mac ändern mit ifconfig

[sw0815]

Hi, ich habe folgendes Problem:

Ich änderte die MAC mit ifconfig [ifconfig eth0 hw ether xx:xx:xx:xx:xx:xx], das hat auch geklappt. Anschliessend holte ich mir neue dhcp-Infos mit netcardconfig [Linux/debian], das hat auch geklappt, nun zu dem eigentlichen Proble:

Ich kann einen Ping nach draussen [zB ping web.de] und innerhalb des Netzwerkes versenden, doch wenn ich eine TCP-Verbindung herstellen möchte kommt der Handshake nicht vollständig zustande, dh er bricht nach dem zweiten Paket [ack, syn] ab - das ergab zumindest die Ausgabe von ethereal.

Was mache ich falsch, bzw was habe ich vergessen zu machen??
sw

[cye]

OT:
hardware mac-adresse ändern ?
ist das sinnvoll ?

[dodolin]

Wo machst du das ganze?
Wenn das nicht dein eigenes Netz ist, sondern du irgendwo in einem RZ, welches nicht dir gehört einen dedizierten Server stehen hast, könnte es sehr gut sein, dass du hierbei dessen Sicherheitsmaßnahmen gegen Spoofing feststellst.

[sw0815]

Kannst du mir auch sagen, wie und durch was (welche Software) das realisiert wird und ob es Möglichkeiten gibt, das zu umgehen??

[sw0815]

PS: bin hier im Hochschul-RZ und schreibe gerade eine Arbeit darüber...

[captaincrunch]

Vernünftige Switche lassen den Admin konfigurieren, dass auf Port X ausschließlich MAC-Adresse XYZ reden darf.

[sw0815]

Wobei der Puffer des Switches nicht zu fluten ist, dass er daraufhin als Hub arbeitet?

[dodolin]

http://www.iks-jena.de/mitarb/lutz/usen ... Rauskommen

Ich glaube nicht, dass es eine gute Idee ist, solche Themen hier weiter öffentlich zu diskutieren. Wenn der Netzadmin alles korrekt gemacht hat, wirst du sowieso kaum Möglichkeiten finden, das zu umgehen.

Wenn du das wirklich brauchst, rede mit dem Netzadmin, damit er das freischaltet. Wenn er das nicht tut, dann brauchst du das auch nicht. ;)

Nicht alle Switches werden durch Fluten zu Hubs.

[sw0815]

Nein, das mit dem Fluten war auch nur ein theoretischer Ansatz ;-)

Aber was ich noch anbringen wollte, ist, dass ich ein kleines Testnetzwerk errichtet habe, worüber ich über einen Hub und einen Switch mit dem Hausnetz verbunden bin, spielt das keine Rolle? Was ich meine ist, ich hänge doch an meinem eigenen Switch dran und das ist ein ganz simples Gerät ohne Programmier/Updatemöglichkeit?!? Also dürfte mir der doch nicht dazwischenfunken??

sw

[sw0815]

Was mir noch eingefallen ist:
Wenn ich die Mac ändere und ich mich neu anmelde (lokal, sowie DHCP), dann ist es doch so, als wenn ein neuer Rechner (zB Notebook) hinzugekommen ist, also wo kann denn da das Problem liegen. Theoretisch müsste doch dann eine Neuzuordnung von Mac- zu IP-Adresse stattfinden?!? Was ja an dem Ping zu sehen ist, oder liege ich da falsch??

sw

[captaincrunch]

Nein, das mit dem Fluten war auch nur ein theoretischer Ansatz

Leider ist dieser Ansatz in der Praxis nicht allzu oft "nur" theoretisch.

worüber ich über einen Hub und einen Switch mit dem Hausnetz verbunden bin, spielt das keine Rolle?

Was denn jetzt? Hub oder Switch? Oder hängt der PC am Hub, der wiederum am Switch hängt?

Theoretisch müsste doch dann eine Neuzuordnung von Mac- zu IP-Adresse stattfinden?!? Was ja an dem Ping zu sehen ist, oder liege ich da falsch??

Theoretisch hast du erstmal Recht. Um dazu genaueres sagen zu können, müsste man sich aber mal die ARP-Caches sämtlicher Geräte dabei einmal anschauen.

[sw0815]

Leider ist dieser Ansatz in der Praxis nicht allzu oft "nur" theoretisch.

Wie generiert man denn so viele Anfragen, dass der Buffer gefüllt wird - kann da ein Ping schon ausreichen??

Um dazu genaueres sagen zu können, müsste man sich aber mal die ARP-Caches sämtlicher Geräte dabei einmal anschauen.

Ich bin jetzt nicht im RZ, aber meinst du arp?? Ich glaube, da listete er nur das Gateway, aber ich bin mir nicht mehr sicher - morgen weiss ich mehr.

Was denn jetzt? Hub oder Switch? Oder hängt der PC am Hub, der wiederum am Switch hängt?

PC --> Hub --> Switch --> Hausnetz
Wollte mal die verschiedenen Szenarien demonstrieren...

[captaincrunch]

Wie generiert man denn so viele Anfragen, dass der Buffer gefüllt wird - kann da ein Ping schon ausreichen??

Nein, ein einfacher ping reicht definitiv nicht. Siehe dazu (u.a.) http://cert.uni-stuttgart.de/archive/bu ... 00176.html und http://www.rootshell.be/~dhar/sniffers.html

Ich bin jetzt nicht im RZ, aber meinst du arp?? Ich glaube, da listete er nur das Gateway, aber ich bin mir nicht mehr sicher

Nein, ich meinte nicht (nur) den ARP-Cache auf deiner Kiste, sondern vor allem den auf den anderen beteiligten Switches und Routern.

[sw0815]

Nein, ich meinte nicht (nur) den ARP-Cache auf deiner Kiste, sondern vor allem den auf den anderen beteiligten Switches und Routern.

Arp (SuSE+NT) ergibt bei mir maximal die Adresse (IP+HW) des Gateways, also keine Tabelle oder ähnliches der beteiligten Rechner - unter Debian noch nicht mal das!?!

Ich hab es aber raus, wahrscheinlich war die HW-Adresse zu abstrakt. Bedeutet wohl, dass er mit zB. 11:22:33:44:55:66 nicht viel anfangen kann, bzw Anfragen dieser Art von der Destination gefiltert oder geblockt werden?! D.h., die ungefähre Form sollte schon eingehalten werden.

Danke für die Links == 1A