# beccare un deficiente in una rete

## djinnZ

Stamattina stavo lavorando presso un cliente quando qualcuno nella sua rete ha preso possesso di uno dei due indirizzi ip che mi sono stati assegnati (che tra le tante cose può connettersi direttamente ad internet).

Il cosiddetto amministratore di rete ha verificato con ping (risparmiatemi i commenti) e mi ha liquidato (e non so se lo ha fatto per idiozia o perché era proprio lui a scocciare) dicendo che sarà capitato per errore.

Vorrei trovare un modo per lasciare il mio portatile a guardia del computer dove lavoro e localizzarlo o fargli qualcosa che gli faccia capire che non è il caso di fare ancora lo spiritoso. Ovviamente niente di illegale o che possa compromettere la sicurezza della rete o intasarla.

Il livello è molto inferiore allo script kiddie medio ma non si sa mai.

Già che mi trovo, mi chiedo, a titolo di curiosità se esiste un modo per localizzare fisicamente un computer connesso a scrocco ad una rete e quanto potrebbe costare se è necessario hw dedicato.

----------

## Peach

ehm... che tipo di rete?

per la wifi, si. c'è modo.. . almeno teoricamente

per quanto riguarda "lasciare il portatile a guardia del fisso" mi è un attimo oscura come frase  :Very Happy: 

----------

## canduc17

Conosci wireshark?

----------

## djinnZ

Non è una rete wifi (magari, devo portarmi dietro un cavo rj45 per collegarmi), è una rete ethernet, basata su una serie di switch ed estesa in alcuni punti con degli hub da poco.

Purtroppo c'e ancora win98 e non sanno configurare gli account limitati su winxp quindi tutti possono cambiare l'indirizzo ip delle loro macchina. L'idea sarebbe presentarmi dal responsabile se ci riprova e dirgli tizio mi ha fatto lo scherzetto, anche solo individuando il nome windozz del pc.

----------

## koma

ISS   :Smile:  Sistema dell'ibm ha delle sonde immerse nella rete identifica i rami di rete e il posizionamento delle macchine  :Smile:  non ti dice  esattamente dove si trova ma lo switch a cui si è agganciato.

----------

## CarloJekko

 *canduc17 wrote:*   

> Conosci wireshark?

 

wireshark o metasploit e simili

----------

## HoX

Se riesci ( non so come ) a risalire al MAC Address fai un grande passo avanti. Dopo che hai trovato quello, devi solo piu' capire a quale pc corrisponde, ma sei sicuro che sia esclusivamente quello visto che non puo' essere cambiato come l'indirizzo IP.

----------

## riverdragon

 *HoX wrote:*   

> ma sei sicuro che sia esclusivamente quello visto che non puo' essere cambiato come l'indirizzo IP.

 

```
ifconfig eth0 hw ether aa:bb:cc:dd:ee:ff
```

----------

## ProT-0-TypE

installa arpwatch, così tieni traccia se un indirizzo ip viene utilizzato da più postazioni differenti (in quanto il mac address cambia).

ovviamente tiene traccia dei cambiamenti di ip/mac solo della tua stessa sottorete

----------

## Kernel78

 *HoX wrote:*   

> Se riesci ( non so come ) a risalire al MAC Address fai un grande passo avanti. Dopo che hai trovato quello, devi solo piu' capire a quale pc corrisponde, ma sei sicuro che sia esclusivamente quello visto che non puo' essere cambiato come l'indirizzo IP.

 

bel tentativo ma cambiare un mac address è una cosa banale ...

----------

## HoX

 *Kernel78 wrote:*   

>  *HoX wrote:*   Se riesci ( non so come ) a risalire al MAC Address fai un grande passo avanti. Dopo che hai trovato quello, devi solo piu' capire a quale pc corrisponde, ma sei sicuro che sia esclusivamente quello visto che non puo' essere cambiato come l'indirizzo IP. 
> 
> bel tentativo ma cambiare un mac address è una cosa banale ...

 

 :Shocked:  Davvero?! Ma non e' relativo all'hardware? come si fa a cambiarlo?

----------

## Kernel78

 *HoX wrote:*   

>  *Kernel78 wrote:*   bel tentativo ma cambiare un mac address è una cosa banale ... 
> 
>  Davvero?! Ma non e' relativo all'hardware? come si fa a cambiarlo?

 

puoi usare il comando che ha postato riverdragon o usare net-analyzer/macchanger (che non è molto più elaborato)

----------

## crisandbea

 *HoX wrote:*   

>  *Kernel78 wrote:*    *HoX wrote:*   Se riesci ( non so come ) a risalire al MAC Address fai un grande passo avanti. Dopo che hai trovato quello, devi solo piu' capire a quale pc corrisponde, ma sei sicuro che sia esclusivamente quello visto che non puo' essere cambiato come l'indirizzo IP. 
> 
> bel tentativo ma cambiare un mac address è una cosa banale ... 
> 
>  Davvero?! Ma non e' relativo all'hardware? come si fa a cambiarlo?

 

```
ifconfig eth0 hw ether aa:bb:cc:dd:ee:ff
```

----------

## federico

 *HoX wrote:*   

>  *Kernel78 wrote:*   bel tentativo ma cambiare un mac address è una cosa banale ... 
> 
>  Davvero?! Ma non e' relativo all'hardware? come si fa a cambiarlo?

 

Se cosi' fosse funzionerebbe questa protezione anche sugli access point  :Smile: 

----------

## djinnZ

poichè i mac sono assegnati per intervalli ai vari produttori sono già esauriti da un pezzo ed è possibile che ci si ritrovi con indirizzi identici, quindi è da un pezzo che lo si può cambiare (su win9x e linux 2.0 sono sicuro che si poteva).

In ogni caso la mia domanda era se c'era un modo per configurare senza sforzo arpwatch per rilevare tutte le informazioni possibili sull'identità di un pc windozziano che usurpa gli ip altrui.

----------

## otaku

Cosi su due piedi quello che posso consigliarti è EtherApe.

Che cosa han combinato una volta impostati questi indirizzi IP?

----------

## elegos

Scusa ma...

... il furbo può esserlo quanto gli pare, ma non puoi contattare l'amministratore della rete e fargli bindare l'IP al tuo MAC address? In questo modo l'IP è autoassegnato soltanto al tuo MAC address. Metti caso che il furbacchiotto cambi MAC address per fregarti l'IP (cosa banale a farsi, non banale a pensarla), basta che fai un controllo sui MAC connessi alla rete e patapim! Lo sgami subito, no?

----------

## Kernel78

 *elegos wrote:*   

> Scusa ma...
> 
> ... il furbo può esserlo quanto gli pare, ma non puoi contattare l'amministratore della rete e fargli bindare l'IP al tuo MAC address? In questo modo l'IP è autoassegnato soltanto al tuo MAC address. Metti caso che il furbacchiotto cambi MAC address per fregarti l'IP (cosa banale a farsi, non banale a pensarla), basta che fai un controllo sui MAC connessi alla rete e patapim! Lo sgami subito, no?

 

Sarà il sonno ma mi sfugge il tuo "patapim", mettiamo che lui cambi mac address (o potrebbe anche solo assegnarsi a mano l'ip) ... come lo becchi ?

----------

## djinnZ

 *djinnZ wrote:*   

> Il cosiddetto amministratore di rete ha verificato con ping (risparmiatemi i commenti) e mi ha liquidato (e non so se lo ha fatto per idiozia o perché era proprio lui a scocciare) dicendo che sarà capitato per errore.

 @elegos Fargli bindare l'ip?  :Shocked:  A parte la terminologia, esattamente cosa non ti è chiaro del fatto che ho a che fare con un imbecille?

----------

## dynamite

A parte ricavarsi un elenco dei mac address e ip (a patto che questo personaggio non modifichi il suo mac) non ci sono molte altre strade, a meno di non minacciare ognuno con un ascia bipenne (soluzione rudimentale, ma porta grande soddisfazione)   :Shocked:   :Laughing:   :Laughing:   :Laughing:   :Laughing: 

----------

## mrfree

Per localizzarlo c'è poco da fare, innanzi tutto devi poter amministrare gli switch (ipotizzo sia una rete interamente switch-ata) nel senso che devi avere accesso al suo sistema operativo. Dipende molto dal produttore degli apparati stessi e dalle funzionalità messe a disposizione dal firmware, in generale comunque io inizierei dal root-bridge (anche qui ipotizzo che tu conosca il root-bridge per la tua VLAN, potrebbero esserci più alberi o uno solo... dipende ma non è così importate in questo caso) spulcia la MAC-address table e individua da quale porta proviene il MAC address dell'imbecille (senza offesa, è solo a scopo identificativo). A questo punto dovresti capire qual è il prossimo switch: se sono switch Cisco puoi usare il CDP e individuare il neighbor altrimenti devi ricorrere all'ispezione fisica o meglio alla consultazione della mappa topologica della rete. Percorrendo la rete in questa maniera alla fine arrivi al PC (se è un PC) incriminato.

Note

. è importante che il PC bersaglio generi traffico, le entry nelle MAC-address table scadono (es. TTL 5 min)

. il mac-address del PC bersaglio è noto, a prescindere che sia vero o falso a te interessa l'associazione IP-MACaddr in un certo lasso di tempo... se il tipo è un po' smaliziato potrebbe anche cambiare indirizzo MAC periodicamente (ogni tot minuti) facendoti girovagare inutilmente per la rete, questo potrebbe essere un problema  :Smile:  Per individuare l'indirizzo MAC da seguire sulla rete ti basta pingare l'indirizzo IP che ti è stato "sottratto" e consultare la tua ARP table (potresti anche semplicemente ascoltare la rete ma potrebbe volerci più tempo... tanto hai detto di avere 2 IP)

. l'amico amministratore di rete potrebbe attivare il port-security (il nome cambia a seconda dei produttori degli apparati) in modo da limitare l'accesso ad una porta dello switch ad un singolo indirizzo MAC o ad un pool di indirizzi

----------

## uzz75

esegui un ping sul broadcast, poi con arp visualizzi le tabelle arp (ip-mac)

nmap dovrebbe avere un db su web mac-produttore.

con nmap riesci comunque ad avere informazioni sufficienti...

se poi l'utente usa windows non proprio aggiornato, e password banali con dei comandi RPC di samba ti puoi davvero divvertire...

P.S. il 95% degli utenti windows non ha mai impostato la password di administrator....

----------

## elegos

al PS:

questo perché windows non ti obbliga a farlo lol

----------

