elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Sobre Wireshark
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Sobre Wireshark  (Leído 4,570 veces)
Agustín Cuba

Desconectado Desconectado

Mensajes: 22


Ver Perfil
Sobre Wireshark
« en: 13 Marzo 2023, 14:16 pm »

Hola amigos.

Esto es unaseguencia tomada de wireshark

¿Qué puede provocar que una máquina esté preguntando repetidamente Who has por toda la red??

Esta máquina, (la 55) está haciendo esto constantemente

        Broadcast   ARP   60   Who has 10.90.30.20? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.179? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.152? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.78? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.12? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.105? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.201? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.221? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.188? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.11? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.178? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.238? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.222? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.224? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.156? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.243? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.10? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.33? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.46? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.84? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.121? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.63? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.190? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.1? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.194? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.79? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.94? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.77? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.214? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.143? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.4? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.248? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.8? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.65? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.28? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.34? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.166? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.162? Tell 10.90.30.55




En línea

Danielㅤ


Desconectado Desconectado

Mensajes: 1.825


🔵🔵🔵🔵🔵🔵🔵


Ver Perfil
Re: Sobre Wireshark
« Respuesta #1 en: 13 Marzo 2023, 15:33 pm »

Hola, lo que hace esa maquina es enviar instrucciones para obtener información de esas IPs que han conectado en ella, es algo parecido a revisar un log de accesos.


Saludos


En línea

Agustín Cuba

Desconectado Desconectado

Mensajes: 22


Ver Perfil
Re: Sobre Wireshark
« Respuesta #2 en: 13 Marzo 2023, 20:24 pm »

Sí Daniel, pero eso no debería hacerlo. Ninguna otra máquina de la red se comporta tal obsesiva. Incluso, no me doy cuenta que las otras computadoras le respondan.
Ahí veo un comportamiento anómalo, pero no sé cuál es la razón.

Gracias por responder
En línea

Danielㅤ


Desconectado Desconectado

Mensajes: 1.825


🔵🔵🔵🔵🔵🔵🔵


Ver Perfil
Re: Sobre Wireshark
« Respuesta #3 en: 13 Marzo 2023, 21:16 pm »

No, anómalo no es porque la herramienta puede hacer eso, en todo caso sería inusual.
Si esa máquina hace eso y las demás no, seguramente es porque algo tiene configurado distinto a las demás, deberías revisar la configuración de las otras máquinas y comparar.

Si compruebas que esa máquina tiene una configuración distinta y la herramienta está en constante funcionamiento, deberías cerrar la herramienta, cambiar la configuración y volverla a correr, en el caso que tengas que cerrarla o sino cambia la configuración y luego haz un refresco de la configuración (si es que esta disponible esa opción).
« Última modificación: 13 Marzo 2023, 21:17 pm por Danielㅤ » En línea

Agustín Cuba

Desconectado Desconectado

Mensajes: 22


Ver Perfil
Re: Sobre Wireshark
« Respuesta #4 en: 14 Marzo 2023, 13:18 pm »

Gracias. El asunto es que he revisado esa máquina y no encuentro qué configuración o programa hace que la computadora se comporte de esa forma, por eso pregunté.
No sé si es un programa mal instalado, un intento de suplantación de ip... No me he dado cuenta de qué programa ha provocado ese comportamiento
En línea

Danielㅤ


Desconectado Desconectado

Mensajes: 1.825


🔵🔵🔵🔵🔵🔵🔵


Ver Perfil
Re: Sobre Wireshark
« Respuesta #5 en: 14 Marzo 2023, 14:40 pm »

Bien, lo que podes hacer es abrir el administrador de tareas/procesos y verificar que programas son los que están funcionando, también podes usar un programa para monitorear cuales son los programas que están abiertos y que instrucciones envían, en ésta página hay varias de estas herramientas que podes usar:

https://www.nirsoft.net/

Ahi encontrarás muy buenas herramientas de utilidad que tienen una breve descripción de cómo funcionan, los programas que podrás usar te daras cuenta cuáles son no sólo por la descripción sino por el nombre del programa.
En línea

Agustín Cuba

Desconectado Desconectado

Mensajes: 22


Ver Perfil
Re: Sobre Wireshark
« Respuesta #6 en: 14 Marzo 2023, 14:47 pm »

Daniel Muchas gracias.

En línea

CaptainH

Desconectado Desconectado

Mensajes: 37



Ver Perfil
Re: Sobre Wireshark
« Respuesta #7 en: 3 Abril 2023, 14:52 pm »

Primero descartaría que la IP 10.90.30.55 no tenga algún servicio DNS corriendo, esas consultas son normales en una red LAN cuando tienes una máquina haciendo consultas por PING/Traceroute/NMAP donde intenta a nivel de capa 2 (ARP) saber que MAC corresponde a que IP para guardarlos en su tabla ARP y permitir la comunicación.
En línea

Agustín Cuba

Desconectado Desconectado

Mensajes: 22


Ver Perfil
Re: Sobre Wireshark
« Respuesta #8 en: 3 Abril 2023, 15:11 pm »

Primero descartaría que la IP 10.90.30.55 no tenga algún servicio DNS corriendo, esas consultas son normales en una red LAN cuando tienes una máquina haciendo consultas por PING/Traceroute/NMAP donde intenta a nivel de capa 2 (ARP) saber que MAC corresponde a que IP para guardarlos en su tabla ARP y permitir la comunicación.
Bueno, esta máquina no debería estar haciendo estas consultas, porque es de un usuario y debería comportarse como las otras. No he descubierto que esté corriendo algún programa sospechoso. También me llama la ayención de que ninguna máquina le responde el ARP.

Gracias por responder
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Sobre wireshark...
Hacking
juanbass 9 8,970 Último mensaje 9 Enero 2011, 05:52 am
por mtgm
Duda sobre Wireshark
Hacking Wireless
carepapa 7 7,795 Último mensaje 5 Septiembre 2011, 02:17 am
por MauroMasciar
Duda sobre sniffear contraseñas con wireshark
Hacking Wireless
flyingwifi 6 11,782 Último mensaje 14 Junio 2012, 22:48 pm
por OLM
dudas sobre arp-poisoning y wireshark
Hacking
Borito30 1 2,866 Último mensaje 6 Enero 2017, 11:47 am
por Ancasu
libro sobre Wireshark
Redes
D4CK3R 1 4,587 Último mensaje 8 Septiembre 2022, 19:05 pm
por el-brujo
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines