# Problema di rete molto serio

## arturo.digioia

Ciao a tutti,

sono disperato per un serissimo problema di rete. L'amministratore di rete della mia facolta' mi ha appena riferito che da una quindicina di giorni il mio PC cambia MAC address (da quello vero a 00:00:00:00:00:00). Questo succede per pochi secondi/minuti e poi tutto torna normale.

Considero la mia macchina 'ragionevolmente' sicura. Non ho un firewall settato, pero' ho bloccato tutte le connessioni tranne quelle a ssh da un numero limitato di indirizzi tramite hosts.allow e hosts.deny . Inoltre tengo la macchina aggiornata (emerge sync && emerge -u system ogni 2-3 giorni, emerge -u world ogni settimanella, con qualche ritardo solo per i pacchetti grosssi come KDE). La macchina e' in rete interna.

D'altra parte qualcosa che non va c'e' di sicuro (era gia' successo una volta sola circa sei mesi fa, poi piu' nulla fino a pochi giorni fa).

Non posso pretendere che i responsabili del centro di calcolo si occupino dei miei problemi di configurazione, d'altra parte se i problemi si verificano ancora rischio di essere tagliato dalla rete e, peggio ancora, di essere sospettato di essere l'artefice di attivita' illecite. L'alternativa, se non trovo il problema, e' quella di abbandonare Gentoo almeno temporaneamente, e la cosa proprio non mi piace.

Qualcuno ha qualche suggerimento? Come se non bastasse, anche i miei log di sistema sono incasinati. Ci sono i log di oggi e di ieri, ma nei file gzippati che dovrebbero contenere i log dei giorni scorsi ci sono log che risalgono a marzo, probabilmente ho configurato male sysklogd e vcron e non me ne sono mai accorto).

Qualsiasi tipo di aiuto e' ben accetto.

Grazie,

Arturo

----------

## fatez

Ciao,

guarda il mac address è un indirizzo unico della scheda di rete e non può essere cambiato ( tranne con l'ausilio di  alcuni tools ma si parla di hacking estremo).

Quindi secondo me le cose sono 2 : o la tua scheda di rete ti sta abbandonando, o qualcuno è entrato nella tua macchina e sta provando a forzare il mac address che cmq settandolo a 0 non ottiene nulla.

Fammi sapere e , come ripeto, queste sono solo ipotesi.

Ciao e a presto.

----------

## blacksword

prova a spuffare il mac address, così nn dovresti avere più problemi però sta attento a mettere un mac corretto che non interferisca con altre schede di rete della tua rete interna, se è un problema della scheda di rete vai tranquillo che in questo modo te ne accorgi. Se invece la rete interna ha un server dhcp attivo vai dall'amministratore di rete e chiedi un controllo sulla mappatura degli ip e dei mac(sempre che gli ip e i mac siano mappati)

----------

## arturo.digioia

A quanto ho visto esistono programmi fatti apposta per il MAC spoofing (ex: macchanger, e' un pacchetto masked).

Quindi credo che volendo non sia cosi' difficile cambiare il MAC address. Anche io concordo che con un MAC errato non si possa fare molto (a meno che non si intenda ingannare il server DHCP, nel qual caso immagino serva per lo meno usare il MAC di un altro computer registrato). Il fatto e' che io non ho mai nemmeno lontanamente sognato di fare cose del genere.

I casi sono quindi due:

- Qualcuno sta facendo porcate dalla mia macchina;

- C'e' un serio problema sw/hw da qualche parte, e siccome io sono l'anello debole della catena non posso fare a meno di pensare che qualcosa sia andato storto nella configurazione della mia Gentoo box (che so, magari un etc-update fatto con leggerezza).

Il fatto e' che l'unica cosa che ho fatto per la configurazione di rete e'

rc-update add net.eth0 default (se non ricordo male il comando)

e il mio file /etc/conf.d/net contiene la singola riga decommentata

iface_eth0="dhcp"

Puo' essere che una errata configurazione del kernel possa interferire con la comunicazione del MAC address al server DHCP?

Provero' a parlare con il centro di calcolo chiedendo di poter provare una scheda di rete differente (sarei felice di sapere che si tratta di un problema hw).

----------

## arturo.digioia

Spoofare volontariamente il MAC address: per ora non ci penso nemmeno. Come dicevo il problema piu' grosso e' che sono su una rete di facolta', e, a meno che i responsabili non siano d'accordo mi rifiuto di toccare la configurazione cosi' a basso livello.

Comunque parlero' con i responsabili di rete per vedere se riesco ad avere una mano senza disturbarli troppo (immagino abbiano problemi piu' importanti).

Grazie comunque del consiglio.

Intanto ho emerso nuovamente baselayout, pam, net-tools e shadow, e ho cambiato la password di root. Non so se serve, ma male non fa.

----------

## arturo.digioia

Update:

ho appena saputo dal mio amministratore di rete alcuni dettagli del problema.

Il fatto e' che a quanto pare il mio PC emette dei 'frame di livello 2' con indirizzo IP della mia macchina e MAC address 00:00:00:00:00:00

A quanto ho capito questo non dovrebbe succedere perche' ad occuparsi del livello 2 dovrebbe essere la scheda di rete e non il SO (ne so meno di zero sull'argomento, sto solo cercando di riportare quello che ho capito).

Qualche idea?

----------

## Peach

 *arturo.digioia wrote:*   

> ...
> 
> Qualche idea?

 

cambiare scheda di rete ? che monti su al momento?

----------

## blacksword

nn saprei, la scheda di rete è caricata come modulo? Cmq prova a disabilitare l'avvio automatico della scheda di rete , prova ad attivarla manualmente e a fare un dhcpclient. Ad una mia amica è successa la stessa cosa e ha dovuto installare i driver della scheda di rete però era sotto winzoz, nn so se la stessa cosa vale per te.

----------

## fedeliallalinea

Se veramente hai aperto solo la porta 22 (cioe' ssh) dubito che qualcuno dall'esterno sia entrato nel tuo pc. Che modulo carichi per la tua scheda di rete? Posta quello che ti esce eseguendo il comando

```
# lspci
```

Se non hai questo comando fai "emerge pciutils".

----------

## arturo.digioia

lspci:

02:0c.0 Ethernet controller: 3Com Corporation 3c905C-TX/TX-M [Tornado] (rev 78)

ho compilato il supporto nel kernel (driver 3Com 3c590/3c900 series).

Intanto da root ho lanciato

nohup tcpdump ether src 00:00:00:00:00:00 and src 192.168.202.156&

che dovrebbe girare in background e scrivere in /root/nohup eventuali pacchetti passanti per la mia macchina con indirizzo e MAC specificati.

Per backsword:

Avvio manuale: cosa intendi? Non sono pratico, finche' si tratta di fare

/etc/init.d/net.eth0 start/stop/restart

ci arrivo.

Intendi lanciare al shell i comandi contenuti in /etc/init.d/net.eth0?

Grazie ancora per l'aiuto

----------

## solka

rc-update del net.eth0 default

/etc/init.d/net.eth0 start

intende questo  :Very Happy: 

----------

## blacksword

No, a dir la verità intendevo dire:

ifconfig ethX up(dove x indica il numero della scheda si rete)

dhcpclient(che inoltra la richiesta dhcp al server)

----------

## arturo.digioia

Non sono sicuro sia un problema di DHCP.

Per ora ho messo soto controllo il traffico che risponde al mio indirizzo e al MAC address inesistente con tcpdump, e ho aggiunto al crontab

* *  * * *      root    date >> /root/logmac && /sbin/ifconfig eth0 | head -1 >> /root/logmac

per farmi dare il log ad ogni minuto del MAC address.

Vediamo se succede qualcosa.

Sono d'accordo con il netadmin in modo che la mia macchina venga automaticamente esclusa dalla rete al primo segnale sospetto. Spero in questo modo di beccare il problema.

Grazie di tutti i suggerimenti.

----------

## HexDEF6

 *arturo.digioia wrote:*   

> 
> 
> Grazie di tutti i suggerimenti.

 

Scusa se mi intrometto, ma siccome sei di Trento, fai l'universita, e sai usare un computer, vuol dire che gire dalle parti di Povo???

Ciao e scusate ancora per l'OT

----------

## arturo.digioia

OT: Mesiano (DIMS).

----------

## HexDEF6

 *arturo.digioia wrote:*   

> OT: Mesiano (DIMS).

 

Azz ho sbagliato di poco!

Ciao!

----------

## paolo

00:00:00:00:00:00 non è un MAC valido.

In teoria non dovrebbe funzionare.

La cosa è molto strana... sono proprio curioso di sapere da dove deriva questo problema.

ByEZz,

Paolo

----------

## leon_73

 *fatez wrote:*   

> ...hacking estremo

 

ABSTRACT

Come, utilizzando il "segretissimo" comando ifconfig, ti cambio il MAC della mia scheda in 3 abili mosse  :Shocked: 

 *fatez wrote:*   

> Ciao,
> 
> guarda il mac address è un indirizzo unico della scheda di rete e non può essere cambiato ( tranne con l'ausilio di  alcuni tools ma si parla di hacking estremo).
> 
> 

 

ESECUZIONE

reflections# ifconfig eth0

eth0 Link encap:10Mbps Ethernet HWaddr 00:A0:24:81:A7:44

reflections# ifconfig eth0 down

reflections# ifconfig eth0 hw ether 00:A0:24:81:A7:45

reflections# ifconfig eth0

eth0 Link encap:10Mbps Ethernet HWaddr 00:A0:24:81:A7:45

TATAAAANNN!!!

 :Razz: 

 *fatez wrote:*   

> 
> 
> Quindi secondo me le cose sono 2 : o la tua scheda di rete ti sta abbandonando, o qualcuno è entrato nella tua macchina e sta provando a forzare il mac address che cmq settandolo a 0 non ottiene nulla.
> 
> 

 

Per le motivazione del comportamento anomalo della tua scheda invece non ti so dire... javascript:emoticon(' :Crying or Very sad: ')

Leo

----------

## arturo.digioia

Intanto sto tenendo sotto controllo la cosa. Quando capiro' cosa succede vi informero'.

Grazie.

----------

## fedeliallalinea

 *leon_73 wrote:*   

> reflections# ifconfig eth0
> 
> eth0 Link encap:10Mbps Ethernet HWaddr 00:A0:24:81:A7:44
> 
> reflections# ifconfig eth0 down
> ...

 

Proprio quello che mi serve a scuola visto che assegnano un ip con relativo mac e se si collega un altro PC con una scheda di rete differente non funziona (mac diverso). Almeno spero che cosi funzioni.

Grazie

----------

## leon_73

 *fedeliallalinea wrote:*   

> 
> 
> Proprio quello che mi serve a scuola visto che assegnano un ip con relativo mac e se si collega un altro PC con una scheda di rete differente non funziona (mac diverso). Almeno spero che cosi funzioni.
> 
> Grazie

 

Non ho postato un gran segreto, ma mi raccomando per l'utilizzo  :Wink: 

Leo

----------

## fedeliallalinea

 *leon_73 wrote:*   

> Non ho postato un gran segreto, ma mi raccomando per l'utilizzo 

 

Non voglio abusarne e' che mi rompo se quando porto un pc da casa mia mi tocca togliere ogni volta la scheda di quello di scuola. Non voglio far nessun abuso.

----------

## shev

 *leon_73 wrote:*   

> 
> 
> Non ho postato un gran segreto, ma mi raccomando per l'utilizzo 

 

Tra l'altro consiglio di dare un'occhiata a "ip"  (fa parte del pacchetto iproute), l'erede di ifconfig/route e dei vecchi comandi di questo genere. E' indubbiamente molto versatile, potente e e comodo. Potrebbe sostituire i suoi predecessori, quindi dare un'occhiata alla pagina di man non può far male  :Wink: 

----------

## arturo.digioia

Per fedeliallalinea:

se nella rete di ateneo assegnano un IP ad un MAC specifico un motivo c'e'. E' proprio quello di evitare che vengano collegati PC non registrati alla rete. Ne deduco quindi che se un qualsiasi responsabile di rete si accorge che qualcuno sta spoofando un MAC address non vorrei essere la persona beccata a farlo. In fin dei conti questo thread e' partito proprio dal fatto che, pur senza aver fatto volontariamente niente di male, corro il rischio di essere accusato di MAC spoofing.

Puo' sembrare una reazione esagerata, ma e' comprensibile da parte di chi gestisce una rete con decine (centinaia) di PC collegati e davanti a comportamenti strani e' tenuto prima di tutto a salvaguardare la rete.

Pensaci bene prima di fare un MAC spoofing, e poniti almeno queste due domande:

1) Sono sicuro al 100% che nessuno se ne accorga?

2) Nel caso se ne accorgesse qualcuno, cosa succederebbe?

Il fatto che l'accoppiata IP-MAC non sia un meccanismo di autenticazione sicuro non da diritto ad aggirarlo (almeno, nella rete di cui faccio parte si rischia, secondo me giustamente, il deretano).

Forse sono troppo catastrofico, ma ti chiedo almeno di pensarci su.

----------

## fedeliallalinea

 *arturo.digioia wrote:*   

> 1) Sono sicuro al 100% che nessuno se ne accorga?

 

Non c'e' mai la certezza al 100% che nessuno se ne accorga. Ma dubito che si accorgano di questa cosa visto quello che fanno altri.

 *arturo.digioia wrote:*   

> 2) Nel caso se ne accorgesse qualcuno, cosa succederebbe?

 

Niente come sempre nella mia scuola.

Non e' che faccio qualcosa di diverso che cambiare fisicamente la scheda di rete quindi non vedo il problema. 

Cmq visto la tua preoccupazione in primo luogo mi scuso e poi provero' a farlo sulla mia rete interna.

----------

## arturo.digioia

Per fedeliallalinea:

Non intendevo essere bacchettone, vorrei solo mettere in guardia.

Il fatto e' che in mezzo al 99% di utenti che diffondono virus grazie alle loro macchine non patchate e piene di spyware, nel mio ambiente sono uno dei pochi che cerca di mantenere in ordine la propria macchina e di insegnare a chi ha intorno l'importanza di una politica di sicurezza (anche solo limitata all'aggiornamento di Windows e antivirus, all'uso di Eudora al posto di Outlook Express e alla diffidenza di fronte ai programmi scaricati da Internet). 

Ritrovarmi sospettato di essere un malintenzionato che gioca con la rete di ateneo mi ha fatto cadere le braccia (la cosa piu' paradossale e' stato spiegare ai miei amici che in fin dei conti il comportamento dell'amministratore di rete e' giusto, visto il suo ruolo, e che se fossi veramente responsabile di MAC spoofing la cosa sarebbe grave). 

Per questo vorrei mettere in guardia dal fare cose del genere, anche se le intenzioni sono oneste. La mia non voleva essere una censura tout court.

Forse sto andando troppo OT.

----------

## fedeliallalinea

[code="arturo.digioia"]Non intendevo essere bacchettone, vorrei solo mettere in guardia. [/code]

Non ho pensato assolutamente che volevi essere bacchettone e rispetto la tua opinione sul fatto della sicurezza. Voglio solo dire che non ho nessuna intenzione "malvagia" ma solo di curiosta', quindi come gia' detto lo faro' a casa mia.

----------

## cerri

CMQ:

 *man ifconfig wrote:*   

>        hw class address
> 
>               Set the hardware address of this interface, if the device driver
> 
>               supports  this  operation.

 

----------

## paolo

 *leon_73 wrote:*   

> (cut cut cut)
> 
> ...
> 
> reflections# ifconfig eth0
> ...

 

Però in questo modo la scheda entra in modalità promiscua.

ByEZz,

Paolo

----------

## cerri

 *paolo wrote:*   

> Però in questo modo la scheda entra in modalità promiscua.

 

???

----------

## paolo

Cioè la scheda si mette e "leggere" tutto il traffico e non solo quello destinato a lei.

Un admin che vede sulla propria rete una scheda in promiscuous mode non è proprio felice...

ByEZz,

Paolo

----------

## cerri

So cos'e' il promiscuos, ma non capisco perche' cambiando HW address la scheda entra in tale modalita'.

----------

## paolo

Perchè il cambio di hw address è fatto via software, non hardware.

ByEZz,

Paolo

----------

## shev

Aggiungo una breve spiegazione (liberamente ispirata da un post letto tempo fa su una delle ML che seguo) sul cambio del mac address (eventuali imprecisioni sono inevitabili, vado a memoria  :Razz: ):

le moderne schede ethernet sono dotate di tre registri più un boolean. I primi due registri indicano rispettivamente l'indirizzo reale della scheda e quello definito dall'utente. Il terzo indica l'indirizzo mac utilizzato. Il boolean semplicemente indica quale dei primi due registri è caricato nel terzo.

Ora, sia il boolean che il secondo registro possono essere impostati via software, in linux appunto tramite una funzione di sistema utilizzata da ifconfig (non ricordo con esattezza quale, cmq potete verificare facilmente da voi).

----------

## akiross

Ciao

scusate la mia intrusione che non sara' certamente utile alla discussione, pero' leggendo il 3d mi sono incuriosito...

Per prima cosa, volevo chiedervi un chiarimento su cola volesse dire MAC Sproofing, dato che non so cosa voglia dire sproofing.

E perche' non e' una cosa molte lecita?

Poi non so nemmeno cos'e' il MAC, ma sto tirando avanti ad intuito. Sto cercando su internet per capire bene cose'.

Mi scuso ancora per il disturbo

ringrazio per eventuali chiarimenti

ciao

----------

## shev

 *akiross wrote:*   

> 
> 
> Per prima cosa, volevo chiedervi un chiarimento su cola volesse dire MAC Sproofing, dato che non so cosa voglia dire sproofing.

 

Spoofing, senza la r  :Very Happy: 

Cmq in breve lo spoofing consiste nell'ingannare qualcuno facendogli credere che siamo ciò non siamo. In pratica ci si traveste da qualcun'altro per poter accedere/usufruire di un servizio del quale non possiamo legittimamente servici.

Per MAC address si intende l'indirizzo fisico della propria scheda di rete, di solito indicato da una cifra di 48 bit (6 cifre esadecimali) nel formato colon: 1a:34:65:0c:54:6e. Solitamente è un numero fisso scritto nell'hardware stesso e univoco a livello mondiale. Come avrai letto nei messaggi precedenti a volte è possibile cambiarne il valore, indicandone uno a piacimento.

Unisci i due concetti ed avrai il "MAC spoofing".

 *Quote:*   

> E perche' non e' una cosa molte lecita?

 

Da quanto detto sopra mi pare evidente. Accanto all'aspetto più normale e comodo di una cosa c'è sempre infatti quello meno etico e regolare...

 *Quote:*   

> Poi non so nemmeno cos'e' il MAC, ma sto tirando avanti ad intuito. Sto cercando su internet per capire bene cose'.
> 
> 

 

Bhe, si parla di MAC Address qui, nulla di complesso. Sono stato volutamente sintetico e generale (sorvolando su vari dettagli o precisazioni), visto che cmq su internet trovi quintali di roba a riguardo, credimi, ed è inutile riscrivere la storia ogni volta (aka pigrizia  :Razz:  )

----------

## akiross

Spoofing

Spoofing

Spoofing

senza r   :Laughing: 

bhe che dire... grazie  :Smile: 

sai, posso tirare avanti intuendo le cose, e magari ci capo gli anni con queste convinzioni... ma avere delle certezze e' molto meglio  :Smile: 

cmq se ne avro' l'occazione faro' un po di ricerche...

grazie ancora

ciao

----------

## cerri

Continuo a non capire il motivo del promiscuos...   :Rolling Eyes: 

----------

## paolo

La maggior parte delle schede di rete ha il MAC non modificabile.

In queste schede il cambio di MAC lo "fa" il kernel mettendo la scheda in modalità promiscuos per leggere i frame destinati al nuovo MAC address i quali altrimenti sarebbero scartati dalla scheda di rete poiché non combacianti con il proprio MAC.

ByEZz,

Paolo

----------

## cerri

Ma sei sicuro che lo faccia in automatico?

Tempo fa lessi che per le sk che non supportavano il cambio di mac (es: 3com 3c509) andavano settate in prom, ma che ifconfig non lo faceva.

In sostanza, succedeva che i pacchetti venivano generati con il mac corretto, ma la sk ignorava i pacchetti destinati a quel mac (a meno che non fosse settata in prom, appunto).

Se ifconfig lo fa ora in automatico, ho imparato una cosa nuova  :Smile: 

----------

## paolo

No, non ne sono certo e non riesco a trovare dove l'avevo letto    :Exclamation: 

E non riesco a trovare roba simile...

E l'argomento mi interessa molto...

Quindi inizio con un bookmark su Savannah dal quale inizierò pian piano a vedere come vanno le cose   :Wink: 

Poi vi farò il riassunto   :Cool: 

ByEZz,

Paolo

----------

