Rechner mit falscher IP identifizieren

[rprengel]

Hallo,

mal wieder ein Klassiker.
Warum auch immer hat sich ein System die feste IP eines Servers geschnappt.

nmap gibt mir
MAC Address: 00:50:56:9C:39:43 (VMWare)
IP 192.168.yyy.xxx
aus

Ausserdem laufen die Ports 22 80 111 und 3306.
Hat jemand einen Tipwie ich das system identifiziert bekomme?
Logins auf den Ports bringen leider keine Infos.

Danke für Tips

[franzkat]

Sieht ja fast nach ARP-Spoofing aus :

Jede ARP-Antwort, ob angefordert oder nicht, ob sinnvoll oder nicht, wird von fast allen Betriebssystemen akzeptiert. Hier kann es helfen, das Verarbeiten von ARP-Antworten Programmen mit größerer Intelligenz zu überlassen. Diese überwachen, wer die Antworten wann schickt und welche Informationen die Antworten enthalten. Offensichtlich gefälschte ARP-Pakete lassen sich so erkennen und verwerfen. Dieser Ansatz wird zum Beispiel von ArpWatch und XArp implementiert.

http://de.wikipedia.org/wiki/ARP-Spoofing

[continuum]

Von den ports sieht es nach einem squid-proxy-server aus - oder ?
Sagt dir nmap nicht das Betriebssystem an ?

[franzkat]

Sagt dir nmap nicht das Betriebssystem an ?

Normalerweise wird das schon in nmap angerzeigt

http://nmap.org/zenmap/images/zenmap-multi-1220x700.png

Aber bei einer Spoofing -Attacke ist es ja kein Problem, das System als Gast-System zu nehmen, das ersetzt werden soll.