Jump to content

Arp

devchaos

By devchaos,
in Software

 Share Followers 0

Recommended Posts

devchaos

devchaos 1

Posted
Posted

tcpdump -i em1 arp на шлюзе

Постоянно появляются вот такие сообщения

00:16:16.658619 arp who-has 192.168.115.1 tell 192.168.115.249

ответ от шлюза

00:16:16.658635 arp reply 192.168.115.1 is-at 00:07:e9: (oui Unknown)

от одного и того же айпи. За этим адресом ноут с установленной Вистой. 192.168.115.1 это шлюз. Это критично или можно закрыть на это глаза?

Link to post
Share on other sites
Флэшмобер

Флэшмобер 5

Posted
Posted

Завёлся у нас пару недель назад непонятный толи вируснячёк толи троянчег. Так я и не понял как его зовут и кто он таков, но вот что он делает почувствовал очень даже явственно. А делает он такое... рассылает в сеть некие RAW-пакеты, чем успешно подменяет МАСи компов в подсети на свой собственный, как следствие все пакеты начинают валить на зараженный комп, а чё он с этими пакетами делает уже фантазии не хватает :) (видать пароли сабака фильтрует). Прикольно было наблюдать arp таблицу сервака где 80% компов имеют одинаковій МАС. Причём если работает один зараженный комп, то остальные молчат до тех пор пока им "не датут слово" так сказать. И всё бы ничего, могли бы и не заметить, но проблема в подсетях... когда у сервака меняется МАС, то компы других подсетей как-то не очень видят компы соседних подсетей :)

Мучались вобщем с недельку, но таки побороли. Примечательно то, что заразу подцепили только те компы на которых не стоял NOD32...

Link to post
Share on other sites
Колян

Колян 2

Posted
Posted

Угу... Есть такое, арп-спуффинг называетсо :)

#!/usr/bin/php

<?

while (true){ system("arp -d -a");

sleep("1");}

?>

Этот скриптик каждую секунду у меня на фрюшном шлюзе чистит арп-таблицу. Помогает, если его убрать, шлюз пинговаца перестает.

Но все же хотелось рубать это другим методом...

Link to post
Share on other sites
kvirtu

kvirtu 315

Posted
Posted
Угу... Есть такое, арп-спуффинг называетсо :)

#!/usr/bin/php

<?

while (true){ system("arp -d -a");

sleep("1");}

?>

Этот скриптик каждую секунду у меня на фрюшном шлюзе чистит арп-таблицу. Помогает, если его убрать, шлюз пинговаца перестает.

Но все же хотелось рубать это другим методом...

попробуй прогу Ipguard

Link to post
Share on other sites
XoRe

XoRe 0

Posted
Posted

Хм...

 

2devchaos:

Установи себе программу LanScope, проскань свою локалку, посмотри, сколько и какие "arp who-has" пакеты увидишь на tcpdump.

Сделай выводы, помножь 2 на 2.

 

2Колян:

Твой способ будет вынуждать серверный и клиентские компы каждую секунду посылать запросы мак адресов оппонентов.

 

На фре с подменой мак или ип адреса просто бороться так:

arp -s ip mac pub

 

Забиваешь туда все ip и mac адреса клиентских машин.

И фря не только сама имеет точную таблицу, но и на чужие запросы выдает правильные mac адреса.

Link to post
Share on other sites
niidil

niidil 0

Posted
Posted
На фре с подменой мак или ип адреса просто бороться так:

arp -s ip mac pub

 

Забиваешь туда все ip и mac адреса клиентских машин.

И фря не только сама имеет точную таблицу, но и на чужие запросы выдает правильные mac адреса.

ИМХО, данный способ имеет смысл использовать в связке с умными свичами, на которых MAC привязан к конкретному порту. А если свичи обычные, то это лишний геморой для админа, которого будут задрачивать неопытные юзеры поменявшие сетевуху. А злоумышленник может стандартными виндовыми командами получить список соответсвия IP<->MAC и просто поменять MAC на своей сетевухе.

Тоже самое можно сказать и про IPGuard.

Link to post
Share on other sites
SonNT

SonNT 0

Posted
Posted
А что, если на свиче запретить прохождению арп-пакетов?

Мне так и никто не ответил. Будет ли сеть работать, если рубать этот протокол?

тему такую подымали и описано тут много про arp , ток чтот попытался найти не получилось.

там сцылочка была http://xgu.ru/wiki/ARP-spoofing

почитай

У нас в сетке занимались таким. Я грил вирь, а мне говорили и доказали, что не вирь, а умник. Да и сколько читал на форуме никто так и не сказал, что это за вирус. Из ряда "Ты суслика видишь? А он есть!"

Link to post
Share on other sites
Колян

Колян 2

Posted
Posted

Ох как затрахали эти суслики...

Вот допустим у меня на магистрали стоит управляемое оборудование, как я могу бороться с этими сусликами? Привязка мака к порту по-моему это не есть хоршей идеей, раз свич не абонентский, а магистральный.

Link to post
Share on other sites
niidil

niidil 0

Posted
Posted
А что, если на свиче запретить прохождению арп-пакетов?

Мне так и никто не ответил. Будет ли сеть работать, если рубать этот протокол?

Не будет.

Link to post
Share on other sites
niidil

niidil 0

Posted
Posted
Ох как затрахали эти суслики...

Вот допустим у меня на магистрали стоит управляемое оборудование, как я могу бороться с этими сусликами? Привязка мака к порту по-моему это не есть хоршей идеей, раз свич не абонентский, а магистральный.

А нада ли вообще с ними бороться??? Провода ж они не грызут :)

Link to post
Share on other sites
SonNT

SonNT 0

Posted
Posted
А нада ли вообще с ними бороться??? Провода ж они не грызут :)

Это по желанию. Если они не мешают ни тебе ни кому-нить другому, то и не надо. Вот только при ровных ручках "жизнь" могут серьёзно подпортить.

Проводам конечно ничего не будет, они то при их помощи и будут мешать.

Link to post
Share on other sites
Колян

Колян 2

Posted
Posted
Ох как затрахали эти суслики...

Вот допустим у меня на магистрали стоит управляемое оборудование, как я могу бороться с этими сусликами? Привязка мака к порту по-моему это не есть хоршей идеей, раз свич не абонентский, а магистральный.

А нада ли вообще с ними бороться??? Провода ж они не грызут :)

Ну поиздеваться каждый любит! У меня сеть лагает как только может, я не вижу никакого умного выхода из положения уже больше месяца, пишу всяко-разные скрипты для того, чтобы хоть как-то эту проблему решить.

 

Вообще, кто-то что-то предпринимает? Или все ставят роутеры?

Я хочу найти такое решение, чтобы не менять настройки у клиентов.

Link to post
Share on other sites
zulu_Radist

zulu_Radist 856

Posted
Posted

Для сети в 100 юзеров роутеры... не обязательно. Вон у друзей и 500 держало на тупых свитчах в одном сегменте маска сети 255.255.0.0). Коля, проще всего во время такого балагана не поленись и попрыгай по крышам в поисках падонга.

Link to post
Share on other sites
Колян

Колян 2

Posted
Posted

В соседней теме пишут, что вирус... Уже лазили и рубали. ортрубили район, перестало флудить, начали искать в том районе, стало флудить в другом месте. И фиг их найдешь, неделю лазил, потом забил.

 

Такое может продолжаться, как ни один, так второй, и постоянно лазить? Хотелось бы порубать что-то на свичах, только вот что, я не знаю, да и найти в инете не смог, может плохо искал? Нашел статейку, но там только роутеры или виланы, а при этом надо менять настройки у клиентов.

Link to post
Share on other sites
kvirtu

kvirtu 315

Posted
Posted
На фре с подменой мак или ип адреса просто бороться так:

arp -s ip mac pub

 

Забиваешь туда все ip и mac адреса клиентских машин.

И фря не только сама имеет точную таблицу, но и на чужие запросы выдает правильные mac адреса.

ИМХО, данный способ имеет смысл использовать в связке с умными свичами, на которых MAC привязан к конкретному порту. А если свичи обычные, то это лишний геморой для админа, которого будут задрачивать неопытные юзеры поменявшие сетевуху. А злоумышленник может стандартными виндовыми командами получить список соответсвия IP<->MAC и просто поменять MAC на своей сетевухе.

Тоже самое можно сказать и про IPGuard.

использую ipguard у себя в сетке,

значит даже если какай-то умник поменял себе МАС - то сразу все пищется в логи проги, кроме того очень удобная вещь для отключения неплатильщеков,

убрал связку IP+MAC и юзвер уже в сеть не войдет вообще !

Link to post
Share on other sites
niidil

niidil 0

Posted
Posted
Ох как затрахали эти суслики...

Вот допустим у меня на магистрали стоит управляемое оборудование, как я могу бороться с этими сусликами? Привязка мака к порту по-моему это не есть хоршей идеей, раз свич не абонентский, а магистральный.

А нада ли вообще с ними бороться??? Провода ж они не грызут :)

Ну поиздеваться каждый любит! У меня сеть лагает как только может, я не вижу никакого умного выхода из положения уже больше месяца, пишу всяко-разные скрипты для того, чтобы хоть как-то эту проблему решить.

 

Вообще, кто-то что-то предпринимает? Или все ставят роутеры?

Я хочу найти такое решение, чтобы не менять настройки у клиентов.

Я не издеваюсь.

А можеш конкретно и максимально подробно расказать в чём проявляются лаги, может чем помогу.

Link to post
Share on other sites
niidil

niidil 0

Posted
Posted
На фре с подменой мак или ип адреса просто бороться так:

arp -s ip mac pub

 

Забиваешь туда все ip и mac адреса клиентских машин.

И фря не только сама имеет точную таблицу, но и на чужие запросы выдает правильные mac адреса.

ИМХО, данный способ имеет смысл использовать в связке с умными свичами, на которых MAC привязан к конкретному порту. А если свичи обычные, то это лишний геморой для админа, которого будут задрачивать неопытные юзеры поменявшие сетевуху. А злоумышленник может стандартными виндовыми командами получить список соответсвия IP<->MAC и просто поменять MAC на своей сетевухе.

Тоже самое можно сказать и про IPGuard.

использую ipguard у себя в сетке,

значит даже если какай-то умник поменял себе МАС - то сразу все пищется в логи проги, кроме того очень удобная вещь для отключения неплатильщеков,

убрал связку IP+MAC и юзвер уже в сеть не войдет вообще !

Возьми свич и кусок кабеля обжатый с двух сторон и воткни один конец в свич, а другой в свою сетевуху вместо кабеля локалки.

Теперь поменяй себе IP на один из тех которые у тебя в IPGuard не прописаны, а затем воткни кабель локалки в свич.

Вот ты и в сети. Админ неврно курит, смотрит логи IPGuard и думает как же он будет вычислять нарушителя среди полутысячи пользоватлей.

 

И это пожалуй один из самых геморных способов обмана IPGuard, можно обойтись и без выдёргивания кабеля.

Я уже молчу про Linux, которому вообще насрать на любые IPGuard'ы и конфликты IP-адресов.

Link to post
Share on other sites
Колян

Колян 2

Posted
Posted

Угу... Блин, придумали этот чертов протокол, убить бы того, кто его придумал, защищенности буквально никакой, любой ламер может уложить сеть.

Все это лирика, перейдем к делу...

Желательно бы как-то отслеживать эти пакеты, и рубать их на магистрали управляемым оборудованием, если это вообще реально. Не верю, что кроме жесткой привязки ничего нормальнее нету.

Link to post
Share on other sites
Колян

Колян 2

Posted
Posted (edited)

Я имею ввиду, что у меня собран свич на фрюхе... На биллинговый сервак патч еще не накладывал :).

Патч не накладывается ;) Возможно, он для другой версии ядра фрюхи ;)

Cmy# patch < if_ether.c.patch

Hmm... Looks like a unified diff to me...

The text leading up to this was:

--------------------------

|--- if_ether.c.old Tue Dec 2 19:57:08 2003

|+++ if_ether.c Wed Dec 3 10:41:38 2003

--------------------------

Patching file if_ether.c using Plan A...

Hunk #1 succeeded at 36 with fuzz 1 (offset -4 lines).

Hunk #2 succeeded at 91 (offset 5 lines).

Hunk #3 failed at 109.

Hunk #4 failed at 131.

Hunk #5 failed at 687.

3 out of 5 hunks failed--saving rejects to if_ether.c.rej

done

 

вот так вот ;)

Патч брал вот ftp://ftp.opennet.ru/pub/security/arp_spoof_patch/freebsd/ здесь :)

Ядро у меня 5.5, больше патчей найти я не смог.

Edited by Колян
Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Followers 0
Go to topic listing

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...