Dinge, die die Welt nicht braucht

Einträge für März 2007

Montag, 5. März 2007

Manipuliert

Scapy ist ein ziemlich cooler Packetgenerator/Analyzer/vielesmehr. Die Projektseite gibt mit der "Quick Demo" schon eine kleine Einführung in die Fähigkeiten dieses Tools.

Leider ist die Dokumentation im im Gegensatz zum Programm noch weitgehend unbrauchbar und deshalb will ich versuchen hier immer mal wieder nützliche Scapy Skripte/Einzeiler vorzustellen.

Wilde DHCP Server finden


Problem: irgendwo im Netz schwirrt ein nicht genemigter DHCP Server herum und vergibt IP Adressen. Die umständliche Methode wäre das eigene Interface umzukonfigurieren und einen DHCP Request zu machen. Scapy schafft das ohne diesen lästigen Mehraufwand.


>>> dhcp_request(iface="eth1")
WARNING: conf.checkIPaddr is not 0, I may not be able to match the answer
Begin emission:
Finished to send 1 packets.
.......................................
Received 39 packets, got 0 answers, remaining 1 packets


Ein gleichzeitiger tcpdump offenbart ide MAC-Adresse des Übeltäters:


# tcpdump -e -i eth1 port 67 or port 68
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes

21:43:17.938745 00:11:11:11:11:11 (oui Unknown) > Broadcast, ethertype IPv4 (0x0800), length 286: 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:11:11:11:11:11 (oui Unknown), length 244

21:43:17.952684 00:22:22:22:22:22 (oui Unknown) > Broadcast, ethertype IPv4 (0x0800), length 342: ..bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length 300


Mit einem managbaren Switch lässt sich die Adresse 00:22:22:22:22:22 nun schnell einem Port zuordnen. Unter IOS z.B. mit show mac-address-table oder unter CatOS mit show cam dynamic. Dann muss man nur noch das Kabel verfolgen und dem User auf die Finger klopfen ;).
Geschrieben von
Uwe Weissenbacher
um 21:35 | Kommentar (1) | Trackbacks (0)
Tags für diesen Artikel: , , , ,
Artikel mit ähnlichen Themen:
(Seite 1 von 1, insgesamt 1 Einträge)

Suche

Archive

Blog abonnieren

Getaggte Artikel

Top Exits

en.wikipedia.org (78)
blog.planet-uwe.de (28)
de.wikipedia.org (18)
www.heise.de (10)
www.spiegel.de (8)
forums.gentoo.org (7)
nopaste.php-q.net (5)
nuwiki.openwrt.org (5)
science.slashdot.org (5)
www.cisco.com (5)

Kommentare

Malte zu Logitech Webcam C250 eingerichtet
Fr, 07.01.2011 22:19
Hu Uwe, mein ICQ acc ist pl att - wollt dich was wegen der schnuffi page fragen, denn ne wseintragen tuts nicht m [...]
Uwe Weissenbacher zu IPv6 mit Hurricane Electric und OpenWRT
Do, 11.11.2010 10:10
Ich "vermute" des es an dieser Stelle auftritt: ---cut--- ip route add $ROUTEDNET dev $LANIF ---cut--- Abe [...]
Matthias Gliwka zu IPv6 mit Hurricane Electric und OpenWRT
Di, 09.11.2010 18:35
Hey (: Ich bekomme nach der A nleitung immer folgenden fehle r. Jmd eine Idee? root @OpenWrt:/etc/hotplug.d/ [...]
Uwe Weissenbacher zu IPv6 mit Hurricane Electric und OpenWRT
Sa, 30.10.2010 10:23
Richtig und ja - HE bietet auc h https unter der gleichen URI an. Das Problem ist der begre nzte Flash Speicher des [...]
Ben Bucksch zu IPv6 mit Hurricane Electric und OpenWRT
Fr, 29.10.2010 23:53
> PASS="XXX" > ... > logger "updating ipv4 tunnel endpoint to $IPV4" > wget -O - "http: //ipv4.tunnelbroker.net/ [...]

Verwaltung des Blogs

Login

Powered by

Serendipity PHP Weblog