[linux-network] Re: arpwatch

From: Fatih Ozavci (fatih.ozavci@frontsite.com.tr)
Date: Fri 23 Aug 2002 - 17:17:50 EEST

• Next message: Gürkan KARABATAK: "[linux-network] iptables"
• Previous message: Gürkan KARABATAK: "[linux-network] squid"
• In reply to: Bulent Tatlidil: "[linux-network] arpwatch"

Bu durumun iki sebebi olabilir

1-) Aginiza saldiri var ve farkli MAC adresleri ile bu saldiri yapildigi
icin bunlari aliyorsunuz...

2-) Arpwatch sizin arayuzlerinizden birinden siz farkinda olmadan farkli
aglarin ARP isteklerinide aliyor...

Aginizdaki tum MAC adreslerini kontrol etmek icin Hunt'in discovery
ozelligini kullanabilirsiniz, yada Arping yazilimi ile bunlari
yapabilirsiniz... Sentinel ve Anti Sniff'te (http://www.atstake.com)
agda sniffer olup olmadigini saptayabilen yazilimlar. Bunlari freshmeat
yada google'dan arayarak bulabilirsiniz...

Asagidaki adreslerdeki yazilimlarda sizin icin ilginc olabilir diye
dusunuyorum. Bu yazilimlar ile daha detayli olarak aginizi izlemeniz
mumkundur.

http://sourceforge.net/projects/arpassess/
http://sourceforge.net/projects/warpd/

Birde unutulmamasi gereken durum sudur : Aginizdaki tum makinelerin MAC
adreslerini mutlak statik bir dosya yada kaynakta tutmaniz gerektigidir,
arpwatch bunu kismen yapiyor, boylece daha sonra karsilastirma ve
saldirilari (mac flood, mac spoof, arp spoof vs.) onceden tespit etme
imkaniniz olacaktir.

Bir diger yolda Nmap (http://www.insecure.org/nmap) ile aginizdaki tum
makinelere ping attirarak aginizdaki tum cevap veren makinelerin MAC
adreslerini arpwatch ile izleyebilirsiniz.

Umarim yardimci olabilmisimdir..

On Fri, 2002-08-23 at 16:30, Bulent Tatlidil wrote:
>
> arpwatch'in new station olarak mail attigi
> bilgiler kendi networkume ait degil, bu rahatsiz edici
> durumun sebebi bir arpspoofing olayi midir ?
> nasil cozebilirim ?
> tesekkurler.
>
>
>

-- 
------------------------------------------------------------------------
Fatih Ozavci                        mail: fatih.ozavci@frontsite.com.tr 
IT Security Consultant                        
frontsite Bilgi Teknolojisi A.S.    tel: +90 212 356 68 92     
                                    fax: +90 212 356 68 96     
------------------------------------------------------------------------
-- Attached file included as plaintext by Ecartis --
-- File: signature.asc
-- Desc: This is a digitally signed message part
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (GNU/Linux)
iD8DBQA9ZkQOZICO0iJ1CfMRAvGGAJ0U3j2Gq9eO1zEP7K5e6RmL6wXLAQCeKSRT
7QQGvANzC54zp0+2/RKVfJ8=
=8ADn
-----END PGP SIGNATURE-----

• Next message: Gürkan KARABATAK: "[linux-network] iptables"
• Previous message: Gürkan KARABATAK: "[linux-network] squid"
• In reply to: Bulent Tatlidil: "[linux-network] arpwatch"