Re: Posible intruso en la red?
[Respondo a la lista también, ya que me imagino que por error me mandaste
este mensaje a mi dirección particular solamente.]
On Wed, Dec 17, 2008 at 10:03:46PM -0200, ciracusa wrote:
> Blu wrote:
>> On Tue, Dec 16, 2008 at 09:19:15PM -0200, ciracusa wrote:
>>
>>> Hola Lista.
>>>
>>> Realizando una prueba de rutina [1] vi un valor extraño dentro de una
>>> lista de valores habituales [2].
>>>
>>> Que opinan?
>>>
>>> Que me recomiendan para mejorar la seguridad y/o analizar la red?
>>>
>>> [1] tcpdump -l -n arp -i eth0
>>> [2]
>>> 19:18:04.715185 arp who-has 192.168.0.16 tell 192.168.0.120
>>> 19:18:06.554167 arp who-has 192.168.0.17 tell 192.168.0.120
>>>
>>> Aclaro que [120] es mi gateway y [16] es un host conocido, pero no
>>> así el [17]
>>>
>>
>> Pero esto te dice simplemente que el gateway está preguntando quien tiene
>> la IP 17. Si no ves un arp reply, no hay nadie en esa IP. Es posible, eso
>> sí, que haya habido alguien ahí en algún momento, por eso el gateway se
>> acuerda.
>>
>>
>
> Blu, gracias por tu respuesta.
>
> Entiendo lo que dices, pero porque pregunta eso si la ip no existe?
>
> Además porque pregunta solo por esa ip y no por otras?
>
Depende del algoritmo que se use para mantener la tabla arp, pero
seguramente esa dirección existió en algún momento y el gateway está
tratando de refrescar su tabla arp. Esto puede deberse a que alguna
máquina efectivamente usó esa dirección, o a que alguna máquina por alguna
razón (una infección por ejemplo) mandó un arp reply espontáneamente. En
mi red algunas máquinas con Windows suelen hacer esas cosas.
--
Blu.
Reply to: