Znależć osobę która 'ukradła' mój MAC


(Bik128) #1

Witam.

Zacznę od początku. Mieszkam w akademiku i mamy sieć w której do adresu MAC jest przydzielone stale IP. Dziś ktoś sie podszył pod mojego MAC-a i w ciągu godziny wyciągnął cały transfer dobowy (mamy limity pozakładane przez administratora sieci). Wkurzyło mnie to setnie...

Moje pytanie: Jak wyśledzić np. nazwę kompa z której ktoś zeskanował MAC-i kart sieciowych(bo w ten sposób zdobyl mój MAC) a po zmianie MAC-a swojej karty podszył sie podemnie. Wiem że trzeba by go złapac na gorącym uczynku dlatego chcę się przygotować na to.

Czy jest wogole możliwe wyśledzenie go gdy jest on (jednocześnie ze mną) na moim MAC-u i kradnie mi transfer czy trzeba do tego innego kompa??? Jakie narzędzie zastosować by to zrobić.

Rady w stylu: 'powiedzieć adminowi o sprawie' odpadaja gdyż oni tym się nie interesuja (nie chce im sie).


(Mireczek) #2

Poniższym programem możesz przeskanować całą sieć LAN. Wyświetla on nazwy komputerów, adresy IP, numery MAC i kilka innych rzeczy. Oczywiście dany komputer musi być włączony.

http://www.softperfect.com/products/networkscanner/


(Zbych ) #3

dwa kompy na jednym mac adresie jednocześnie nie mogą pracować ,wyświetli się komunikat "konflikt adresów sieciowych" temu co drugi załaczy kompa, złapać jest troche ciężko , jedynie co teraz pozostało to wymienić karte sieciową , i podać adminowi nowy mac adres , a wcześniej zabezpieczyć kompa porządną zaporą ogniową aby skanery sieciowe przez nią nie przedostały bo pewnie własnie za pomocą jakiegoś programu do skanowania sieci koleś uzyskał mac adresy .

Złączono Posta : 16.02.2007 (Pią) 21:52

i niezabezpieczony fireewalem bo przez dobry firewall skaner się nieprzedostanie.


(Mireczek) #4

MAC adresy mogą być te same w sieci, o ile serwer (DHCP) nie zgłupieje z przydzielaniem numerów IP.


(Bik128) #5

A co jeśli on zmieni MAC-a gdy ja już mam wlączonego kompa... Dziś tak własnie było. Chyba mnie wyrzucił z mojego MAC-a ...niby miałem sieć (ikonka od netu w trayu), pakiety przechodziły ale nic nie działało (gg, opera)... Zaniepokoiło mnie to. Początkowo szukałem przyczyny w moim kompie (wirus, może jakaś usługa wyłączona czy coś...) ale po godzinie net wrocił tyle że już powoli działał (jak się wyczerpie limit to potem net chodzi 32kb).

Jak zabezpieczyć się firewallem żeby nie można było zeskanować mojego MAC-a? Bo mam Zoneallarm i myślałem że mnie przed tym chroni...


(fiesta) #6

A po co wpędzać się w wydatki skoro samemu można zmienić sobie MACa ??

(opis znajdziesz na forum, :szukaj:

Podajesz nowego MACa adminowi i po krzyku.

Pozostałe porady Zbych1 jak najbardziej wskazane

8)


(Bik128) #7

Zmiana MAC-a spoko tylko że ja zmieniam system na Linux (Fedora) a tam zmienić MAC-a to juz nie taka prosta sprawa. Przynajmniej jak dla mnie bo nie jestem obeznany z tym systemem.

Jak zabezpieczyć się (jak ustawić firewall) przed skanowaniem w przyszłości mojego MAC-a?


(system) #8

Głupoty opowiadasz :?

2 kompy mogą w tym samym czasie siedzieć na tym samym mac+IP.

Firewall tu nic nie da, bo adresy i tak będą pobierane z ARP nawet jak wyłączysz netbiosa.

To z wymianą karty sieciowej to kompletna głupota.

Jedynym rozwiązaniem jest wprowadzenie w sieci VPN albo autoryzacji typu PPPoE


(Bik128) #9

Przypominam że nie jestem adminem tej sieci, zaś administratorzy mają to gdzieś.

Moje pytanie było:

dodatkowo mam pytanie: Czy w czasie skanowania przez intruza mojego MAC-a mogę to w jakiś sposób zauważyć /sprawdzić? (np w logach firewalla).


(system) #10

Takiej osoby nie znajdziesz jeśli admin ma to gdzieś, trzeba odłączać kable od kompów żeby dojść kto to.

Co do 2 pytania to zależy. Jeśli ten ktoś pinguje kompy żeby sprawdzić czy są włączone (co jest raczej mało możliwe) to tak, ale moim zdaniem poprostu używa ogólno dostępnych wpisów ARP. Czyli poprostu w dosie polecenie "arp -a" albo odpala jakiegos sniffera.


(Ferdek31) #11

jeżeli administrator stosuje filtrację MAC+IP na AP niemożliwa jest jednoczesna praca dwóch kart sieciowych o tym samym MAC - adresie jak jest u Ciebie. Zaraz będzie monit o konflikcie adresu sieciowego. Aby ktoś przechwycił Twój MAC nie musi wcale skanować Twojego komputera bo adres ten jest zapisany w każdym pakiecie i można go odpowiednim programem wyodrębnić. Tak, że żadna zapora tu nic nie pomoże. Wszystko zależy od konfiguracji sieci. A przechwycił prawdopodobnie Twojego MACA przez ARP "udając" host docelowy lub włamał się na tablicę ARP routera przechwytując wszystkie kombinację MAC+IP. Wydrębienie potem przedmiotowych danych jest bardzo proste. Wszystko zależy do konfiguracji sieci czy jesteś np. za NAT-em, wtedy jest to utrudnione. Niestety nie ma możliwości ukrycia na 100% MAC-a i IP jak jesteś w sieci. Ustalenie takiego gościa też jest trudną sprawą. Teoretycznie w jednej podsieci jest 254 możliwośći. Dla administratora jest to kwestia paru minut bo ma on spis wszystkich MAC-ów i IP i szybko wychwyci zmiany. Na wszelki wypadek możesz pozamykać kluczowe porty: 23, 139, 143. Inne też możesz ale wszystko zależy od tego z jakich portów korzystają Twoje aplikacje.


(system) #12

Jest możliwe jeśli przypiszemy adres na sztywno bez użycia dhcp. Zwykle coś takiego działa.


(Bik128) #13

A ja wpadłem na taki pomysł: Skoro już wiem że ktoś w danej chwili siedzie na moim MAC-u i IP to można za pomocą jakiegoś programu dojść nazwę jego kompa (np Angry IP Scanner) a wtedy to już połowa sukcesu. Można go już szukać w sieci po nazwie... Zawsze coś. Może kiedyś (prędzej czy pozniej) przełączy się na swoj własny MAC.


(_Sylwan_) #14

zapewne chodzisz do innych kumpli i wystarczy że zaglądniesz u kogoś do kompa i bedziesz wiedział co i jak jeżeli się podszywa to już wiesz komu zrobić ewentualny wpier... :twisted:


(Bik128) #15

Tu nie chodzi o wpier***. Raczej nauczyć człowieka jak żyć z ludzmi... kultury trochę.

Ma ktos jeszcze jakieś pomysły jak namierzyć gościa gdy znowu mi będzie kradł transfer??


(Lazowski) #16

może mniej legalna metoda ale ARP SPOOFING może go zniechęcić do korzystania z twojego IP