Autor
|
Tema: Sobre Wireshark (Leído 4,615 veces)
|
Agustín Cuba
Desconectado
Mensajes: 22
|
Hola amigos.
Esto es unaseguencia tomada de wireshark
¿Qué puede provocar que una máquina esté preguntando repetidamente Who has por toda la red??
Esta máquina, (la 55) está haciendo esto constantemente
Broadcast ARP 60 Who has 10.90.30.20? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.179? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.152? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.78? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.12? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.105? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.201? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.221? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.188? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.11? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.178? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.238? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.222? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.224? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.156? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.243? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.10? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.33? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.46? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.84? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.121? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.63? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.190? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.1? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.194? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.79? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.94? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.77? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.214? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.143? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.4? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.248? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.8? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.65? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.28? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.34? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.166? Tell 10.90.30.55 Broadcast ARP 60 Who has 10.90.30.162? Tell 10.90.30.55
|
|
|
En línea
|
|
|
|
Danielㅤ
Desconectado
Mensajes: 1.841
🔵🔵🔵🔵🔵🔵🔵
|
Hola, lo que hace esa maquina es enviar instrucciones para obtener información de esas IPs que han conectado en ella, es algo parecido a revisar un log de accesos.
Saludos
|
|
|
En línea
|
|
|
|
Agustín Cuba
Desconectado
Mensajes: 22
|
Sí Daniel, pero eso no debería hacerlo. Ninguna otra máquina de la red se comporta tal obsesiva. Incluso, no me doy cuenta que las otras computadoras le respondan. Ahí veo un comportamiento anómalo, pero no sé cuál es la razón.
Gracias por responder
|
|
|
En línea
|
|
|
|
Danielㅤ
Desconectado
Mensajes: 1.841
🔵🔵🔵🔵🔵🔵🔵
|
No, anómalo no es porque la herramienta puede hacer eso, en todo caso sería inusual. Si esa máquina hace eso y las demás no, seguramente es porque algo tiene configurado distinto a las demás, deberías revisar la configuración de las otras máquinas y comparar.
Si compruebas que esa máquina tiene una configuración distinta y la herramienta está en constante funcionamiento, deberías cerrar la herramienta, cambiar la configuración y volverla a correr, en el caso que tengas que cerrarla o sino cambia la configuración y luego haz un refresco de la configuración (si es que esta disponible esa opción).
|
|
« Última modificación: 13 Marzo 2023, 21:17 pm por Danielㅤ »
|
En línea
|
|
|
|
Agustín Cuba
Desconectado
Mensajes: 22
|
Gracias. El asunto es que he revisado esa máquina y no encuentro qué configuración o programa hace que la computadora se comporte de esa forma, por eso pregunté. No sé si es un programa mal instalado, un intento de suplantación de ip... No me he dado cuenta de qué programa ha provocado ese comportamiento
|
|
|
En línea
|
|
|
|
Danielㅤ
Desconectado
Mensajes: 1.841
🔵🔵🔵🔵🔵🔵🔵
|
Bien, lo que podes hacer es abrir el administrador de tareas/procesos y verificar que programas son los que están funcionando, también podes usar un programa para monitorear cuales son los programas que están abiertos y que instrucciones envían, en ésta página hay varias de estas herramientas que podes usar: https://www.nirsoft.net/Ahi encontrarás muy buenas herramientas de utilidad que tienen una breve descripción de cómo funcionan, los programas que podrás usar te daras cuenta cuáles son no sólo por la descripción sino por el nombre del programa.
|
|
|
En línea
|
|
|
|
Agustín Cuba
Desconectado
Mensajes: 22
|
Daniel Muchas gracias.
|
|
|
En línea
|
|
|
|
CaptainH
Desconectado
Mensajes: 37
|
Primero descartaría que la IP 10.90.30.55 no tenga algún servicio DNS corriendo, esas consultas son normales en una red LAN cuando tienes una máquina haciendo consultas por PING/Traceroute/NMAP donde intenta a nivel de capa 2 (ARP) saber que MAC corresponde a que IP para guardarlos en su tabla ARP y permitir la comunicación.
|
|
|
En línea
|
|
|
|
Agustín Cuba
Desconectado
Mensajes: 22
|
Primero descartaría que la IP 10.90.30.55 no tenga algún servicio DNS corriendo, esas consultas son normales en una red LAN cuando tienes una máquina haciendo consultas por PING/Traceroute/NMAP donde intenta a nivel de capa 2 (ARP) saber que MAC corresponde a que IP para guardarlos en su tabla ARP y permitir la comunicación.
Bueno, esta máquina no debería estar haciendo estas consultas, porque es de un usuario y debería comportarse como las otras. No he descubierto que esté corriendo algún programa sospechoso. También me llama la ayención de que ninguna máquina le responde el ARP. Gracias por responder
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Sobre wireshark...
Hacking
|
juanbass
|
9
|
8,984
|
9 Enero 2011, 05:52 am
por mtgm
|
|
|
Duda sobre Wireshark
Hacking Wireless
|
carepapa
|
7
|
7,824
|
5 Septiembre 2011, 02:17 am
por MauroMasciar
|
|
|
Duda sobre sniffear contraseñas con wireshark
Hacking Wireless
|
flyingwifi
|
6
|
11,838
|
14 Junio 2012, 22:48 pm
por OLM
|
|
|
dudas sobre arp-poisoning y wireshark
Hacking
|
Borito30
|
1
|
2,872
|
6 Enero 2017, 11:47 am
por Ancasu
|
|
|
libro sobre Wireshark
Redes
|
D4CK3R
|
1
|
4,606
|
8 Septiembre 2022, 19:05 pm
por el-brujo
|
|