Arp

[devchaos 1]

tcpdump -i em1 arp на шлюзе

Постоянно появляются вот такие сообщения

00:16:16.658619 arp who-has 192.168.115.1 tell 192.168.115.249

ответ от шлюза

00:16:16.658635 arp reply 192.168.115.1 is-at 00:07:e9: (oui Unknown)

от одного и того же айпи. За этим адресом ноут с установленной Вистой. 192.168.115.1 это шлюз. Это критично или можно закрыть на это глаза?

[Флэшмобер 5]

Завёлся у нас пару недель назад непонятный толи вируснячёк толи троянчег. Так я и не понял как его зовут и кто он таков, но вот что он делает почувствовал очень даже явственно. А делает он такое... рассылает в сеть некие RAW-пакеты, чем успешно подменяет МАСи компов в подсети на свой собственный, как следствие все пакеты начинают валить на зараженный комп, а чё он с этими пакетами делает уже фантазии не хватает (видать пароли сабака фильтрует). Прикольно было наблюдать arp таблицу сервака где 80% компов имеют одинаковій МАС. Причём если работает один зараженный комп, то остальные молчат до тех пор пока им "не датут слово" так сказать. И всё бы ничего, могли бы и не заметить, но проблема в подсетях... когда у сервака меняется МАС, то компы других подсетей как-то не очень видят компы соседних подсетей

Мучались вобщем с недельку, но таки побороли. Примечательно то, что заразу подцепили только те компы на которых не стоял NOD32...

[Колян 2]

Угу... Есть такое, арп-спуффинг называетсо

#!/usr/bin/php

<?

while (true){ system("arp -d -a");

sleep("1");}

?>

Этот скриптик каждую секунду у меня на фрюшном шлюзе чистит арп-таблицу. Помогает, если его убрать, шлюз пинговаца перестает.

Но все же хотелось рубать это другим методом...

[kvirtu 315]

Угу... Есть такое, арп-спуффинг называетсо

#!/usr/bin/php

<?

while (true){ system("arp -d -a");

sleep("1");}

?>

Этот скриптик каждую секунду у меня на фрюшном шлюзе чистит арп-таблицу. Помогает, если его убрать, шлюз пинговаца перестает.

Но все же хотелось рубать это другим методом...

попробуй прогу Ipguard

[Колян 2]

еще один вариант есть. ставить роутеры в сети.

[XoRe 0]

Хм...

 

2devchaos:

Установи себе программу LanScope, проскань свою локалку, посмотри, сколько и какие "arp who-has" пакеты увидишь на tcpdump.

Сделай выводы, помножь 2 на 2.

 

2Колян:

Твой способ будет вынуждать серверный и клиентские компы каждую секунду посылать запросы мак адресов оппонентов.

 

На фре с подменой мак или ип адреса просто бороться так:

arp -s ip mac pub

 

Забиваешь туда все ip и mac адреса клиентских машин.

И фря не только сама имеет точную таблицу, но и на чужие запросы выдает правильные mac адреса.

[Колян 2]

А что, если на свиче запретить прохождению арп-пакетов?

Мне так и никто не ответил. Будет ли сеть работать, если рубать этот протокол?

[niidil 0]

На фре с подменой мак или ип адреса просто бороться так:

arp -s ip mac pub

 

Забиваешь туда все ip и mac адреса клиентских машин.

И фря не только сама имеет точную таблицу, но и на чужие запросы выдает правильные mac адреса.

ИМХО, данный способ имеет смысл использовать в связке с умными свичами, на которых MAC привязан к конкретному порту. А если свичи обычные, то это лишний геморой для админа, которого будут задрачивать неопытные юзеры поменявшие сетевуху. А злоумышленник может стандартными виндовыми командами получить список соответсвия IP<->MAC и просто поменять MAC на своей сетевухе.

Тоже самое можно сказать и про IPGuard.

[SonNT 0]

А что, если на свиче запретить прохождению арп-пакетов?

Мне так и никто не ответил. Будет ли сеть работать, если рубать этот протокол?

тему такую подымали и описано тут много про arp , ток чтот попытался найти не получилось.

там сцылочка была http://xgu.ru/wiki/ARP-spoofing

почитай

У нас в сетке занимались таким. Я грил вирь, а мне говорили и доказали, что не вирь, а умник. Да и сколько читал на форуме никто так и не сказал, что это за вирус. Из ряда "Ты суслика видишь? А он есть!"

[Колян 2]

Ох как затрахали эти суслики...

Вот допустим у меня на магистрали стоит управляемое оборудование, как я могу бороться с этими сусликами? Привязка мака к порту по-моему это не есть хоршей идеей, раз свич не абонентский, а магистральный.

[niidil 0]

А что, если на свиче запретить прохождению арп-пакетов?

Мне так и никто не ответил. Будет ли сеть работать, если рубать этот протокол?

Не будет.

[niidil 0]

Ох как затрахали эти суслики...

Вот допустим у меня на магистрали стоит управляемое оборудование, как я могу бороться с этими сусликами? Привязка мака к порту по-моему это не есть хоршей идеей, раз свич не абонентский, а магистральный.

А нада ли вообще с ними бороться??? Провода ж они не грызут

[SonNT 0]

А нада ли вообще с ними бороться??? Провода ж они не грызут

Это по желанию. Если они не мешают ни тебе ни кому-нить другому, то и не надо. Вот только при ровных ручках "жизнь" могут серьёзно подпортить.

Проводам конечно ничего не будет, они то при их помощи и будут мешать.

[Колян 2]

Ох как затрахали эти суслики...

Вот допустим у меня на магистрали стоит управляемое оборудование, как я могу бороться с этими сусликами? Привязка мака к порту по-моему это не есть хоршей идеей, раз свич не абонентский, а магистральный.

А нада ли вообще с ними бороться??? Провода ж они не грызут

Ну поиздеваться каждый любит! У меня сеть лагает как только может, я не вижу никакого умного выхода из положения уже больше месяца, пишу всяко-разные скрипты для того, чтобы хоть как-то эту проблему решить.

 

Вообще, кто-то что-то предпринимает? Или все ставят роутеры?

Я хочу найти такое решение, чтобы не менять настройки у клиентов.

[zulu_Radist 856]

Для сети в 100 юзеров роутеры... не обязательно. Вон у друзей и 500 держало на тупых свитчах в одном сегменте маска сети 255.255.0.0). Коля, проще всего во время такого балагана не поленись и попрыгай по крышам в поисках падонга.

[Колян 2]

В соседней теме пишут, что вирус... Уже лазили и рубали. ортрубили район, перестало флудить, начали искать в том районе, стало флудить в другом месте. И фиг их найдешь, неделю лазил, потом забил.

 

Такое может продолжаться, как ни один, так второй, и постоянно лазить? Хотелось бы порубать что-то на свичах, только вот что, я не знаю, да и найти в инете не смог, может плохо искал? Нашел статейку, но там только роутеры или виланы, а при этом надо менять настройки у клиентов.

[kvirtu 315]

На фре с подменой мак или ип адреса просто бороться так:

arp -s ip mac pub

 

Забиваешь туда все ip и mac адреса клиентских машин.

И фря не только сама имеет точную таблицу, но и на чужие запросы выдает правильные mac адреса.

ИМХО, данный способ имеет смысл использовать в связке с умными свичами, на которых MAC привязан к конкретному порту. А если свичи обычные, то это лишний геморой для админа, которого будут задрачивать неопытные юзеры поменявшие сетевуху. А злоумышленник может стандартными виндовыми командами получить список соответсвия IP<->MAC и просто поменять MAC на своей сетевухе.

Тоже самое можно сказать и про IPGuard.

использую ipguard у себя в сетке,

значит даже если какай-то умник поменял себе МАС - то сразу все пищется в логи проги, кроме того очень удобная вещь для отключения неплатильщеков,

убрал связку IP+MAC и юзвер уже в сеть не войдет вообще !

[niidil 0]

Ох как затрахали эти суслики...

Вот допустим у меня на магистрали стоит управляемое оборудование, как я могу бороться с этими сусликами? Привязка мака к порту по-моему это не есть хоршей идеей, раз свич не абонентский, а магистральный.

А нада ли вообще с ними бороться??? Провода ж они не грызут

Ну поиздеваться каждый любит! У меня сеть лагает как только может, я не вижу никакого умного выхода из положения уже больше месяца, пишу всяко-разные скрипты для того, чтобы хоть как-то эту проблему решить.

 

Вообще, кто-то что-то предпринимает? Или все ставят роутеры?

Я хочу найти такое решение, чтобы не менять настройки у клиентов.

Я не издеваюсь.

А можеш конкретно и максимально подробно расказать в чём проявляются лаги, может чем помогу.

[niidil 0]

На фре с подменой мак или ип адреса просто бороться так:

arp -s ip mac pub

 

Забиваешь туда все ip и mac адреса клиентских машин.

И фря не только сама имеет точную таблицу, но и на чужие запросы выдает правильные mac адреса.

ИМХО, данный способ имеет смысл использовать в связке с умными свичами, на которых MAC привязан к конкретному порту. А если свичи обычные, то это лишний геморой для админа, которого будут задрачивать неопытные юзеры поменявшие сетевуху. А злоумышленник может стандартными виндовыми командами получить список соответсвия IP<->MAC и просто поменять MAC на своей сетевухе.

Тоже самое можно сказать и про IPGuard.

использую ipguard у себя в сетке,

значит даже если какай-то умник поменял себе МАС - то сразу все пищется в логи проги, кроме того очень удобная вещь для отключения неплатильщеков,

убрал связку IP+MAC и юзвер уже в сеть не войдет вообще !

Возьми свич и кусок кабеля обжатый с двух сторон и воткни один конец в свич, а другой в свою сетевуху вместо кабеля локалки.

Теперь поменяй себе IP на один из тех которые у тебя в IPGuard не прописаны, а затем воткни кабель локалки в свич.

Вот ты и в сети. Админ неврно курит, смотрит логи IPGuard и думает как же он будет вычислять нарушителя среди полутысячи пользоватлей.

 

И это пожалуй один из самых геморных способов обмана IPGuard, можно обойтись и без выдёргивания кабеля.

Я уже молчу про Linux, которому вообще насрать на любые IPGuard'ы и конфликты IP-адресов.

[Колян 2]

Угу... Блин, придумали этот чертов протокол, убить бы того, кто его придумал, защищенности буквально никакой, любой ламер может уложить сеть.

Все это лирика, перейдем к делу...

Желательно бы как-то отслеживать эти пакеты, и рубать их на магистрали управляемым оборудованием, если это вообще реально. Не верю, что кроме жесткой привязки ничего нормальнее нету.

[zulu_Radist 856]

Может таким аппаратиком поигратсО?

 

http://shop.nag.ru/core.asp?main=catalog&a...e&id=1790&cat=1

[Колян 2]

Думаю фря умеет не меньше, знать бы ЧТО рубать, все веду и веду к этому, но никто так и не говорил.

[niidil 0]

Может таким аппаратиком поигратсО?

 

http://shop.nag.ru/core.asp?main=catalog&a...e&id=1790&cat=1

Это пожалуй самый действенный и самый правильный способ, но где ж столько денег взять чтобы такие свичи ставить.

[niidil 0]

Думаю фря умеет не меньше, знать бы ЧТО рубать, все веду и веду к этому, но никто так и не говорил.

Почитай вот эту статейку, думаю почерпнёш что-то полезное

http://www.securitylab.ru/analytics/216229.php

[Колян 2]

Я имею ввиду, что у меня собран свич на фрюхе... На биллинговый сервак патч еще не накладывал .

Патч не накладывается Возможно, он для другой версии ядра фрюхи

Cmy# patch < if_ether.c.patch

Hmm... Looks like a unified diff to me...

The text leading up to this was:

--------------------------

|--- if_ether.c.old Tue Dec 2 19:57:08 2003

|+++ if_ether.c Wed Dec 3 10:41:38 2003

--------------------------

Patching file if_ether.c using Plan A...

Hunk #1 succeeded at 36 with fuzz 1 (offset -4 lines).

Hunk #2 succeeded at 91 (offset 5 lines).

Hunk #3 failed at 109.

Hunk #4 failed at 131.

Hunk #5 failed at 687.

3 out of 5 hunks failed--saving rejects to if_ether.c.rej

done

 

вот так вот

Патч брал вот ftp://ftp.opennet.ru/pub/security/arp_spoof_patch/freebsd/ здесь

Ядро у меня 5.5, больше патчей найти я не смог.

Відредаговано 2007-12-24 10:16:18 Колян