dirección MAC de la fuente en la sesión RDP

Navega tus respuestas
1

En un análisis forense analicé los registros de eventos de la máquina afectada y vi varias sesiones RDP desde la dirección IP de XYZ. Sin embargo, para demostrar que la IP de origen no fue falsificada, ¿es posible que pueda encontrar la dirección MAC de la PC desde donde se inició la sesión RDP?

    
pregunta Airbourne 06.04.2016 - 08:07
fuente

3 respuestas

4

Si la dirección IP de la fuente RDP sospechosa está dentro de su red administrada ,

y si dentro de su red, todas sus direcciones IP se atribuyen mediante un proceso de administración de IP correctamente rastreado: DHCP o radius o 802.1X ,

y si este mecanismo de atribución de direcciones IP se registra correctamente en un servidor de registro protegido: a través de syslog ,

luego puede obtener un válido dirección MAC de la fuente RDP sospechosa y muy probablemente el socket físico de Ethernet o el punto de acceso físico 802.11* a través del cual se conectó,

else no puede obtener ninguna dirección MAC .

Por ejemplo, para centrarse en una posible respuesta a su pregunta, Si la dirección IP de la fuente sospechosa del ataque RDP está fuera de su red administrada, entonces no puede obtener ninguna dirección MAC.

Tenga en cuenta que si el atacante conocía su política de administración de direcciones IP, entonces la dirección MAC válida de la PC atacante podría haber cambiado para obtener acceso a su red con una dirección MAC registrada.

    
respondido por el daniel Azuelos 06.04.2016 - 11:00
fuente
4

No.

  • No hay garantía de que la otra máquina tenga una dirección MAC en absoluto.

    Siguiendo el principio de IP sobre todo , el partd de conexión puede estar sentado en un árbol utilizando IP sobre avian operadores - y pidgins no tienen direcciones MAC.

  • Solo puede obtener una dirección MAC de una IP en su red local en la hora en que se realizó la conexión , ya que la asignación puede cambiar con el tiempo al asignar una nueva IP para esa interfaz y solo está disponible para su red local. Si quieres hacer esto, es 

    arp -an

    Ten en cuenta que:

  • Si la dirección IP está falsificada, fallará un protocolo TCP. No se puede establecer una conexión real.
respondido por el Tobi Nary 06.04.2016 - 09:06
fuente
2
  

Sin embargo, para demostrar que la IP de origen no fue falsificada, ¿es posible que pueda encontrar la dirección MAC de la PC desde donde se inició la sesión RDP?

Una dirección IP está en la capa de red, mientras que el MAC está en la capa de enlace de datos (consulte modelo OSI ). La dirección IP es la misma cuando los datos viajan a través de varias redes, mientras que la dirección MAC cambia en cada límite de la red. Por lo tanto, si la dirección IP pertenece a una red diferente, tendrá la dirección MAC del enrutador que proporcionó conectividad entre estas redes.

Incluso si la dirección IP pertenece a la red local, no significa que la sesión RDP se originó allí. Puede ser solo un sistema utilizado como punto final de algunos túneles SSH o SOCKS y la sesión RDP se originó en el otro lado de este túnel.

    
respondido por el Steffen Ullrich 06.04.2016 - 09:51
fuente

Lea otras preguntas en las etiquetas

Pasar una CVV no válida crea una transacción exitosa Reglas de contraseña complejas: ¿tiene algún sentido?