Arp

[Колян]

В общем, прикол в том, что одному маку приаваевается несколько айпишников, и сервак не пингуется... Сбрасываю арп-таблицу командой arp -d -a, секунду пингуется, потом нет...

? (10.10.3.1) at 00:19:5b:2c:d8:8d on vr0 [ethernet]

? (10.10.3.8) at 00:19:5b:2c:d8:8d on vr0 [ethernet]

 

Это еще цветочки... Было и по 15 айпи на мак. Что это такое? Уже второй раз... Только раньше не так жестко.

Пришлось написать скрипт на пхп:

#!/usr/bin/php

<?

$i=0;

while ($i==0){ system("arp -d -a");

sleep("1");}

?>

 

Но это не выход ведь, надо такую заразу рубить на корне! Еще снифил тспдампом, и заметил что-то не то:

09:02:15.961904 IP 10.10.2.1.webobjects > 213.248.53.27.7777: . ack 4470 win 16108
09:02:15.972489 IP dl2.mp3real.ru.http > 10.10.2.7.3352: . 9884:11296(1412) ack 1 win 65535
09:02:15.973568 IP 10.10.2.7.3352 > dl2.mp3real.ru.http: . ack 11296 win 64123
09:02:16.017241 00:19:5b:2c:d8:8d > Broadcast, ethertype Unknown (0x1702), length 293:
       0x0000:  1702 0500 0401 0e13 2180 0000 0000 980b  ........!.......
       0x0010:  4e80 f8a8 5981 f823 5480 c0bf d880 c86c  N...Y..#T......l
       0x0020:  94f5 a8d6 0000 a8d6 0000 4807 4e80 c861  ..........H.N..a
       0x0030:  3dc0 c861 3dc0 0f00 0000 a8d6 0000 2874  =..a=.........(t
       0x0040:  4f80 a8d6 0000 0202 0000 7b74 4f80 b0f5  O.........{tO...
       0x0050:  5781                                     W.
09:02:16.018524 IP forever.fasty.net.34206 > 10.10.2.17.3340: . 29920:31280(1360) ack 1 win 65535

Мак то есть тот же, которому присваевается десяток айпишников...

Половину юзеров выкидывает, кто пингуется, а кто нет. У кого данное случалось?

пинги тоже не устраивают с этим скриптом...

Ответ от 10.10.1.1: число байт=32 время=4мс TTL=64
Превышен интервал ожидания для запроса.
Ответ от 10.10.1.1: число байт=32 время=1мс TTL=64
Превышен интервал ожидания для запроса.
Ответ от 10.10.1.1: число байт=32 время=4мс TTL=64
Ответ от 10.10.1.1: число байт=32 время=4мс TTL=64
Превышен интервал ожидания для запроса.
Ответ от 10.10.1.1: число байт=32 время=4мс TTL=64
Ответ от 10.10.1.1: число байт=32 время=2мс TTL=64
Ответ от 10.10.1.1: число байт=32 время=4мс TTL=64
Ответ от 10.10.1.1: число байт=32 время=4мс TTL=64
Ответ от 10.10.1.1: число байт=32 время=6мс TTL=64
Превышен интервал ожидания для запроса.
Ответ от 10.10.1.1: число байт=32 время=4мс TTL=64
Ответ от 10.10.1.1: число байт=32 время=1мс TTL=64
Превышен интервал ожидания для запроса.
Ответ от 10.10.1.1: число байт=32 время=4мс TTL=64
Ответ от 10.10.1.1: число байт=32 время=8мс TTL=64
Ответ от 10.10.1.1: число байт=32 время=4мс TTL=64
Ответ от 10.10.1.1: число байт=32 время=4мс TTL=64

Вот мой ифконфиг...

my# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
       options=48<VLAN_MTU,POLLING>
       inet6 fe80::217:31ff:fe4c:1582%rl0 prefixlen 64 scopeid 0x1
       ether 00:17:31:4c:15:82
       media: Ethernet autoselect (none)
       status: no carrier
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
       options=40<POLLING>
       inet6 fe80::219:5bff:fe87:f38%vr0 prefixlen 64 scopeid 0x2
       inet 10.10.1.1 netmask 0xffff0000 broadcast 10.10.255.255
       ether 00:19:5b:87:0f:38
       media: Ethernet autoselect (100baseTX <full-duplex>)
       status: active
vr1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
       options=40<POLLING>
       inet 192.168.1.2 netmask 0xffff0000 broadcast 192.168.255.255
       inet6 fe80::219:5bff:fe87:186d%vr1 prefixlen 64 scopeid 0x3
       ether 00:19:5b:87:18:6d
       media: Ethernet autoselect (100baseTX <full-duplex>)
       status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
       inet 127.0.0.1 netmask 0xff000000
       inet6 ::1 prefixlen 128
       inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5

[fenix-vt]

В общем, прикол в том, что одному маку приаваевается несколько айпишников...

Неужели ни у кого больше такого не было?

 

Поскольку у нас это тоже было, вывод -- это не самописное абонентом.

Это либо вирус, либо какой-то юзер скачал кулхацкерскую программку "как завалить провайдера".

 

Мак я его успел с точностью до двух домов кстановить и поотрубал даунлинки на них, тут же все стало на свои места.

 

Из разряда "Хакнул хакер своего провайдера, и сидит теперь как дурак без Интернета"

 

Только пока его мак с нормальным айпи не светился, к сожалению... Что б вычислить и наказать.

Ведь по сути -- это статья 363-1 КПК (флуд)...

[Колян]

Вся суть в том, это мак-адрес радиоточки, которой и в арп-таблице нету... Как вычислить Ип этого клиента, который флудит - я не могу понять... Рубать всех - у нас топология в основном общая шина, тяжеловато будет...

[alex_o]

Скрипт выкинь, сам видишь что это не решение. В твоей сетке у одного из юзеров (легко вычисляется по маку) поселился вирусок, перебирающий айпишники и флудящий броадкастом. Вот арп-таблицы и засираются. Попробуй на точке доступа порезать броадкаст, наверняка поможет, правда у юзеров умрут многие сервисы.

 

Советую тебе обратить внимание на /usr/ports/security/ipguard - эта штука решает подобные проблемы.

[Колян]

Скрипт - это временное решение, так как с ним работает... Пингует, через раз, но работает, и юзеры этого не замечают. На точке... Д-линк 2100 АР , прошивка ВВ, он разве умеет резать бродкаст?

[Колян]

http://www.opennet.ru/openforum/vsluhforumID1/76637.html

Вот нашел ссылочку, буду пробовать! Может еще кому полезно

[Колян]

Еще один вопросик, можно как-то сделать, чтобы сервак не принимал арп-ответы, запросы на которые он не посылал?

Потому что по идее бомбят сервак, остальные серваки нормально пингуюца и работают .

[Dima0011]

Аналогичная проблема

 

На шлюзе вбивается связка айпи-мак каждого абонента статически, а нарушители спокойствия отключаются физически

[drb]

Унас было точно такое же и к сожалению еще есть. Я об этом уже писал http://local.com.ua/forum/index.php?showtopic=9805&hl=

Это вирус. Проникает в комп через дыру в винде. Вирус генерирует поддельные некоректные arp-пакеты и блокирует всю сеть. Одновременно сам себя рассылает по сети на уязвимые компы. Реальный выход - управляемые свичи или вычислять зараженных по МАС (хорошо хоть МАС не подменивает) и отключать или звонить им и просить чтоб сами отключились.

Касперский, AVG, DrWEB даный вирус не ловят!!!!!!! Реально ловит Norton Internet Security 2007 с новыми базами.

[Bling-Bling]

Порадовал... Будем нортон значит в масы продвигать!!!

Другого пути нет!

[Dima0011]

Мы боролись следующими методами: Сегментирование сети, чтобы уменьшить последствия каждой атаки;

круглосуточный мониторинг ситуации в пораженных сегментах для моментальной блокировки на свичах портов, через которые идет атака;

если сегмент сети на неуправляемых свичах, отключение атакующего от порта физически;

установка антивирусов на атакующие компьютеры

 

Подтверждаем, нортон 100% ловит, предположительно аваст, авж и нод32 тоже ловят (зараженные после лечения ними включились в сеть и пока нормально работают). Касперский 100% не ловит

 

За неделю "переболело" порядка 5% юзеров

[Колян]

Фигасе... А я-то думал, че когда клиента в сеть подрубили, аваст кричал!

[drb]

Если сеть не большая то проблема устраняется очень просто и на 100% прописыванимем статичных arp-таблиц на сервере и у юзера. Тогда вирус ничего не сделает своими поддельными пакетами.

[vovksextra]

прочитай интересную статейку

 

http://xgu.ru/wiki/ARP-spoofing

 

может и поможет тебе как-то

[911]

Тоже столкнулся с такой проблемой.

Подключили человека, почти легла вся сеть...

Побежали быстрее отключать его и заставили чистить комп от вирусов.

[Колян]

За статью огромное спасибо... Наверное прийдется поднимать виланы на тех свичах, которые это могут...

[XoRe]

? (10.10.3.1) at 00:19:5b:2c:d8:8d on vr0 [ethernet]

? (10.10.3.8) at 00:19:5b:2c:d8:8d on vr0 [ethernet]

 

[/code]

Мак то есть тот же, которому присваевается десяток айпишников...

Половину юзеров выкидывает, кто пингуется, а кто нет. У кого данное случалось?

пинги тоже не устраивают с этим скриптом...

Ответ от 10.10.1.1: число байт=32 время=4мс TTL=64
Превышен интервал ожидания для запроса.
Ответ от 10.10.1.1: число байт=32 время=1мс TTL=64
Превышен интервал ожидания для запроса.
Ответ от 10.10.1.1: число байт=32 время=4мс TTL=64
Ответ от 10.10.1.1: число байт=32 время=4мс TTL=64
Превышен интервал ожидания для запроса.
Ответ от 10.10.1.1: число байт=32 время=4мс TTL=64
Ответ от 10.10.1.1: число байт=32 время=2мс TTL=64
Ответ от 10.10.1.1: число байт=32 время=4мс TTL=64
Ответ от 10.10.1.1: число байт=32 время=4мс TTL=64
Ответ от 10.10.1.1: число байт=32 время=6мс TTL=64
Превышен интервал ожидания для запроса.
Ответ от 10.10.1.1: число байт=32 время=4мс TTL=64
Ответ от 10.10.1.1: число байт=32 время=1мс TTL=64
Превышен интервал ожидания для запроса.
Ответ от 10.10.1.1: число байт=32 время=4мс TTL=64
Ответ от 10.10.1.1: число байт=32 время=8мс TTL=64
Ответ от 10.10.1.1: число байт=32 время=4мс TTL=64
Ответ от 10.10.1.1: число байт=32 время=4мс TTL=64

Вот мой ифконфиг...

vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
       options=40<POLLING>
       inet6 fe80::219:5bff:fe87:f38%vr0 prefixlen 64 scopeid 0x2
       inet 10.10.1.1 netmask 0xffff0000 broadcast 10.10.255.255
       ether 00:19:5b:87:0f:38
       media: Ethernet autoselect (100baseTX <full-duplex>)
       status: active
vr1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
       options=40<POLLING>
       inet 192.168.1.2 netmask 0xffff0000 broadcast 192.168.255.255
       inet6 fe80::219:5bff:fe87:186d%vr1 prefixlen 64 scopeid 0x3
       ether 00:19:5b:87:18:6d
       media: Ethernet autoselect (100baseTX <full-duplex>)
       status: active

Хочу обратить внимание на мак и ip адреса:

vr0:

inet 10.10.1.1

ether 00:19:5b:87:0f:38

 

vr1:

inet 192.168.1.2

ether 00:19:5b:87:18:6d

 

А в выхлопе

? (10.10.3.1) at 00:19:5b:2c:d8:8d on vr0 [ethernet]
? (10.10.3.8) at 00:19:5b:2c:d8:8d on vr0 [ethernet]

ни мак адрес, ни ip адрес не совпадают с адресом шлюза.

Т.е. можно сделать вывод, что подставляется mac адрес кулхацкера.

Это может быть какой-то arp-spoofing.

Могу только дать ссылку на тему:

http://local.com.ua/forum/index.php?showtopic=9805&hl=

 

И повторить свои слова там:

Вычислять, ловить, отключать (и давать люлей).

 

P.S.

Что делать в случае, если сеть не на кабелях, а на радио - хз.

С радио не работал.

[Dima0011]

блокировать мак на АР или на роутере

[wILY]

В /var/log/messages пишется от кого и куда идёт атака, смотрим логи и выключаем флудящего юзера.

[fenix-vt]

http://www.hub.ru/forum/index.php?showtopi...384&mode=linear

 

 

CureIt! (DrWeb) его ловит.

[XoRe]

Кстати сеть может ложиться от заглючевшего свича или от заглючевшей сетевухи.

Ещё есть довольно поганенькая программка icq-sniff, которая рассылает арп ответы в стиле "все ип-адреса на мой мак адрес".

 

Очень хорошо держать в биллинге мак адреса пользователь.

Если хацкер светит свой мак, он сразу же себя сдает.

 

Сложнее, когда хацкер ставит себе ип+мак другого клиента.

Хотя и тут можно чего-то предпринять.

В связи с постепенным внедрением умных свичей, у меня повилась идея, как это очень быстро пресекать.

Скрипт опрашивает все умные свичи и сливает себе списки мак-адресов по портам.

Потом смотрит, где 1 мак адрес засветился на портах в сторону 2 разных клиентов.

Берет откуда-нибудь (из биллинга например) данные о том, на каком свиче и порту клиент.

И кто сидит на втором засвеченом свиче/порту.

А потом отсылает сообщение "такой-то логин сменил себе ип/мак на такой-то. срочно дать люлей".

Можно даже сразу указать скрипту погасить порт хацкера.

В случае реализации всех фич, админу останется только выслушивать просьбы включить обратно, приправленные клятвами больше так не делать )

 

А без управляемых свичей остается только юзать ping/arping и дергать кабеля.

Это в случае, если хацкер не определен )