Indirizzo MAC di origine nella sessione RDP

1

In un'analisi forense ho analizzato i registri degli eventi della macchina interessata e ho visto varie sessioni RDP dall'indirizzo IP XYZ. Tuttavia, per provare che l'IP sorgente non è stato falsificato è possibile che sia stato trovato l'indirizzo MAC del PC da dove è stata avviata la sessione RDP?

    
posta Airbourne 06.04.2016 - 08:07
fonte

3 risposte

4

Se l' indirizzo IP della fonte sospetta di RDP è all'interno della rete gestita ,

e se nella tua rete, tutti i tuoi indirizzi IP sono attribuiti attraverso un processo di gestione della proprietà IP correttamente tracciato: DHCP o radius o 802.1X ,

e se questo meccanismo di attribuzione degli indirizzi IP è registrato correttamente su un server di log protetto: attraverso syslog ,

quindi puoi ottenere un valido indirizzo MAC della sorgente sospettata di RDP e molto probabilmente il socket fisico Ethernet o il punto di accesso fisico 802.11* attraverso il quale è stato collegato,

else non puoi ottenere alcun indirizzo MAC .

Ad esempio, per concentrarti su una possibile risposta alla tua domanda, se l'indirizzo IP della fonte sospetta dell'attacco RDP è esterno alla rete gestita, non è possibile ottenere alcun indirizzo MAC.

Tieni presente che se l'autore dell'attacco era a conoscenza della tua politica di gestione dell'indirizzo IP, allora l'indirizzo MAC valido del PC che attacca potrebbe essere stato modificato in modo da ottenere un accesso alla tua rete con un indirizzo MAC registrato.

    
risposta data 06.04.2016 - 11:00
fonte
4

No.

  • Non c'è alcuna garanzia che l'altra macchina abbia un indirizzo MAC.

    Seguendo il principio IP su tutto , il membro di collegamento potrebbe stare seduto su un albero usando IP over avian corrieri - e i pidgin non hanno indirizzi MAC.

  • È possibile ottenere un indirizzo MAC di un IP nella rete locale a l'ora in cui la connessione è effettuata , poiché la mappatura può cambiare nel tempo assegnando una nuova IP a tale interfaccia ed è disponibile solo per la rete locale. Se vuoi farlo, è

    arp -an
    

    Tieni presente che:

  • Se l'indirizzo IP è falso, un handshake TCP avrà esito negativo. No nessuna connessione effettiva può essere effettuata.
risposta data 06.04.2016 - 09:06
fonte
2

However to prove that the source IP was not spoofed is it possible that I could find the MAC address of the PC from where the RDP session was initiated?

Un indirizzo IP si trova sul livello di rete mentre il MAC si trova sul livello di collegamento dati (vedi modello OSI ). L'indirizzo IP è lo stesso quando i dati viaggiano attraverso le varie reti mentre l'indirizzo MAC cambia su ciascun confine di rete. Pertanto, se l'indirizzo IP appartiene a una rete diversa, avrà l'indirizzo MAC del router che ha fornito la connettività tra queste reti.

Anche se l'indirizzo IP appartiene alla rete locale, ciò non significa che la sessione RDP abbia avuto origine lì. Potrebbe essere solo un sistema utilizzato come endpoint di alcuni tunnel SSH o SOCKS e la sessione RDP ha origine sull'altro lato di questo tunnel.

    
risposta data 06.04.2016 - 09:51
fonte

Leggi altre domande sui tag