|
Título: Sobre Wireshark Publicado por: Agustín Cuba en 13 Marzo 2023, 14:16 pm Hola amigos.
Esto es unaseguencia tomada de wireshark ¿Qué puede provocar que una máquina esté preguntando repetidamente Who has por toda la red?? Esta máquina, (la 55) está haciendo esto constantemente Broadcast ARP 60 Who has 10.90.30.20? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.179? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.152? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.78? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.12? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.105? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.201? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.221? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.188? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.11? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.178? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.238? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.222? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.224? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.156? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.243? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.10? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.33? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.46? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.84? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.121? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.63? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.190? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.1? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.194? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.79? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.94? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.77? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.214? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.143? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.4? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.248? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.8? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.65? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.28? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.34? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.166? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.162? Tell 10.90.30.55 Título: Re: Sobre Wireshark Publicado por: Danielㅤ en 13 Marzo 2023, 15:33 pm Hola, lo que hace esa maquina es enviar instrucciones para obtener información de esas IPs que han conectado en ella, es algo parecido a revisar un log de accesos.
Saludos Título: Re: Sobre Wireshark Publicado por: Agustín Cuba en 13 Marzo 2023, 20:24 pm Sí Daniel, pero eso no debería hacerlo. Ninguna otra máquina de la red se comporta tal obsesiva. Incluso, no me doy cuenta que las otras computadoras le respondan.
Ahí veo un comportamiento anómalo, pero no sé cuál es la razón. Gracias por responder Título: Re: Sobre Wireshark Publicado por: Danielㅤ en 13 Marzo 2023, 21:16 pm No, anómalo no es porque la herramienta puede hacer eso, en todo caso sería inusual.
Si esa máquina hace eso y las demás no, seguramente es porque algo tiene configurado distinto a las demás, deberías revisar la configuración de las otras máquinas y comparar. Si compruebas que esa máquina tiene una configuración distinta y la herramienta está en constante funcionamiento, deberías cerrar la herramienta, cambiar la configuración y volverla a correr, en el caso que tengas que cerrarla o sino cambia la configuración y luego haz un refresco de la configuración (si es que esta disponible esa opción). Título: Re: Sobre Wireshark Publicado por: Agustín Cuba en 14 Marzo 2023, 13:18 pm Gracias. El asunto es que he revisado esa máquina y no encuentro qué configuración o programa hace que la computadora se comporte de esa forma, por eso pregunté.
No sé si es un programa mal instalado, un intento de suplantación de ip... No me he dado cuenta de qué programa ha provocado ese comportamiento Título: Re: Sobre Wireshark Publicado por: Danielㅤ en 14 Marzo 2023, 14:40 pm Bien, lo que podes hacer es abrir el administrador de tareas/procesos y verificar que programas son los que están funcionando, también podes usar un programa para monitorear cuales son los programas que están abiertos y que instrucciones envían, en ésta página hay varias de estas herramientas que podes usar:
https://www.nirsoft.net/ Ahi encontrarás muy buenas herramientas de utilidad que tienen una breve descripción de cómo funcionan, los programas que podrás usar te daras cuenta cuáles son no sólo por la descripción sino por el nombre del programa. Título: Re: Sobre Wireshark Publicado por: Agustín Cuba en 14 Marzo 2023, 14:47 pm Daniel Muchas gracias.
Título: Re: Sobre Wireshark Publicado por: CaptainH en 3 Abril 2023, 14:52 pm Primero descartaría que la IP 10.90.30.55 no tenga algún servicio DNS corriendo, esas consultas son normales en una red LAN cuando tienes una máquina haciendo consultas por PING/Traceroute/NMAP donde intenta a nivel de capa 2 (ARP) saber que MAC corresponde a que IP para guardarlos en su tabla ARP y permitir la comunicación.
Título: Re: Sobre Wireshark Publicado por: Agustín Cuba en 3 Abril 2023, 15:11 pm Primero descartaría que la IP 10.90.30.55 no tenga algún servicio DNS corriendo, esas consultas son normales en una red LAN cuando tienes una máquina haciendo consultas por PING/Traceroute/NMAP donde intenta a nivel de capa 2 (ARP) saber que MAC corresponde a que IP para guardarlos en su tabla ARP y permitir la comunicación. Bueno, esta máquina no debería estar haciendo estas consultas, porque es de un usuario y debería comportarse como las otras. No he descubierto que esté corriendo algún programa sospechoso. También me llama la ayención de que ninguna máquina le responde el ARP.Gracias por responder |