Creo que estoy siendo victima de ARP-Spoofing

Iniciado por AJ NW, 3 Septiembre 2016, 19:53 PM

0 Miembros y 1 Visitante están viendo este tema.

AJ NW

Ando unos dias rallado por estas repentinas apariciones en mi tabla arp (incluso no llegan a mostrarse los host de mi red, solo los host que veran a continuacion)




No entiendo porque estas direcciones de multidifusion se muestran, y sin embargo no se muestra mi IP ni la de otro PC (192.168.0.105) que estan alojados en mi red en el momento en el que hize esta captura. Lo mas gracioso es que intentando geolocalizarlas me mandan a Marte!!!

He intentado echar a estos PCs pero al ser direcciones de BroadCast no puedo bloquearles el acceso.

Por favor, si alguien me pudiese ayudar a comprender el porque de esto, porque sinceramente creo que mi PC pueda ser estando escuchada o que esten sniffando mi red. Ustedes que opinan?
Muchas gracias de antemano y enhorabuena al foro! :)

GreenTick

¡Buenas! alguna vez he visto cosas asi en la tabla arp (no me estoy fijando todos los dias) y tranquilo por que es algo de tu computadora, no es un ARP spoofing...

no obstante; las macs no estan repetidas... sí, se parecen; pero si te fijas no estan repetidas... asi que descartamos en arp spoofing... posiblemente asi este configurado windows o tu computador...

salu2 (lo siento si me equivoco)
8Noobs - Más que una comunidad; una familia.
www.telegram.me/proyecto8NOOBS

Ser humilde, significa entender que algún día podrás ver al de arriba bajo tus pies; y al que te esta lamiendo las suelas saltando encima tuya.

AJ NW

Gracias por la info!
De todas formas si sirve de ayuda el Internet me va mas lento.
Ahora mismo acabo de hacer otro arp -a y me ha dado el mismo resultado mas otro PC que he conectado para probar.

GreenTick

8Noobs - Más que una comunidad; una familia.
www.telegram.me/proyecto8NOOBS

Ser humilde, significa entender que algún día podrás ver al de arriba bajo tus pies; y al que te esta lamiendo las suelas saltando encima tuya.

Hason

Hola saludos, aprovecho el tema para poner mi tabla arp,  no entiendo mucho, pero creo no esta bien, mas cuando GreenTick dice que si no hay ninguna mac repetida no hay que  preocuparse, yo tengo una repetida.

C:\Windows\system32>arp -a

Interfaz: 192.168.1.33 --- 0x6
  Dirección de Internet          Dirección física      Tipo
  192.168.1.1           e0-41-36-49-5a-68     dinámico
  192.168.1.255         ff-ff-ff-ff-ff-ff     estático
  224.0.0.2             01-00-5e-00-00-02     estático
  224.0.0.22            01-00-5e-00-00-16     estático
  224.0.0.252           01-00-5e-00-00-fc     estático
  239.0.0.77            01-00-5e-00-00-4d     estático
  239.0.2.2             01-00-5e-00-02-02     estático
  239.0.2.30            01-00-5e-00-02-1e     estático
  239.0.2.129           01-00-5e-00-02-81     estático
  239.0.2.130           01-00-5e-00-02-82     estático
  239.0.2.165           01-00-5e-00-02-a5     estático
  239.255.255.250       01-00-5e-7f-ff-fa     estático
  255.255.255.255       ff-ff-ff-ff-ff-ff     estático

Esta repetida la ff-ff-ff-ff-ff-ff ,y salen muchas direcciones, pero bueno, realmente se por que es el problema, pero no sabria repararlo, o que diantres pasa exactamente.

Si podeis decirme algo, estare agradecido.

Supongo podria denegarlas todas menos las mias.

Saludos.
Verse constantemente expuesto al peligro puede generar desprecio hacia él.
El que resiste, gana
Aníbal sabía como conseguir la victoria, pero no cómo utilizarla

https://amaltea.wordpress.com/2008/03/06/proverbios-y-refranes-grecolatinos/

warcry.

esa es la de broadcast.

las que ponen estaticas no se spoofean, por que son eso estaticas, osea las tiene difinidas el ordenador si o si y no hacen caso a la red.

las que se spoofean son las dinamicas, ejemplo

Citar192.168.1.1           e0-41-36-49-5a-68     dinámico

puedes mandar paquetes arp a la red con este formato

192.168.1.1           00-00-00-00-00-01

donde esa mac es mi pc en vez del router, tu ordenador escucha esos paquetes y actualiza su tabla arp

Citar192.168.1.1          00-00-00-00-00-01     dinámico

con lo cual toda la informacion me la manda a mi en vez de al router.

eso es envenenar la red
HE SIDO BANEADO --- UN PLACER ---- SALUDOS

Hason

Muchas gracias warcry.

Entonces solo se espoofean las direcciones dinamicas en un ataque directo supongo.

Bien, lo que no me queda claro ,por que tengo tantas direcciones estaticas predefinidas en el pc, de las cuales solo reconozco la direccion del router y la local del pc, en otro pc en la misma red, tiene mas direcciones estaticas aun, no lo entiendo por que salen tantas direcciones estaticas.

Quieres decir que estas direcciones estan predefinidas en el firmware de la controladora de red?

Podria cerrar todas las direcciones estaticas o hacer algo?

Saludos.

Verse constantemente expuesto al peligro puede generar desprecio hacia él.
El que resiste, gana
Aníbal sabía como conseguir la victoria, pero no cómo utilizarla

https://amaltea.wordpress.com/2008/03/06/proverbios-y-refranes-grecolatinos/

warcry.

esas son direcciones multicast

https://en.wikipedia.org/wiki/Multicast_address

hay aplicaciones que necesitan del uso de estas direcciones multicast, o que pueden definir reglas arp propias.

cuando tengas una duda de la legitimidad consulta la ip en google.

tu también puedes crear una regla estática con arp -s direccionip direccionmac, de hecho es la manera de defenderte del arp-spoofing.

recuerda, que si tu puedes hacerlo, tambien al instalar una aplicación maliciosa (malware) te puede crear una regla arp estatica para hacerte un MITM
HE SIDO BANEADO --- UN PLACER ---- SALUDOS

Hason

Muchas gracias, tendre que leer  si quiero saberlo bien.

Saludos.

Verse constantemente expuesto al peligro puede generar desprecio hacia él.
El que resiste, gana
Aníbal sabía como conseguir la victoria, pero no cómo utilizarla

https://amaltea.wordpress.com/2008/03/06/proverbios-y-refranes-grecolatinos/