Letzte Nacht habe ich mich mit einem lokalen BT Fon-Netzwerk verbunden, in dem mein Mitbewohner bereits war. Mein Ziel war es, seine Mac-Adresse herauszufinden, also habe ich den Befehl arp -a (von OS X) ausgeführt und er hat nur die Routeradresse zurückgegeben.
Kann mir jemand sagen, warum das so ist?
Wäre nmap -sP die nächste Angriffslinie, wenn so etwas fehlschlägt?
Antwort1
Seit dem weit verbreiteten Ersatz von Hubs durch Switches (findet ihr noch irgendwo Hubs????) erreicht ICMP-Verkehr nicht mehr wahllos alle Benutzer, die an denselben Switch angeschlossen sind. Sie werden also sicherlich sowohl Broadcast- als auch Unicast-ICMP-Verkehr (für Sie!) sehen, aber sonst sollten Sie nichts sehen können. Dies geschieht aus Sicherheitsgründen. Wenn Sie sowohl die IP-Adresse als auch die MAC-Adresse eines Hosts haben, können Sie ihm eine Reihe von Streichen spielen, wie etwa MIM-Angriffe (Man In the Middle); oder Sie können die Sicherheit in Captive-Portal-Netzwerken umgehen und kostenlos auf das Internet zugreifen.
Um festzustellen, ob der ICMP-Verkehr in Ihrem Netzwerk kontrolliert wird, versuchen Sie Folgendes:
ping -c1 -b 192.168.1.255
wobei die obige IP-Adresse die Broadcast-Adresse Ihres Netzwerks sein sollte, und prüfen Sie, ob Sie überhaupt eine Antwort erhalten. Wenn nicht, besteht die Möglichkeit, dass der ICMP-Verkehr streng kontrolliert wird.
Tatsächlich ist es in diesen Fällen viel einfacher, ein IP/MAC-Duo über WLAN abzuhören: Setzen Sie einfach Ihre WLAN-Karte in den Monitormodus und hören Sie den gesamten ICMP-Verkehr ab: Sie sollten dann beide Abfragen sehen können (wer hat 192.168.1.113? Sag 192.168.1.1) und Antworten (192.168.1.113 ist bei 00:11:22:33:44:55). Dies setzt natürlich voraus, dass Sie und das Opfer sich körperlich nahe stehen.