[HaBo]

Dingo

Anzeige

Wie kann ich einen Cain in einen Netzwerk erkennen? Soweit ich weis gibt es eine ARP Tabelle aber wie kann ich die mir anzeigen lassen. Achja betriebsystem ist Windows XP.

Grafix

Die ARP Tabelle kannst du dir mit arp -a anzeigen lassen.
Aber wenn du die MAC-Adressen in deinem Netzwerk nicht kennst, wird das nicht viel bringen. (Außer natürlich es haben 2 IPs die gleiche MAC)
Wenn du dich gegen ARP-MITM-Attacken absichern willst, kannst du die MAC-Einträge mit arp -s statisch festlegen. (Muss nach jedem Booten erneuert werden)

Dingo

ah also das heißt ja das der Router/Switch die packete anhand von der mac adresse verteilt. Wenn ich den Eintrag allerdings statisch mache dan verknüpft der ihn nur mit der der zugewiesenen IP ?

Sorry wenn meine frage etwas dähmlich ist, ich kenn mich nicht so gut aus.

Grafix

Die ARP Einträge beziehen sich nur auf den jeweiligen Rechner, wo du sie festlegst.
Hier wird das Prinzip ziemlich gut erläutert wie ich finde.
Mit statischen Einträgen kannst du sicher sein, dass alle ausgehenden Pakete die richtige MAC erreichen, aber umgekehrt kann jedes eingehende Paket vorher durch einen Sniffer laufen, wenn der Router selbst keine statische MAC-Tabelle besitzt.
Allerdings werden Passwörter beim Einloggen z.B. nur in eine Richtung geschickt und sind somit prinzipiell sicher. Wenn du allerdings ein Passwort zugewiesen bekommst oder anforderst, könnte es theoretisch mitgeschnitten werden.

Vielleicht gibt es ja ein geeignetes Programm, dass manipulierte ARP-Pakete erkennt oder zumindest nach Netzwerkkarten im Promiscouos Modus sucht

brain21

Ich verwende "X-Arp" (v0.1.5); das ist ein Programm, das sich die ARP-Tabelle merkt und regelmäßig überprüft. Alle Veränderungen werden vermerkt. Tritt plötzlich ein verdächtigtes Phänomen auf, so macht das Programm per Symbol im Infobereich der Taskleiste auf sich aufmerksam.
Eine Funktion für einen Broadcast-Ping, um alle MAC-Adressen im lokalen Netz zu finden, exisitiert auch.