Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
Autor |
Nachricht |
hok
Anmeldedatum: 28.02.2005 Beiträge: 598 Wohnort: Lindenallee/Meyerbeerstraße
|
Verfasst am: 27.07.2006, 17:52 Titel: falsche BSSID und Horsttool |
|
|
Hallo, mal eine Frage an die Experten:
Ich habe versucht, ob man mit dem Horsttool herausbekommen kann, von welchem AP falsche BSSIDs bzw. Responses versendet werden, bzw. wer den ResponseFix nicht installiert hat.
Ist mein Ansatz richtig, in den Paketen nach einer falschen BSSID zu suchen und anhand der MAC-Adresse den zugehörigen AP zu ermitteln?
Hier ein Beispiel:
Ist meine Interpretation richtig, daß (u.a.) die 104.13.0.161 eine falsche BSSID in einigen Paketen sendet? Und woher kommt die Internetadresse oben?
h. _________________ http://104.13.0.73 |
|
Nach oben |
|
|
ropf
Anmeldedatum: 25.04.2006 Beiträge: 582
|
Verfasst am: 27.07.2006, 19:11 Titel: |
|
|
Der Ansatz ist richtig, aber die "verstümmelten" Babes sind in den RTS-Paketen normal - zumindest reafieren alle Router hier in Pankow so.
Um Probersponses zu erhalten mußt du sie per Proberequest anfordern - am einfachsten durch einen WLan-Scan.
Du brauchst einen zweiten WRT (der ebenfalls die falschen BSSIDs empfängt) auf dem du mithorsten kannst.
Nochmal: WRT A scannt, WRT B horstet. Versuch das NICHT gleichzeitig auf einem Gerät - eigene Erfahrung!
Anderenfalls bleibt - wie Glockman vor ein paar Tagen schrieb - Laptop und Turnschuhnetz.
Gruß ropf _________________ jabber: ropf at dernico.no-ip.org |
|
Nach oben |
|
|
mick
Anmeldedatum: 16.09.2005 Beiträge: 348 Wohnort: 13088
|
Verfasst am: 28.07.2006, 12:47 Titel: |
|
|
ropf hat Folgendes geschrieben: | am einfachsten durch einen WLan-Scan. |
Frage:
Ist es möglich, dass ein Scan (ausgehend von meinem WRT, über die 33 zu Nico) eines Teiles des Netzes (104.13.0.1 - 104.13.255.255) zu einem kurzzeitigen Abbruch bzw. einer Netzstörung führen kann?
StörungsScan auf der 33:
IP Hysteresis LinkQuality lost total NLQ ETX
104.12.0.43 0.00 0.00 1 1 0.00 0.00
104.6.0.11 0.00 0.00 3 3 0.00 0.00
104.13.0.204 0.00 0.00 3 3 0.00 0.00
104.13.13.13 0.00 0.00 3 3 0.00 0.00
104.13.0.70 0.00 0.16 18 22 0.00 0.00
104.13.0.110 0.00 0.10 41 46 0.00 0.00
104.13.0.161 0.00 0.00 9 9 0.00 0.00
usw. usw.
104.0.200.1 0.00 0.99 1 100 0.96 01. Jun
104.0.200.6 0.00 0.53 47 100 0.99 Jan 91
104.0.200.19 0.00 1.00 0 100 1.00 1.00
104.0.200.18 0.00 1.00 0 100 1.00 1.00
Nach ca. 5 Minuten war alles wieder oK. Heute gegen 11.20h
Gescannt wurde nach IP und MAC-Adressen.
Mick |
|
Nach oben |
|
|
ali
Anmeldedatum: 17.01.2006 Beiträge: 369 Wohnort: 13086, Behaimstr.
|
Verfasst am: 28.07.2006, 15:22 Titel: |
|
|
mick hat Folgendes geschrieben: |
Ist es möglich, dass ein Scan (ausgehend von meinem WRT, über die 33 zu Nico) eines Teiles des Netzes (104.13.0.1 - 104.13.255.255) zu einem kurzzeitigen Abbruch bzw. einer Netzstörung führen kann?
|
Was ist ein "Scan eines Teiles des Netzes nach IP und MAC-Adressen "? Ein Portscan über 104.13.0.0/16. Welches Tool etc. benutzt Du? Oder meinst Du 'nen traceroute-Lauf?
/ali |
|
Nach oben |
|
|
ropf
Anmeldedatum: 25.04.2006 Beiträge: 582
|
Verfasst am: 28.07.2006, 15:27 Titel: |
|
|
Zitat: | Gescannt wurde nach IP und MAC-Adressen. |
Jrtzt bin ich etwas verwirrt. Ich sprach von einem WLan-Scan - also wenn man auf der Weboberfläche den entsprechenden Button drückt oder auf der Kommandozeile "wl scan" gefolgt von "wl scanresults" eingibt. IPs tauchen da gar nicht auf. Und das Netz lahmlegen sollte das auch nicht.
Was ist das eigentlich für eine Ausgabe und wie kommen Datumsangaben da rein?
@hok: hab mir gerade den screendump nochmal angeschaut - Proberespones oder Requests kommen da gar nicht vor. Für miich sieht da alles in Ordnung aus.
Aber da ist eine Station mit der Mac 00:11:2f:d5:00:01 die vermutlich nicht zu eurem Netz gehört - die brüllt dir mit -47db ins Ohr. 30db weniger (also ein tausentdsel) reicht für eine Fullspeedverbindung.
Wenn du den Betreiber identifizieren und zu einem anderen kanal überreden kannst, wird das leben leichter für alle.
Gruß ropf _________________ jabber: ropf at dernico.no-ip.org |
|
Nach oben |
|
|
mick
Anmeldedatum: 16.09.2005 Beiträge: 348 Wohnort: 13088
|
Verfasst am: 28.07.2006, 16:25 Titel: |
|
|
Was ist ein "Scan eines Teiles des Netzes nach IP und MAC-Adressen "?
Ich scannte mit Advanced IP Scanner (unter Windows) nach allen NetBios-Infos, also auch nach MAC-Adressen, von 104.13.0.1 bis 104.13.255.255 (UDP, ICMP).
Also kein Trace und auch kein Portscan (diese liefern keine MAC-Adressen).
Ich hatte das schon mal vor einem halben Jahr gemacht und es kam zu einer Störung des Netzes (alle, die über NICO routen waren betroffen). Damals dauerte es ca. eine halbe Stunde, bis alles wieder lief und niemand wußte, warum. Kann natürlich Zufall sein.
Heute machte ich es wieder (Wiederholungstäter halt).
Das wars schon. |
|
Nach oben |
|
|
ropf
Anmeldedatum: 25.04.2006 Beiträge: 582
|
Verfasst am: 28.07.2006, 16:38 Titel: |
|
|
OK, jetzt wird es klarer - Du bewegst Dich eine Ebene höher. Kann dazu keine Auskunft geben - aber für solche Toos wäre warscheinlich ein Waffenschein sinnvoll
ropf _________________ jabber: ropf at dernico.no-ip.org |
|
Nach oben |
|
|
mick
Anmeldedatum: 16.09.2005 Beiträge: 348 Wohnort: 13088
|
Verfasst am: 28.07.2006, 17:20 Titel: |
|
|
ropf hat Folgendes geschrieben: | OK, jetzt wird es klarer - Du bewegst Dich eine Ebene höher |
Natürlich hatte ich eine bestimmte Absicht - ich lese ja auch die anderen Threads:
In den beim Scannen empfangenen Paketen muß die BSSID enthalten sein.
Diese wollte ich aufzeichnen und nach Zusamemnhängen zwischen ev. falschen BSSIDs und IP/MAC-Adressen "forschen".
Leider hat die Speicherung der Aufzeichnung (Ethereal) nicht geklappt, weil das Netz abstürzte kurz bevor der Scan fertig war
Ich war also wirklich eine OSI-Ebene höher ... |
|
Nach oben |
|
|
|