Problema con rilevazione MAC address

[tyrell]

Per la mia sicurezza della nostra rete wireless di casa stiamo compilando una blacklist di tutti i MAC address degli indirizzi IP che troviamo come intrusi sulla nostra rete con programmi come Angry IP scanner (non abbiamo fatto una whitelist in quanto provandola ha bloccato l'accesso a tutti i PC di casa, anche quelli a cui avevamo dato il permesso).

Il problema è che sulla nostra rete si introduce spesso un 192.168.2.1 (che ho cercato su Google e scoperto essere un indirizzo di fabbrica dei Belkin, ed infatti ce n'è uno nelle vicinanze). Cercandone il MAC address non ritorna però nessun risultato, come se questo fosse nascosto. Cosa posso fare per trovarlo? C'è qualche programma particolare che possa fare lo sporco lavoro?

Oppure ci dovrebbe essere nel mio Router (Xavi X7868uA+ datomi da Libero) un'impostazione che richieda di mostrare il MAC per forza, impedendo così di nasconderlo agli altri PC della rete?

[Sticky©]

Se quel router/indirizzo IP entra nella vostra rete ( e vorrei un attimo capire come fate ad accorgervene ) basta prendere Wireshark ( o Ethereal ), scaricarlo, metterlo in ascolto su uno dei vostri pc in quella rete e filtrare il traffico per "ip.proto=arp" oppure pingare quell' indirizzo e filtrare il traffico per "ip.proto=icmp".

Anche se, secondo me, nella pagina del tuo router dovresti vedere sia i client connessi che il relativo mac address.

[tyrell]

Aggiornamento:

facendo tracert su 192.168.2.1 non passava dal mio router, quindi ho pensato che potesse essere semplicemente un tentativo di accesso diretto al Belkin e cmq questo IP ora è sparito.

Quando faccio arp -a mi appare però sempre un 192.168.1.51 che ha un MAC address che se decodificato mi dice che è un Awarepoint Corp. (azienda di attrezzature mediche) che penso sia falso. Inoltre spesso arp mi dice che lo stesso MAC address lo ha anche il mio router (il che non è possibile), alcune volte però il router resta normale e appare come MAC del .51 e basta.

Voglio almeno poter capire cosa sta facendo, o se magari il mio router utilizza quell'indirizzo con un altro componente che ha quel MAC.

[Sticky©]

Ma questo indirizzo da dove lo tiri fuori?

[tyrell]

arp -a

E ora che faccio il capture con Wireshark me lo vede anche lì. Utilizza diversi tipi di protocolli e ora mentre ti parlo su wireshark mi dice che usa ARP per sapere chi ha il mio ip locale (statico).

Scusa se non ti dico le cose importanti ma io sono un giovane biologo e su sta roba me ce sto a fa na curtura solo in questo frangente per questo problema.

E ora Wireshark mi dice che è stato rilevato un uso duplicato di 192.268.1.51!

[Sticky©]

Ma questo client come si connetterebbe? Via wireless?

[Pasta X]

ho è un genio e fa spoofing pesante con Mcaddress masquered (e ce ne vuole )
o tu stai traccando un apparato sulla tua Lan che prende un ip dal DHCP

[Sticky©]

ho è un genio e fa spoofing pesante con Mcaddress masquered (e ce ne vuole )
o tu stai traccando un apparato sulla tua Lan che prende un ip dal DHCP

Dubito sia un genio che spoofa il mac address, però già a leggere gli indirizzi IP, sono di classi C differenti. E i DHCP dei router casalinghi assegnano indirizzi della stessa classe C, al massimo un 192.168.1.100/254...

[Pasta X]

Dubito sia un genio che spoofa il mac address, però già a leggere gli indirizzi IP, sono di classi C differenti. E i DHCP dei router casalinghi assegnano indirizzi della stessa classe C, al massimo un 192.168.1.100/254...

chissa' perchè a me non capitano mai queste cosine
da smandrupparci un pochetto
avra' bucato con airstrike mi pare
boh mi intriperebbe entrare nella tua lan e giocare
ma ho altri impegni

[robbocroft]

Mi sa che stai facendo un pò di confusione Tyrell.
Innazitutto non so cosa tu intenda quando dici che "decodifichi" un Mac address per vedere che appartiene ad Awarepoint Corp. I mac address non sono indirizzi come i domini internet che sai a chi sono in gestione. Semplicemente ogni scheda produttrice di NIC (schede di rete per intenderci) ha un range a lei assegnato di MAC address. Il che vuol dire che tu da un MAC address puoi risalire all'azienda che ha prodotto la scheda di rete ma non a quella che la sta usando.
Il comando arp -a serve per vedere la cache di indirizzi MAC presenti sul tuo pc e, in sostanza, tiene in memoria per breve tempo gli indirizzi con cui la tua macchina ha "parlato"
Mi pare di capire tu non sia esperto di queste tematiche, francamente ti consiglio di prendere il problema da un punto di vista "più" alto, lasciando perdere per ora analisi sui MAC address che possono essere un pò ostiche.
La prima cosa da capire è come funziona la tua rete. Postaci qua le informazioni che sai, come ad esempio se il tuo router fa da server DHCP o meno. Prova anche, se riesci, a dirci quanti pc hai che si connettono alla tua rete e se hanno più di una scheda di rete. Non infatti da escludere che tu abbia un pc con più di una scheda di rete e che l'ip elusivo (192.168.2.1) non sia altro che l'indirizzo di una di esse.

P.S.
non so come tu abbia ricavato l'informazione che l'ip 192.168.2.1 sia un un "indirizzo di fabbrica dei Belkin" ma è sbagliata. Quell'indirizzo fa parte di una classe "riservata" ad uso privato e chiunque lo può utilizzare all'interno delle proprie reti