SOS: "Simulación IP detectada"

sokomizer #1 Ene '06

Buenas.

Tengo un problema que me ha surjido esta misma tarde.
Resulta que el Outpost Firewall me detecta un ataque Ethernet:

"El host modifica las direcciones IP.
Simulación IP detectada."

Aparece una MAC y una IP.

Al suceder esto, la conexión parece perderse, el eMule se desconecta del servidor... Tengo IP dinámica, así que al desconectarme y volver a conectar se soluciona, pero ha vuelto a suceder (desde otra MAC) hasta 3 veces más.
El NOD32 no detecta nada.

¿Puede tratarse de un troyano?
¿Os ha pasado alguna vez?

De momento no estoy preocupado porque creo que el firewall bloquea los ataques, pero resulta un poco molesto.

Ayuda por favor. Y muchas gracias.

sokomizer #2 Ene '06

Me ha pasado otra vez. El Ad-ware no encuentra nada.

¿Es peligroso un ataque de este tipo?

AcidNos #3 Ene '06

Bueno peligroso si el que realiza el ataque consigue llevarlo hasta el finarl.

Casi al 100% seguro que se trata de un IP spoofing. Esto consiste en que alguien se meta por medio de tu conexion con una mac e IP falsas pudiendo captar el trafico que sale o entra de/a tu PC sin tu enterarte, ya que tu vas a creer que le mandas la informacion a google por ejemplo y google creera que la recibe de ti, cuando lo que realmente ocurre, es que tu mandas la informacion a la maquina del que ataca y el que ataca se lo reenvia a google y viceversa. Mas o menos explicado a grosso modo. Estos ataques son mas comunes en una red LAN pero weno, nadie dice que en internet no se puedan realizar tambien. Explicado de forma mas breve te estan intentando pinchar la linea (pa que me entiendas)

Mientras el firewall te bloquee ese ataque no tienes de que preocuparte. El spoofing lo que hace mas tecnicamente es enviar peticiones de conexion desde una IP y MAC falsas haciendote creer que se trata de un origen que ya conoces y viceversa. Se puede pillar al atacantes con programas como ethereal, en el que te marca la IP y MAC reales del atacante sniffando la red.

sokomizer #4 Ene '06

¿Me puedes hablar un poco más de ese programa (ethereal)?

¿Se considera hacker?

PD. Muchas gracias por la información.

AcidNos #5 Ene '06

Ethereal es un programa que captura todo lo que pasa por la red. Ya sea peticiones de conexion (SYN), establecimientos de conexion (SYN + ACK), o un paquete que llega por una conexion establecida (ACK), fin de conexiones (FIN), etc.

Si no sabes algo sobre como trabajan las conexiones dudo que lo entiendas pero por intentarlo que no quede.

Una vez hecha la captura tienes otros dos apartados dentro del programa que te dan informacion sobre el paquete que has seleccionado. Como la direccion mac de origen y la de destino, entre otras cosas. Es un programa gratuito y lo puedes encontrar en google facilmente. Si te lo bajas bajate tambien unas librerias que necesita (winpcap creo que se llaman si no recuerdo mal)

sokomizer #6 Ene '06

Bueno.
Con Ethereal he "capturado" la dirección de la persona en cuestión porque me ha atacado cuando estaba capturando. Inmediatamente después me he desconectado y he echado un vistazo al registro que aparece en el programa.

Bien, el firewall me dice que el ataque viene de una MAC concreta, que resulta ser la MAC de TODAS las direcciones de envíos de paquetes hacia mi ordenador. No sé si he interpretado bien los datos...

Ayuda, por favor, porque no sé qué hacer. El firewall bloquea al intruso, pero siempre por un tiempo determinado.
Preferiría no tener que formatear.

¿Es posible que tenga un archivo en mi PC que indique a la persona en cuestión mi IP cada vez que me conecto?

sokomizer #7 Ene '06

¿Es posible que se "cuele" por el puerto que utilizo en el eMule?

AcidNos #8 Ene '06

Siempre que haya un puerto abierto y ese puerto se este utilizando, ningun otro programa puede utilizarlo. Aun asi si no usas el emule, el firewall deberia controlar lo que pasa por ese puerto, puesto que tu solo has dejado paso al emule y no a otros programas.

De todas formas asegurate de que es alguien que te quiere atacar y no sea tu ISP haciendo alguna comprobacion de rutina. Contrasta esa IP con tus DNS o con tu misma direccion IP a ver si se asemejan.

Tambien puede ser que el firewall genere cada cierto tiempo falsas alertas (hay firewall que lo hacen). No te desesperes tanto, al fin y al cabo un PC es una maquina.

Sandevil #9 Ene '06

Como te conectas inet? modem/router? Usas tarjeta de red o wireless?

Asi a simple vista, si se da el caso de que usas router y wi-fi, puede que alguien haya, puede que alguien te este haciendo mac spoofing a tu pc para que las conexiones pasen a traves suyo antes de llegar al router.

Si usas router, cable de red, y no tienes el wi-fi activado (o no tiene tu router esa opcion), los mas probable es que el firewall te este dando falsos positivos.

Lo mejor seria que comprobaras la mac del router. Esta suele venir en una pegatina en la parte inferior.

Por cierto que le ethereal es bastante mas potente de lo que parece, ya que permite reconstruir paquetes.. Y mirando el contenido de los mismos, puedes sacar mucha informacion (p.e. que esta descargando cierto usuario, reconstruir las web que ha visitado, etc...)

AcidNos #10 Ene '06

Sandevil me caes bien tio jejejeje. Te veo por todos los post en los que contesto de soft libre y soft xDDD.

Por cierto le hemos dicho los dos lo mismo. Yo no quise meterme mucho con el tema ethereal porque se puede volver un poco loco si no sabe de que va el tema. Pero amos que basicamente o es eso o el firewall es una mierda xDD

Sandevil #11 Ene '06

xDD es que contestas los interesantes

Hombre.. conteste este para ver si da pistas sobre como tiene montada la red, ya que lo considero importante para determinar que causa esas alertas, pero como tu, no me extrañaria nada que fuera tema del firewall

De toas formas, para los conocimientos que tiene, le veo bastante habil, 1 añito mas, y le tenemos contestando post con nosotros xDDD

sokomizer #12 Ene '06

Me conecto por módem ADSL.

Es cierto que no debería preocuparme, lo que me fastidia es que cada vez que me alerta el firewall se me "bloquea" la conexión y tengo que volver a conectarme.

¿Qué firewall utilizáis vosotros dos?

PD. Hombre, no soy demasiado hábil con esto todavía, pero uno hace lo que puede xD además estoy cursando el currículum CISCO xD

AcidNos #13 Ene '06

Yo uso las IPTables de linux, que van a nivel de kernel. Lo configuro como yo lo necesito. Permito y bloqueo lo que yo quiero, no lo que el firewall cree que debe bloquear.

Tambien podria usar el portsentry, que me escucha actividad en los puertos y si tu no quieres que ciertos paquetes pasen los bloquea por medio de IPTables. Lo bueno de las IPTables es que puedes ver TODO lo que permites y bloqueas o redireccionas.

Hace tiempo que windows me dejo de gustar como sistema operativo. Se sobre windows porque bueno, lo maneje y ahora he estado estudiando seguridad en este sistema operativo ademas del Linux y claramente me que quedo con Linux.

Para lo unico que me gusta Windows es para jugar, puesto que aprovecha mejor el hardware en este aspecto.

En cuanto a tu problema, usa Norton o Black Ice. Yo en la maquina que uso para jugar simplemente tengo el firewall de windows. Es mas potente de lo que la gente cree si esta bien configurado.

sokomizer #14 Ene '06

He estado buscando por ahí (incluso he leído documentos "forenses" de una empresa que fue atacada por un intruso xD) y se me ha ocurrido que quizás con un rastreador de ids pueda encontrar al autor de los ataques, porque para cuando conozca el Ethereal a fondo quizás mi PC ya haya muerto.

Voy a probar con un ids de la companía a2.
¿Es recomendable probarlo o mejor me lío con el Ethereal?

PD. Perdón mis preguntas chorras, pero quiero aprender un poco más de este tema.

AcidNos #15 Ene '06

Bueno, depende del tipo de IDS. Hay IDS que te hacen la funcion no mas alla del firewall. Lo unico que si te recomiendo es que no generes ningun tipo de respuesta con un IDS, puesto que si el ataque es real, el atacante podria tomarlo como un "desafio".

Yo probaria primero a cambiar de firewall, porque no es el primer caso de firewalls que generan alertas falsas de ese tipo, antes de probar cualquier otra cosa mas avanzada.

sokomizer #16 Ene '06

He cambiado de firewall, ahora estoy probando el Norton Firewall 2005 y aparentemente ya no sufro ataques.

Esperaré unos días para sacar conclusiones.

Gracias por la ayuda.

Usuarios habituales