Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

ARP Malformed Packet

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

ARP Malformed Packet

Messaggioda lukemusik » mar mag 24, 2005 9:36 am

Salve a tutti!
Facendo una scansione della rete con Ethereal ho individuato una serie di pacchetti ARP Malformed PAcket.
Facendo un po' di ricerche ho scoperto che potrebbero essere determinati da qualche software illecito.
Qualcuno ne sa qualcosa di più?
Magari su come individuarli e rimuoverli?
Saluti
Avatar utente
lukemusik
Aficionado
Aficionado
 
Messaggi: 30
Iscritto il: lun mag 16, 2005 1:03 pm

Messaggioda thomas » mar mag 24, 2005 9:43 am

Ci descrivi la tua rete?
"Am too late to get too high to get, too late to wash my face and hands "
Mr Hudson and the Library - Too Late Too Late
Avatar utente
thomas
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 6858
Iscritto il: mer lug 09, 2003 6:30 pm
Località: Parma

Messaggioda lukemusik » mar mag 24, 2005 9:46 am

Trattasi di una rete di medie dimensioni, diciamo un centinaio di pc.. Topologia a stella, con switch 3com, connesso ad un router Cisco con Firewall Sonicwall..
Ci sono vari sistemi operativi installati, dall'NT al 2000, dal 98 a XP.
Penso che se c'è qualche software illecito, questo risieda nelle macchine con il 98, almeno da quello che ho letto!
Avatar utente
lukemusik
Aficionado
Aficionado
 
Messaggi: 30
Iscritto il: lun mag 16, 2005 1:03 pm


Messaggioda Zane » mar mag 24, 2005 10:06 am

Secondo me hai una macchina infetta da qualche worm poco simpatico, che tenta di exploitare qualche debolezza nella gestione dei frame spedendo dei pacchetti ARP malformati a tutte le altre macchine della rete.

Se il tuo switch lo consente (o il programma di monitor che usi) prova a capire da quale macchina provengono (potrebbero essere anche + di 1 se il verme ha fatto il suo lavoro) e vai di antivirus a manetta..
Avatar utente
Zane
MLI Hero
MLI Hero
 
Messaggi: 7935
Iscritto il: lun ago 05, 2002 9:36 am
Località: Ferrara

Messaggioda lukemusik » mar mag 24, 2005 10:09 am

Grazie!
Si le macchine sono più di una!
Ma l'antivirus rileva veramente questo tipo di software?
perché su alcuni articoli ho letto che i programmi che fanno attacchi ARP sono difficilissimi da individuare!
Un'altra domanda: da quello che mi hai detto deduco che comunque questi malformed packet sono dannosi e che sono stati creati da qualche software diciamo illecito. Confermi?
Grazie
Avatar utente
lukemusik
Aficionado
Aficionado
 
Messaggi: 30
Iscritto il: lun mag 16, 2005 1:03 pm

Messaggioda thomas » mar mag 24, 2005 10:13 am

Confermo l'analisi di zane e anche la tua ultima domanda.

Ti avverto che dovrai rimboccarti le maniche, perché ti aspetta qualche ora di lavoro bestiale!

Un consiglio, anche se parrebbe mostruso: individua la porta/e dello switch con il carico elevato e procedi ad isolare (staccando fisicamente il cavo di rete) una per una tutte le macchine di quel ramo e rianalizzando la rete. Anche se sembra, ripeto, assurdo, è uno dei modi più veloci/semplici di trovare il pc incriminato
"Am too late to get too high to get, too late to wash my face and hands "
Mr Hudson and the Library - Too Late Too Late
Avatar utente
thomas
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 6858
Iscritto il: mer lug 09, 2003 6:30 pm
Località: Parma

Messaggioda lukemusik » mar mag 24, 2005 10:16 am

Ho trovato il pc incriminato perché Ethereal (di cui dovrò scrivere una recensione per questo sito, perché è troppo utile) mi indica l'indirizzo IP della macchina source del pacchetto.
Ora vado sulla macchina e inizio la scansione.
Vi farò sapere cosa ne esce!
Grazie
Avatar utente
lukemusik
Aficionado
Aficionado
 
Messaggi: 30
Iscritto il: lun mag 16, 2005 1:03 pm

Messaggioda Zane » mar mag 24, 2005 10:20 am

lukemusik ha scritto:Ma l'antivirus rileva veramente questo tipo di software?
perché su alcuni articoli ho letto che i programmi che fanno attacchi ARP sono difficilissimi da individuare!

Non che io sappia: se l'av è aggiornato nn dovresti avere problemi.

In ogni caso, la prima cosa da fare è capire da dove provengono i pacchetti, poi si vedrà [:-D]

Un'altra domanda: da quello che mi hai detto deduco che comunque questi malformed packet sono dannosi e che sono stati creati da qualche software diciamo illecito. Confermi?

Mah, la probabilità è sicuramente alta, ma potrebbe essere anche il monitor che rivela un problema insesiste, o uno dei pc che per qualche stano motivo utilizza uno stack ethernet leggermente diverso dal previsto: il livello 2 è parecchio "personalizzabile" dal protocollo che ci gira sopra (tanto per intenderci, ci sono sostanziali differenze anche fra 802.3 "puro" e Ethernet stessa...) quindi nn mi sentirei di affermare al 100% che c'è un attacco in corso.

Buon monitoraggio, fammi sapere yyy
Avatar utente
Zane
MLI Hero
MLI Hero
 
Messaggi: 7935
Iscritto il: lun ago 05, 2002 9:36 am
Località: Ferrara

Messaggioda lukemusik » mar mag 24, 2005 10:29 am

L'antivirus è aggiornatissimo.
Proverò comunque a effettuare una scansione, magari anche con Spybot e altri per vedere se rileva qualcosa..
Grazie, vi farò sapere..
Avatar utente
lukemusik
Aficionado
Aficionado
 
Messaggi: 30
Iscritto il: lun mag 16, 2005 1:03 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 14 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising