wilde: Starci všetkému veria. Muži o všetkom pochybujú. Mladí všetko vedia.---Konfucius: Dobrý liek chutí horko, dobrá rada drása dušu.
Přispějete na provoz fóra?