Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 7309 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Block Hackers MAC Address?

scottie
Hi All,

Is there anyway to get Astaro to block a MAC address. I've got someone bashing at my door that keeps changing their IP address every 5 minutes. Looking at the log file the MAC address isn't changing.

Thanks.

Astaro 4.021 


This thread was automatically locked due to age.
  • 0
    Of course it's not changing!
    It's the address of the local Internet gateway
    (like your DSL or Cable Modem's NIC;
     or CSU/DSU, if you've got a T1
    ).

    It's not the remote MAC address of the perpetrator(s).
    So it may not be the same guy after all...
        
  • 0
    Hi, MAC addresses have a local presence and do not traverse a WAN.  The previous poster is correct in that it is your next hop device. You can go to the commad line, su -, and then type arp -a to see that all the MAC addresses are mapped to devices on your network and your next hop device. Hope that clears things up!  
  • 0 in reply to Brent_Gay
    Thanks for the explanation. 
  • 0
    MAC addresses are only relevant within a single subnet (local broadcast domain). Once a packet goes through a router, the sender MAC address will become that of the router interface it is leaving on.

    In my live log, I see a scan attempt against my External interface for an open port 135, 137, 139 or 445 (all of which are vulnerable ports on unpatched Windows NT,2K & XP machines) at the rate of around 30 per hour.

    This is caused by virus infected machines and script kiddies trying to break in. The Internet, in some respects, has turned into a real nasty environment over the years, and we just have to live with it.

    I forward the live kernel logging on my ASL v4 box to a Kiwi Syslog daemon running on a Windows XP machine 24x7. Every  24 hours, executed automatically via the Windows Task Manager, I run the Dshield.org Cvtwin task. It takes the Kiwi log, grabs all the new entries and reformats them into a standard email format that it emails to Dshield.org

    This way, everyone who scans my External IP address gets reported. Dshield.org then sends complaint letters to the relevant  ISPs on behalf of its membership, complaining about the IP addresses that are originating the scans.
          
  • 0 in reply to VelvetFog
    VelvetFog,
    The only problem with that is that an attacker can use that to 'their' benefit! Not all scans are from the 'real' attackers IP. Check out  http://www.insecure.org/nmap/idlescan.html . I can run an idlescan using 'my target' as the zombie which scans your machine.....your machine picks up the scan from the zombie (my target) and voila you are now automatically sending a report to that ISP. This is similiar to having scripts that automatically change iptables based on external attacks. The security admin thinks it is neat to be able to block access when they get scanned, but come to find out that now their mission critical business partner has no access to their network because Mr. Cracker used the organizations own firewall to do his job by playing around with  some packets and spoofing the business partners IP block.  
  • 0 in reply to Brent_Gay
    I have to disagree with you here.

    Dshield.org compiles the daily submitted scan log information from a membership base of over 300,000 members. It is the persistent scanners, who are scanning many of the Dshield members, that will get their IP address reported to their ISP. Whether these machines doing the scanning are run by script kiddies, are Blaster worm infected, or are remote controlled zombies, is irrelevant. They are still problem machines, identified by the fact that their IP address is scanning the Dshield membership base.

    Check out http://www.dshield.org - you may want to join.

    I have no filter blocks that blinds me to any IP address or subnet out on the Internet. I only  report the scanners to Dshield.org.

    The scans that I see in my logs, are really just simple scans for open Microsoft netbios ports, probing ports 135, 137, 139 and 445. It is not the sophisticated scanning technique that your URL suggests. I therefore belive that most of them are automatically generated by worm infested Windows machines, with the rest coming from script kiddies playing with software tools that they should never have had access to in the first place.

    I joined Dshield.org (it is free) because they have the only viable methodology that I have seen so far for fighting back against the problem machines that are scanning the rest of us for opportunities to infect us and/or break into our systems.
          
  • 0 in reply to VelvetFog
    Point taken, I got off the subject of the thread anyways...oops. I was just saying that the offender's IP might not always be the 'true' attacker and that is something that I feel all firewall admins should be aware of.  
  • 0
    many times an attacker spoofs the ip and also hides behind proxies....the best thing to do is lookup the suspicious ips at nic.com and make sure...[:)] 
  • 0 in reply to Brent_Gay
    Elaboration: MAC addresses, as the man said, exist only on the LAN; they are not encapsulated in the IP packet. IP addresses definitionally are encapsulated in the IP packet, and hence will be sent across the 'net.
    Internet Routers generally do not transfer MAC addresses; they transfer IP packets.

    (If you look at a low level network dump, you will see that MAC addresses sit outside IP packets...)