[FreeBSD] Ip adersi sorunu
Merhaba FreeBSD sunucukarimda asagidaki ciktiyi aliyorum. Sep 28 16:10:39 mail /kernel: arp: 193.9.155.103 moved from 00:57:8f:fe:1d:72 to 00:0d:60:c3:f6:0d on bge0 Sep 28 16:11:02 mail /kernel: arp: 193.9.155.182 moved from 00:87:6b:78:98:0f to 00:08:02:a6:89:a2 on bge0 Sep 28 16:11:02 mail /kernel: arp: 193.9.155.82 moved from 00:59:cf:88:3b:f8 to 00:0d:60:e4:0e:02 on bge0 Sep 28 16:11:02 mail /kernel: arp: 193.9.155.180 moved from 00:88:ea:05:1f:fe to 00:40:f4:5c:6d:cb on bge0 Sep 28 16:11:37 mail /kernel: arp: 193.9.155.190 moved from 00:0e:ca:62:24:6c to 00:11:11:6f:bc:6e on bge0 O kadar hizli oluyor ki, yerel network'um calisamaz hale gele acaba neden olabilir.
Re: [FreeBSD] Ip adersi sorunu
http://ipucu.enderunix.org/view.php?id=505lang=tr 2005/9/28, M.Murat AKBAŞ [EMAIL PROTECTED]: Merhaba FreeBSD sunucukarimda asagidaki ciktiyi aliyorum. Sep 28 16:10:39 mail /kernel: arp: 193.9.155.103 moved from 00:57:8f:fe:1d:72 to 00:0d:60:c3:f6:0d on bge0 Sep 28 16:11:02 mail /kernel: arp: 193.9.155.182 moved from 00:87:6b:78:98:0f to 00:08:02:a6:89:a2 on bge0 Sep 28 16:11:02 mail /kernel: arp: 193.9.155.82 moved from 00:59:cf:88:3b:f8 to 00:0d:60:e4:0e:02 on bge0 Sep 28 16:11:02 mail /kernel: arp: 193.9.155.180 moved from 00:88:ea:05:1f:fe to 00:40:f4:5c:6d:cb on bge0 Sep 28 16:11:37 mail /kernel: arp: 193.9.155.190 moved from 00:0e:ca:62:24:6c to 00:11:11:6f:bc:6e on bge0 O kadar hizli oluyor ki, yerel network'um calisamaz hale gele acaba neden olabilir. -- Huzeyfe ÖNAL --- First Turkish Qmail book is out! Go check it. Duydunuz mu! Turkiye'nin ilk Qmail kitabi cikti. http://www.acikakademi.com/catalog/qmail/
Re: [FreeBSD] Ip adersi sorunu
aginizda bir arp cache poisoner olması kuvvetle muhtemel, cok hizli olmasıakla ilk onu getiriyor.On 9/28/05, M.Murat AKBAŞ [EMAIL PROTECTED] wrote:Merhaba FreeBSD sunucukarimda asagidaki ciktiyi aliyorum. Sep 28 16:10:39 mail /kernel: arp: 193.9.155.103 moved from 00:57:8f:fe:1d:72 to 00:0d:60:c3:f6:0d on bge0 Sep 28 16:11:02 mail /kernel: arp: 193.9.155.182 moved from 00:87:6b:78:98:0f to 00:08:02:a6:89:a2 on bge0 Sep 28 16:11:02 mail /kernel: arp: 193.9.155.82 moved from 00:59:cf:88:3b:f8 to 00:0d:60:e4:0e:02 on bge0 Sep 28 16:11:02 mail /kernel: arp: 193.9.155.180 moved from 00:88:ea:05:1f:fe to 00:40:f4:5c:6d:cb on bge0 Sep 28 16:11:37 mail /kernel: arp: 193.9.155.190 moved from 00:0e:ca:62:24:6c to 00:11:11:6f:bc:6e on bge0 O kadar hizli oluyor ki, yerel network'um calisamaz hale gele acaba neden olabilir.
Re: [FreeBSD] Ip adersi sorunu
Merhaba, Peki hangi makinada oldugunu anlamanın bir yolu varmıdır? M.Murat AKBAş28.09.2005 tarihinde security security [EMAIL PROTECTED] yazmış: aginizda bir arp cache poisoner olması kuvvetle muhtemel, cok hizli olmasıakla ilk onu getiriyor. On 9/28/05, M.Murat AKBAŞ [EMAIL PROTECTED] wrote:Merhaba FreeBSD sunucukarimda asagidaki ciktiyi aliyorum. Sep 28 16:10:39 mail /kernel: arp: 193.9.155.103 moved from 00:57:8f:fe:1d:72 to 00:0d:60:c3:f6:0d on bge0 Sep 28 16:11:02 mail /kernel: arp: 193.9.155.182 moved from 00:87:6b:78:98:0f to 00:08:02:a6:89:a2 on bge0 Sep 28 16:11:02 mail /kernel: arp: 193.9.155.82 moved from 00:59:cf:88:3b:f8 to 00:0d:60:e4:0e:02 on bge0 Sep 28 16:11:02 mail /kernel: arp: 193.9.155.180 moved from 00:88:ea:05:1f:fe to 00:40:f4:5c:6d:cb on bge0 Sep 28 16:11:37 mail /kernel: arp: 193.9.155.190 moved from 00:0e:ca:62:24:6c to 00:11:11:6f:bc:6e on bge0 O kadar hizli oluyor ki, yerel network'um calisamaz hale gele acaba neden olabilir.
Re: [FreeBSD] Ip adersi sorunu
Yeni MAC adresleri random, arkadaslara katiliyorum. Paketin Link Layer header'i da spoof edilmis olabilir. O nedenle kara duzen calisacaksiniz :) 1. Bu hatayi aldiginiz makina da /var/log/messages'i takip ederken: 2. Bu hatayi aldiginiz makinanin bagli oldugu switch'e baska bir switch giriyor mu? 1. Hayir: Isiniz nispeten kolay, Bagli portlardaki kablolari teker teker cekip (ya da switch'in konsolundan portu disable edebiliyorsaniz o sekilde) hangi makinanin yaptigini bulmaya calisin, makinayi buldugunuzda kullanicisini hemen makinanin basindan uzaklastirip, buna bir trojan'in mi sebep oldugunu yoksa makinanin kullanicisinin bilerek birseyler karistirip karistirmadigini ogrenin:) 2. Evet: O switch'i switch'inizden ayirin, mesajlar gittiyse o switch uzerindeki bir makinadan geliyor. 2 maddesindeki islemleri O switch icin tekrarlayin. PS: Switch'inizin konsolundan switch portlarinda anormal bir trafik fazlaligi olup olmadigina bakin once, farkedilir derecede yogun bir saldiriysa buradan da yakalayabilirsiniz. Murat On Wed, Sep 28, 2005 at 04:35:10PM +0300, M.Murat AKBA? wrote: Merhaba, Peki hangi makinada oldugunu anlaman?n bir yolu varm?d?r? M.Murat AKBA? 28.09.2005 tarihinde security security [EMAIL PROTECTED] yazm??: aginizda bir arp cache poisoner olmas? kuvvetle muhtemel, cok hizli olmas? akla ilk onu getiriyor. On 9/28/05, M.Murat AKBA? [EMAIL PROTECTED] wrote: Merhaba FreeBSD sunucukarimda asagidaki ciktiyi aliyorum. Sep 28 16:10:39 mail /kernel: arp: 193.9.155.103 http://193.9.155.103moved from 00:57:8f:fe:1d:72 to 00:0d:60:c3:f6:0d on bge0 Sep 28 16:11:02 mail /kernel: arp: 193.9.155.182 http://193.9.155.182moved from 00:87:6b:78:98:0f to 00:08:02:a6:89:a2 on bge0 Sep 28 16:11:02 mail /kernel: arp: 193.9.155.82 http://193.9.155.82moved from 00:59:cf:88:3b:f8 to 00:0d:60:e4:0e:02 on bge0 Sep 28 16:11:02 mail /kernel: arp: 193.9.155.180 http://193.9.155.180moved from 00:88:ea:05:1f:fe to 00:40:f4:5c:6d:cb on bge0 Sep 28 16:11:37 mail /kernel: arp: 193.9.155.190 http://193.9.155.190moved from 00:0e:ca:62:24:6c to 00:11:11:6f:bc:6e on bge0 O kadar hizli oluyor ki, yerel network'um calisamaz hale gele acaba neden olabilir. -- Duydunuz mu! Turkiye'nin ilk qmail kitabi cikti. http://www.acikakademi.com/catalog/qmail/ - Cikmak icin, e-mail: [EMAIL PROTECTED] Liste arsivi: http://lists.enderunix.org Turkiye'nin ilk FreeBSD kitabi: http://www.acikakademi.com/freebsd.php
Re: [FreeBSD] Ip adersi sorunu
Ağınızdaki ARP paketlerini izlemenizi önerebilirim. Spoof edilerek degistirilen mac adreslerini (ör. 00:0d:60:c3:f6:0d )rarp ile ip cevirmeye calismak yardımcı olabilir, atak yapan makinanın ip sini elde edebilmek acisindanBunlar anlamı olmayan MAC adresleri ise isiniz daha zor sanıyorum, tüm makineleri tek tek dolasip bu isi yapan prosesi bulmanız gerekiyor. Hicbirsey yapamiyorsaniz hostlari birer birer kapatıp agin durumuna bakabilirsiniz, eger uygunsa tabi.On 9/28/05, M.Murat AKBAŞ [EMAIL PROTECTED] wrote: Merhaba, Peki hangi makinada oldugunu anlamanın bir yolu varmıdır? M.Murat AKBAş28.09.2005 tarihinde security security [EMAIL PROTECTED] yazmış: aginizda bir arp cache poisoner olması kuvvetle muhtemel, cok hizli olması akla ilk onu getiriyor. On 9/28/05, M.Murat AKBAŞ [EMAIL PROTECTED] wrote:Merhaba FreeBSD sunucukarimda asagidaki ciktiyi aliyorum. Sep 28 16:10:39 mail /kernel: arp: 193.9.155.103 moved from 00:57:8f:fe:1d:72 to 00:0d:60:c3:f6:0d on bge0 Sep 28 16:11:02 mail /kernel: arp: 193.9.155.182 moved from 00:87:6b:78:98:0f to 00:08:02:a6:89:a2 on bge0 Sep 28 16:11:02 mail /kernel: arp: 193.9.155.82 moved from 00:59:cf:88:3b:f8 to 00:0d:60:e4:0e:02 on bge0 Sep 28 16:11:02 mail /kernel: arp: 193.9.155.180 moved from 00:88:ea:05:1f:fe to 00:40:f4:5c:6d:cb on bge0 Sep 28 16:11:37 mail /kernel: arp: 193.9.155.190 moved from 00:0e:ca:62:24:6c to 00:11:11:6f:bc:6e on bge0 O kadar hizli oluyor ki, yerel network'um calisamaz hale gele acaba neden olabilir.
