Como alterar endereço MAC Adress

O método abordado aqui costuma ser chamado de “MAC spoofing”.
Este texto aborda a mudança do MAC de placas de rede em computadores rodando Windows XP. A mudança do MAC em aparelhos como modems e roteadores não pode ser feita por este processo. Por sorte, muitos modems e roteadores tem seu próprio método de escolha do MAC.
Por que mudar o MAC?
Existem motivos maliciosos para isso (um monte deles), mas também existem motivos legítimos. No meu caso, precisei estudar o assunto quando instalei internet via rádio na minha casa e descobri que o acesso estava amarrado ao MAC da placa de rede fornecida pelo provedor. Isso é feito para dificultar o acesso não autorizado à rede sem fio, mas eu não gosto da idéia de ficar dependendo de uma peça de hardware que eu não posso trocar para fazer diagnóstico.
Nota: No mundo Windows, apenas depois do Windows 2000 isso passou a ser possível (e fácil) porque o sistema operacional veio com suporte a isso. Todo mundo que aprendeu como funcionam as redes Windows antes de 2000 e não se atualizou continua achando que mudar o MAC sem um “hack” eletrônico seja impossível, porque era mesmo.
Nota: Eu testei o método também no Windows Vista Starter Edition e aparentemente funcionou. Os locais no Registro são encontrados da mesma maneira e o MAC aparece alterado. Mas como eu só uso o Vista em testes, meu tutorial só aborda o XP. Em tese, o método também funciona no Windows 2000 e 2003, mas não tenho tempo para comprovar isso agora.
A mudança não é permanente. Você apenas informa ao XP para usar outro MAC ao construir os pacotes de dados. Se você formatar o HDD ou retirar a placa e colocar em outra máquina, o MAC original volta a valer.
Toda placa de rede tem um MAC único. Em teoria não deveriam existir duas placas no mundo com o mesmo MAC. Isso é garantido em parte porque os três primeiros bytes do MAC são únicos para cada fabricante. E como tentar usar duas placas com o mesmo MAC numa mesma rede pode criar uns problemas enlouquecedores, um fabricante não tem nenhum interesse em deixar que isso aconteça com os seus produtos. O MAC é gravado em uma memória EEPROM em todas as placas de rede, desde as pré-”plug and play” até hoje.
As fotos abaixo destacam a memória EEPROM em dois modelos de placas WIFI:
Com o conhecimento e o equipamento é possível mudar o endereço MAC gravado na EEPROM, mas em um PC rodando o Windows XP você não precisa ter esse trabalho todo.
Nesta página eu abordo três métodos:

• Um inteiramente manual, manipulando o Registro do Windows;
• Um semi-automático, onde você faz a mudança no Registro usando arquivos .reg;
• Um automático, usando software de terceiros;

Como obter o MAC em uso
O modo mais óbvio é procurando pela etiqueta na própria placa, mas se a a placa não tiver etiqueta ou já estiver instalada, sempre tem um jeito.
Estando no PC

Estando em outro PC na mesma sub-rede
Você só precisa saber o IP da máquina em questão. Abra um prompt de comando e dê os seguintes comandos:
ping endereçoIP
arp -a endereçoIP
Só funciona se o endereço responder ao PING
Por exemplo, como o endereço IP do exemplo acima é 192.168.0.121, basta fazer isso em outra máquina:

Nota: “arp -a” não vai buscar o endereço MAC na rede. O endereço foi obtido quando demos o PING e está no cache, por isso se você executar esses comandos em uma máquina “A” para obter o MAC da máquina “B” e em seguida mudar o MAC da máquina “B”, se testar com “arp -a” de novo, o MAC antigo será retornado. É preciso usar PING novamente para atualizar o endereço.

O método manual

Para mudar o MAC no XP você precisa identificar exatamente o adaptador de rede cujo MAC você quer mudar. Isso é simples em um computador “simples” com uma única conexão de rede, mas se você já tiver instalado ou mesmo testado adaptadores Bluetooth, Vmware, outras placas de rede, etc, o registro vai estar apinhado de referências a adaptadores de rede. Você precisa ser capaz de encontrar o correto.
O modo mais “direto” é se você souber exatamente qual o “nome da conexão”.
Nota: o nome dado a uma conexão é único. Você também pode procurar pelo nome do driver, mas esse método pode levar a “falsos positivos”, porque se por exemplo você tem (ou mesmo teve) duas placas de rede iguais no PC vão existir duas referências ao mesmo driver no registro e você pode escolher a errada. O mesmo pode ocorrer se você tirar a placa de rede de um slot PCI e colocar em outro. Se sua placa de rede tiver “passeado” por todos os slots de sua placa mãe, vai existir uma referência no registro para cada slot, sem meios simples de descobrir qual a referência ativa.

Na imagem ao lado, meu adaptador de rede está configurado para exibir o status quando conectado (o default do XP é exibir apenas em caso de problemas) e basta mover o mouse sobre o ícone para ver o nome da conexão. No meu caso é “Rede 100 Mbps” porque eu dei esse nome, mas na maior parte dos casos vai ser “Conexão Local”

Alternativamente, abrindo “Conexões de Rede” no Painel de Controle você vai ver uma lista parcial das conexões. No meu caso, como eu dei a cada uma um nome descritivo, é fácil identificar a correta.

Alguns drivers já tem suporte à mudança
A imagem abaixo mostra dois caminhos possíveis para chegar ao local onde é possível configurar o MAC

No exemplo acima, a opção não existe. Quando a opção existe se parece mais ou menos com isso:

No caso acima, basta inserir o novo valor em “value” e depois desativar e reativar a placa de rede.
Quando o modo mais fácil não funciona
Sabendo qual o nome da sua Conexão de Rede, basta usar Regedit.exe para olhar na chave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}

1. O caminho da chave raiz é sempre este. Você vai olhar as sub-chaves uma por uma em “connection”…
2. …até encontrar o nome da sua conexão de rede.
3. Anote então este número.

O próximo passo é em outro lugar bem próximo (a única diferença está em negrito) no Registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}

1. Olhe em todas as sub-chaves até encontrar…
2. …a que tenha o valor NetCfgInstanceId igual ao que você anotou
3. NetworkAddress tem o valor do MAC configurado pelo usuário. Se estiver limpo, o adaptador está usando seu endereço de fábrica. Se o item não existir, crie um.

• Para não ter que procurar novamente, clique com o botão direito sobre a chave mais próxima (no caso acima, é a pasta de nome “0001″) e peça “copiar nome da chave”. Salve em algum lugar.
• Clique duas vezes para mudar o valor. Não use nenhum tipo de separador. Por exemplo, se o MAC desejado for 00-16-E9-74-1D-27 você deve digitar 0016E9741D27;
• Desative o adaptador de rede (“reparar” não basta);
• Ative o adaptador;
• Teste. Você já deverá aparecer com um novo MAC. Note a “ironia” do XP continuar chamando de “endereço físico” um endereço que de físico não tem mais nada

Automatizando
Clique com o botão direito sobre chave mais próxima (no caso acima, é a pasta de nome “0001″) e peça “Exportar”. Isso vai criar um arquivo .reg com todo o conteúdo da chave e que pode ser editado com o Notepad. O conteúdo do arquivo começa mais ou menos assim:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0001]
"AdapterCFID"="811929862"
"AdapterType"="5"
"MediaType"="1"
"ReceiveBurstIndicate"="32"
"ReceiveThreshold"="0"
"TransmitThreshold"="0"
"BurstLength"="1"
"MapRegisters"="32"
"EarlyReceive"="0"
"EarlyTransmit"="0"
"TransmitBuffers"="32"
"ReceiveBuffers"="64"
"NetworkAddress"="0016E9741D27"
"Characteristics"=dword:00000084
"BusType"="5"
"ComponentId"="pci\\ven_1106&dev_3065"
"ConnectionType"="0"
"ValidatePacketLen"="1"
"InfPath"="netvt86.inf"
"InfSection"="VT3065.ndi.nt"
"ProviderName"="Microsoft"

Você pode até remover tudo do arquivo e deixar apenas estas linhas:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002bE10318}\0001]
"NetworkAddress"="0016E9741D27"

Edite o arquivo com o MAC que você desejar e salve. Você pode salvar com outros nomes para ter um arquivo para cada MAC que deseja usar.
Tendo feito isso, o procedimento automatizado se resume a:

• Clicar duas vezes sobre o arquivo .reg desejado para instalar;
• Desativar e ativar o adaptador;

É importante ter em mente que esses arquivos .reg só servem no PC onde foram criados.

O método inteiramente automático

Eu não vou entrar em maiores detalhes, mas existem dois softwares que podem fazer isso por você:

• MACshift – Open Source – Só pode ser usado por linha de comando. Só funciona no Windows XP.
• SMAC – Tem uma GUI, mas não é sequer gratuito. Só aceita linha de comando na “Command Line Edition” (US$50), mas segundo a propaganda funciona no 2000, XP, 2003 e Vista;

Ambos permitem a troca do MAC sem precisar reiniciar o Windows.
Francamente, pelo menos no Windows XP a mudança do MAC é tão trivial que acho um absurdo o que cobram pelo SMAC, por isso nem sequer baixei para testar ainda. Meu preferido é, óbviamente, o MACshift.

Shell Script

Curso de Shell Script Aula 01 : Introdução


Curso de Shell Script Aula 02 : Criando o primeiro script

Cuso de Shell Script Aula 03 – Comando Test

Curso de Shell Script Aula 03.1 – Estrutura if

Curso de Shell Script Aula 03.2 – Exemplo Prático

Curso de Shell Script Aula 04 – Estrutura Case

Curso de Shell Script Aula 05 – Loops

Shel Scrip

ARP Poisoning

O ataque do tipo ARP-Poisoning (ou ARP-Spoofing) é o meio mais eficiente de executar o ataque conhecido por Man-In-The-Middle, que permite que o atacante intercepte informações confidenciais posicionando-se no meio de uma conexão entre duas ou mais máquinas.
Para executar esse tipo de ataque é necessário que o ARP-Poisoning seja realizado inicialmente. A técnica de ARP-Poisoning é aplicada apenas em redes Ethernet. Basicamente, um sistema conectado a um IP ou LAN Ethernet tem dois endereços. O primeiro endereço é o MAC, que é atribuído à placa de rede (NIC1) possuída pelo usuário. Os endereços MAC são (ou supõe-se ser) únicos e utilizando esse endereço o protocolo Ethernet envia os dados. O protocolo Ethernet constrói frames de dados que consistem de blocos de 1500 bytes. Um frame Ethernet consiste do cabeçalho Ethernet, contendo o endereço MAC do computador origem e do computador destino.
O segundo endereço é o IP. O IP é um protocolo utilizado por aplicações, independente da tecnologia com que opera. Todo computador em uma rede deve possuir um endereço IP único para a comunicação. Os endereços IPs são virtuais e atribuídos pelo software. IP e Ethernet devem trabalhar juntos. O IP comunica-se construindo pacotes que são diferentes da estrutura de frames. Esses pacotes são entregues pela camada de rede (Ethernet), que divide os pacotes em frames, adiciona um cabeçalho Ethernet e envia-os para um componente da rede. Este então decide a porta pela qual o frame deve ser enviado através da comparação do endereço destino do frame com uma tabela interna que mapeia os números das portas de um endereço MAC.
Como mencionado antes, um frame Ethernet é construídos a partir de um pacote IP, mas para a construção de um frame Ethernet, a rede precisa do endereço MAC do computador destino. Aqui, a Ethernet sabe apenas o endereço IP da máquina destino. Daí, para descobrir o endereço MAC do computador destino a partir de seu endereço IP, o protocolo ARP é utilizado.

Conceitos Básico sobre ARP (Address Resolution Protocol)2

O Address Resolution Protocol (ARP) é um protocolo para mapear um endereço IP de um endereço de uma máquina física (MAC) 3 que é reconhecida na rede local. Por exemplo, um IP versão 4 (IPv4), o tipo de IP mais comumente usado hoje em dia, um endereço IP tem 32 bits de tamanho. Em uma rede local Ethernet, entretanto, os endereços de dispositivos conectados possuem 48 bits de tamanho. Para aumentar a eficiência da rede e não engargalar a conexão realizando o broadcast do ARP, cada computador mantém uma tabela de endereços IP e endereços Ethernet na memória. Isto é chamado de cache ARP. Antes de enviar um broadcat para toda a rede, o computador transmissor verificará se a informação existe em seu cache ARP. Se existir, ele completará os dados Ethernet sem enviar um broadcast ARP e evitando de engargalar a conexão.
Cada entrada dura normalmente 20 minutos (mas depende do sistema operacional). A RFC 1122 especifica que é possível configurar o valor do tempo de expiração do cache ARP no host. Para examinar o cache em um computador com Windows, UNIX ou Linux, digite arp -a no console ou prompt de comando. O ARP provê as regras do protocolo realizando esta correlação e possibilitando a conversão de endereços em ambas as direções.

Como o ARP Funciona

Quando um pacote destinado a uma máquina de uma rede local particular chega no gateway, o gateway solicita ao programa ARP que encontre um host físico ou endereço MAC que esteja de acordo com o endereço IP. O programa ARP olha no ARP cache e, se encontra o endereço, retorna o mesmo e assim o pacote pode ser convertido ao formato e tamanho corretos e enviado à máquina. Se nenhuma entrada é encontrada para o endereço IP, o ARP faz um broadcast de um pacote de requisição especial para todas as máquinas na rede para ver se uma das máquinas sabe qual delas tem o IP associado. Uma máquina reconheça o endereço IP como o seu, retorna uma resposta indicando isso.
Assim, o ARP atualiza seu cache para futura referência e então envia o pacote de dados para o endereço MAC que respondeu. Aqui está um exemplo simples de comunicação por ARP. Uma recepcionista de uma empresa, solicita ao editor de texto de seu computador que imprima a lista de contatos atualizada da companhia. Esta é sua primeira impressão de arquivo hoje. Seu computador (endereço IP 192.168.0.16) quer encontrar o serviço de impressão da impressora HP LaserJet do escritório (endereço IP 192.168.0.45). Desse modo, o computador da recepcionista faz o broadcast de uma requisição ARP para toda a rede local perguntando: Quem tem o endereço IP 192.168.0.45?, como visto na figura 1. Todos os dispositivos da rede ignoram esta requisição ARP (ARP Request), exceto a impressora HP LaserJet. A impressora reconhece seu próprio IP na requisição e envia uma resposta (ARP Reply):
Oi, meu endereço IP é 192.168.0.45. Aqui está meu endereço MAC: 00:90:7F:12:DE:7F como na figura 2. Agora o computador da recepcionista sabe o endereço MAC da impressora. Ele envia o pedido de impressão para o dispositivo correto, e também associa o endereço MAC da impressora 00:90:7F:12:DE:7F com o endereço IP da mesma 192.168.0.45 em sua tabela ARP. Figura 1 Funcionamento do ARP
Figura 2 Funcionamento do ARP Este é o caso quando o host receptor está na mesma rede. Se o host receptor está em outra rede, computador transmissor passará por sua tabela de roteamento e determinará o roteador correto ( um roteador deve estar entre duas ou mais redes) para enviar os dados e substituirá o endereço Ethernet pelo do roteador no cabeçalho ethernet. O endereço IP encapsulado deve ainda possuir o endereço IP que receberá o pacote de dados. Quando o roteador recebe a mensagem, ele procura nas informações do IP para dizer para onde enviar os dados no próximo passo. Se o receptor está na rede onde o roteador está conectado, ele irá realizar a resolução de endereço do ARP, ou utilizando o buffer de cache ARP ou realizando um broadcasting.

Definição de ARP-Poisoning

ARP-Poisoning ou ARP Spoofing é um tipo de ataque no qual uma falsa resposta ARP é enviada à uma requisição ARP original. Enviando uma resposta falsa, o roteador pode ser convencido a enviar dados destinados ao computador 1 para o computador 2, e o computador por último redireciona os dados para o computador 1. Se o envenenamento ocorre, o computador 1 não tem idéia do redirecionamento das informações. A atualização do cache do computador alvo (computador 1) com uma entrada falsa é chamado de Poisoning (envenenamento).

Sistemas Operacionais vulneráveis ao ARP-Poisoning

Um sistema operacional é considerado vulnerável ao ARP-Poisoning quando o sistema com o sistema operacional correspondente pode ser envenenado por outro sistema, que seja capaz de sobrescrever as entradas existentes, ou adicionar uma entrada, se não existir nenhuma, com uma resposta falsa. Isso é ARP Poisoning
S.O. vulneráveis ao ARP-Poisoning
1. Windows NT 2. Windows XP
3. Windows 95/98/2000 4. Linux
5. Netgear 6. AIX 4.3
S.O. não-vulneráveis ao ARP-Poisoning
Sun Solaris Systems

Ataques ARP

Sniffing
Os switches determinam quais dados vão para qual porta através da comparação do endereço MAC nos dados com uma tabela. Esta tabela consiste de uma lista de porta e endereços MAC relativos a elas. A tabela é construída quando o switch é ligado, examinando o MAC origem dos primeiros dados enviados a cada porta. Placas de rede podem entrar em um estado chamado de Modo Promíscuo onde é permitido examinar dados destinados a endereços MAC outros que não o seu. Em redes com switch isso não é permitido, pois o switch faz o direcionamento dos dados baseado na tabela descrita acima. Isso previne contra o sniffing dos dados de outras máquina. Entretanto, utilizando o ARP Poisoning há muitas formas através das quais o sniffing pode ser realizado em uma rede com switch.
Man in the Middle (MITM)
Este ataque é um dos métodos de sniffing. É um dos ataques no qual uma terceira pessoa está inserida entre o caminho de comunicação de dois computadores. Não há qualquer interrupção do tráfego de ambos os computadores, pois a terceira pessoa redireciona os pacotes de dados ao computador destino.
Considere um exemplo. Na figura abaixo o atacante, host C, envia uma resposta ARP para dizer à B que o IP de A pertence ao endereço MAC de C, e outra resposta é enviada à A, dizendo que o IP de B pertence ao endereço MAC de C. Já que o protocolo ARP não é volátil (stateless), os hosts A e B assumem que enviaram uma requisição ARP em algum ponto no passado e atualizaram seus caches ARP com esta nova informação. Figura 3 Organização de um ataque MITM
Figura 4 Organização de um ataque MITM Agora, quando A tenta enviar dados para B, ele vai para C, ao invés de B. O host C pode usar esta posição única para direcionar os dados para o host correto e monitorá-los ou modificá-los a medida que eles passam por C (figura 4). Man-in-The-Middle também pode ser realizado entre um computador e o roteador de uma rede através do envenenamento (poisoning) do roteador.
MAC Flooding
Este é outro método de sniffing. O MAC Flooding é uma técnica de ARP-Poisoning voltada para switchs de rede. Quando alguns switchs são sobrecarregados eles frequentemente passam a funcionar no modo hub. No modo hub, o switch está ocupado demais para reforçar a segurança de suas portas e apenas faz o broadcast do tráfego de toda a rede para cada um dos computadores em sua rede. Através da sobrecarga (flooding) da tabela ARP do switch com toneladas de respostas ARP falsas, um hacker pode sobre carregar muitos switchs usados atualmente e então sniffar os pacotes da rede enquanto o switch funciona no modo hub.
Denial of Service
Um hacker pode facilmente associar um endereço IP operacional a um endereço MAC falso. Para tanto, um hackr pode enviar uma resposta ARP associando o endereço IP do roteador da rede com um endereço MAC que não existe. Então, os computadores acreditam que sabem onde o gateway padrão está, mas na realidade todos os pacotes que estão enviando para aquele destino não vão para a rede local, mas sim para um grande buraco negro. Com pouco trabalho, o hacker conseguiu separar a rede da Internet. Hijacking
Para seqestrar (hijack) uma conexão de rede de uma máquina alvo, temos que ser capazes de direcionar o fluxo de tráfego da rede a partir da máquina alvo para nossa máquina. O passo seguinte é redirecionar os pacotes de dados em nível de kernel. Essa mudança de controle pode resultar na transferência de qualquer tipo de sessão do Sistema Operacional. Para tanto, um atacante poderia tomar o controle de uma sessão telnet após uma máquina alvo ter logado em um computador remoto como administrador. Cloning
O endereço MAC foi criado para ser um identificador único no mundo inteiro para cada interface de rede produzida. Podemos alterar o endereço MAC utilizando softwares disponíveis e também usando hardware, que é bem mais trabalhoso e tedioso. Usuários de Linux pode alterar seu MAC sem utilizar softwares de Poisoning e Spoofing, usando apenas um parâmetro do comando ifconfig, que configura a interface de rede no S.O.. Um atacante por realizar um ataque DoS4 à um computador alvo, e então atribuir a si mesmo o IP e MAC desse computador, recebendo todos os dados enviados para tal computador.

Ferramentas e Utilitários ARP

Segue abaixo uma lista de várias ferramentas para realizar ARP-Poisoning, que estão disponíveis na Internet:
Dsniff
Dsniff é uma coleção de ferramentas UNIX desenvolvidas para realizar auditoria em redes, assim como testes de invasão. Foi testada no OpenBSD e Solaris. Cada uma das ferramentas incluídas na distribuição Dsniff possuem funções únicas, mas falham na funcionalidade em conjunto. Em geral, as ferramentas dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf e webspy são utilizadas para monitorar passivamente uma rede compartilhada vulnerável (tal como uma rede local onde o sniffer está localizado além de qualquer firewall externo), buscando por conteúdos de interesse do atacante. ARPoison
É uma ferramenta de linha de comando para UNIX que cria respostas ARP envenenadas. O usuário pode especificar a origem e o destino do endereço IP/MAC. Ettercap
Ettercap é um sniffer/interceptador/logger5 multiuso para Lans com switch. Ele possibilita a análise ativa e passiva de muitos protocolos diferentes (mesmo os criptografados) e inclui muitas características para análise de redes e hosts. Ele pode realizar os seguintes procedimentos automaticamente: 1.Injeção de caracteres em uma conexão estabelecida
2.Coletar senhas de TELNET, FTP, POP, RLOGIN, SSH1, ICQ, SMB, MySQL 3.Filtragem/descarte de pacotes de dados
4.Terminar conexões Parasite
Parasite permite realizar sniffing em uma rede com switch através da técnica Man-In-The-Middle com o ARP-Poisoning. Seleção de alvos, DoS e várias outras características estão presentes nesse programa. O Parasite não realiza uma limpeza apropriada quando termina seu funcionamento. Isto resulta num DoS de todos os computadores envenenados pois seus caches ARP estão apontando para um endereço MAC que não está mais direcionando seus dados.

Defesa contra ARP-Poisoning e sua Detecção

A melhor defesa contra o ARP-Poisoning é habilitar o MAC binding no switch.
Esta é uma característica encontrada em switchs de qualidade que não permite que os endereços MAC associados com uma porta sejam alterados depois de configurados. Mudanças legítimas de MAC podem ser realizadas pelo administrador da rede. Outra defesa é o uso de caminhos estáticos. O cache ARP pode ter entradas estáticas (não alteráveis), assim respostas ARP falsas seriam ignoradas. Essa abordagem não é prática a não ser em pequenas redes caseiras, consequentemente onde não há muitos riscos do ARP Poisoning ocorrer. É importante também saber como se comporta o roteamento estático no Windows. Alguns testes descobriram que o Windows ainda aceita respostas ARP falsas e usa o roteamento dinâmico ao invés do estático, tornando nulo qualquer efeito da utilização do roteamento estático no Windows.
Além desses dois métodos, a única outra defesa disponível é a detecção. Arpwatch é uma das formas de detecção. Arpwatch é uma ferramenta para detectar ataques ARP. Esta ferramenta monitora atividade ethernet e mantém uma base de dados dos pareamentos Ethernet/IP. Ela também reporta certas alterações via e-mail. Arpwatch utiliza a libcap, uma interface independente que utiliza um método de captura de pacotes no nível de usuário para detecção de ataques ARP. O Arpwatch mantém o administrador informado quando uma nova máquina adquire um endereço da rede. Ele envia por e-mail o endereço IP e o MAC da nova máquina na rede. Ele também informa se o endereço MAC mudou de IP. Além de informar se alguém está bagunçando com a configuração da rede e alterando seu seu IP para o de um gateway ou servidor. A clonagem de MAC pode ser detectada utilizando o RARP (Reverse ARP). O RARP solicita o endereço IP de um endereço MAC conhecido. Enviando uma solicitação RARP para todos os endereços MAC existentes em uma rede, pode determinar se algum computador esta realizando clonagem, e se múltiplas respostas são recebidas por um único endereço MAC.
Muitos métodos existem para detectar máquinas em modo promíscuo. É importante lembrar que sistemas operacionais possuem suas próprias pilhas de TCP/IP e placas ethernet possuem seus próprios drives, cada um com seus próprios subterfúgios. Mesmo dierentes versões de um mesmo sistema operacional tem variações de comportamento. O Solaris, por exemplo, é único em sua forma de tratar pacotes ARP. Solaris aceita apenas alterações de ARP após um determinado período de expiração. Para envenenar o cache de um sistema Solaris, um atacante precisaria utilizar um ataque DoS contra uma segunda máquina alvo para evitar uma race condition6 após o período de expiração. Este DoS pode ser detectado se a rede possuir um Sistema de Detecção de Instrusão (IDS) rodando. A rede pode também estar protegida contra Spoofing/Poisoning e Sniffing através de configurações de firewall e criptografia de dados ao longo da rede., mas estes dois métodos não são empregados.

Windows 7: Habilitando recursos opcionais, TFTP e Telnet

Olá, caríssimos leitores. Sei que temos dado uma reduzida no ritmo das postagens, mas gostaria de lembrá-los que aqui o que importa não é a quantidade, mas sim a qualidade oriunda do nosso fluxo de criatividade.

Desculpas à parte, vamos ao que interessa! Nestas últimas semanas eu andei tendo dor de cabeça com uma conexão de internet xDSL, cuja lentidão era enorme e eu não conseguia achar o problema! Cabeamento externo da operadora? Modem? Enfim…entre uns e outros problemas eu fuçava na internet buscando a solução.

Daí que eu pensei em fazer o upgrade do firmware do modem via um comando DOS chamado TFTP ou configurá-lo via Telnet. Menos conhecido que o Telnet, o TFTP pode ser usado para salvar ou "upar" a imagem do firmware de um equipamento de rede pela simples sintaxe abaixo:

tftp -i ip_do_equipamento get TEimage.bin (para salvar)

tftp -i ip_do_equipamento put TEimage.bin (para "upar")

Tá, e daí? Qual é o mistério?

Daí que utilizando o Windows 7 eu não conseguia de modo algum  executar o comando, com o prompt do DOS retornando com a mensagem de que não era possível encontrar o comando ‘telnet’ e muito menos o ‘tftp’.

Então, após mais uma pesquisada, encontrei um painel de recursos opcionais do Windows que pode ser chamado pelo comando "optionalfeatures" (sem as aspas, é claro!).
Basta clicar em Iniciar e digitar na caixa de busca do menu o comando acima e irá abrir um painel com caixas de marcação e seus respectivos recursos já habilitados ou não. Veja a figura 1

No painel você poderá encontrar recursos como "Cliente Telnet", "Cliente TFP" e vários outros, conforme a figura 2:

Bem, espero que isso ajude, pois isso me livrou do sufoco!