Сниферы в сети

[Гость Guest_knowhow]

4. Арп-спуфинг.

Что это такое:

- какая-то машина говорит клиенту, чтобы он обращался к серверу по mac-адресу этой машины.

- эта-же машина говорит серверу, чтобы он обращался к клиенту по mac-адресу это машины.

Т.е. становится посредником между клиентом и сервером.

Это вполне рабочая схема, если на сервере(шлюзе то есть) нету железного забития ip-адресов по mac-адресам.

Если забитие есть, то сервер, со своей стороны, скажет "Хрен тебе. Я буду обращаться к клиенту по тому mac-адресу, который написан у меня".

И будет слать пакеты клиенту на тот mac-адрес, который в ней забит.

Для клиента будет такая ситуация: отправляет он пакеты на один mac-адрес, а ответы приходят с другого.

Как винда будет себя вести в такой ситуации, я не знаю.

Могу предположить, что поменяет запись об mac-адресе на правильную.

Значит первый-же пакет от сервера поломает весь arp-спуфинг.

А в первых пакетах нету паролей.

там только запрос на соединение.

Вот и весь arp-спуфинг.

 

Вывод: делайте железную привязку ip-адресов к mac-адресам и ставьте какую-нибудь авторизацию для выхода в инет.

 

P.S. Во всех четырех случаях "хакера" можно поймать, если запустить на шлюзе программу arpwatch.

Что это за программа - ищите в инете, инфы там навалом.

Вывод более менее верен только для случая предотвращения простой кражи трафика.. но в топике идет речь о снифе..

 

Дело в том что после

"- какая-то машина говорит клиенту, чтобы он обращался к серверу по mac-адресу этой машины."

И клиент это съедает то..

Серверу можно ничего не сообщать... и все... дальше расписывать небуду там и так понятно... что будет..

 

Вывод такой привязка ip+mac в небольшой мере берегет от кражи трафика

привязка пароль+ip+mac более берегет (но тоже не совсем если пароль можно будет просто отснифать)

 

Целостность же инфы клиента может обеспечить только vpn и то на 100% не всякий..

[nn 7]

Решил я на досуге еще раз вникнуть в этот вопрос, хотя бага в ДНК эзернета, похоже.

 

Если делать ifconfig eth0 -arp

То откудова arp таблица будет браться?

Ее надо создавать?

Потом вручную добавлять при добавлении ИП?

Реально кто делал на Линухе без арп интерфейс?

[XoRe 0]

2nn: самому ручками надо будет забивать или скриптом =))

 

2Guest_knowhow: Это логично.

Для того, чтобы до машины от клиента дошло более одного пакета, надо не только сниффить, но и эмулировать tcp соединение.

Хотя это, не так сложно.

 

А насчет пароль+ip+mac я уже написал в п.3, что в stargazer даже авторизация идет ШИФРОВАННАЯ.

Шифрование идет по алгоритму blowfish.

 

Так что отсниффить получится не пароль, а его зашифрованное значение.

 

P.S. "привязка ip+mac" бережет от кражи траффика только пока в сети все - добропорядочные люди.

[nn 7]

Тогда вопрос, есть ли скрипт готовый, с dchpd.conf чтобы выбирал что, там есть и пребразовывал в нужный формат.

Что реально даст привязка такого рода, кроме забот по вбиванию МАС?

Спуфинг она исключит полностью или частично?

Что будет мешать кому-то АРП запросы в сеть выдавать?

Или поставим вопрос так, нужно ли это реально, если и так авторизация по СТГ идет, какие +?

 

З.Ы. Насчет добропорядочности в сети - так это с области фантастики.

[XoRe 0]

Насчет добропорядочности: у меня есть сетка из 25-30 компов.

Проведена она в военном, чтоли, городке.

Как я понял, все пользователи этой сети - военные офицеры или их семьи. Т.е. они в состоянии оплатить интернет и не будут страдать взломом. Если страдать начнет чей-то сын, 1 раза надрать ему уши будет достаточно =)

Имхо, при хорошем среднем уровне жизни пользователям нет смысла рисковать своим доступом в сеть ради пары сотен халявных мегабайт.

 

Потом.

Готового скрипта с dhcp нет, он пишется за 10 минут на перле.

Что даст привязка на фряхе, я написал довльно подробно выше.

Когда в этой теме обсуждали вопрос арп-спуфинга, я прошел по указанной ссылке и почитал про него.

http://nag.ru/2003/0405/0405.shtml - вот ссылка. Советую почитать.

Я считаю, что такой вид снифинга возможен, железная привязка на роутере сделает его невозможным.

Насчет запросов, рекомендую ПОЧИТАТЬ наконец-таки, про АРП-спуфинг самому и самому-же сделать выводы.

Здесь дело не в запросе, а в подмене соответствия ip+mac на клиенте и на шлюзе.

Для работы арп-спуфинга обязательно подменить ip+mac и на клиенте и на шлюзе.

Железная привязка не позволит подменить ip+mac на шлюзе.

Значит арп-спуфинг не будет работать так, как задумано.

 

Насчет плюсов, а как насчет своей головой подумать? =)

Я расписал механизм так подробно, что подробнее уже некуда.

Ну, только механизм arp-спуфинга не разжевал.

Но разжевание его есть поссылке.

Т.е. исходные данные у вас есть.

Вам, что, ещё и выводы из этих данных за вас делать? =))

Подумайте сами, что это такое и нужно это вам или нет.

 

Тут дело в осознании необходимости.

 

Для своих сетей я решил, что это необходимо.

Для ваших сетей решайте сами.

 

Тема-то называется "как бороться?", а не "какие плюсы и зачем это ваще?" =)))

[nn 7]

пуфинга, я прошел по указанной ссылке и почитал про него.

http://nag.ru/2003/0405/0405.shtml - вот ссылка. Советую почитать.

Я считаю, что такой вид снифинга возможен, железная привязка на роутере сделает его невозможным.

Насчет запросов, рекомендую ПОЧИТАТЬ наконец-таки, про АРП-спуфинг самому и самому-же сделать выводы.

 

Насчет плюсов, а как насчет своей головой подумать? =)

 

Я расписал механизм так подробно, что подробнее уже некуда.

 

Ну, только механизм arp-спуфинга не разжевал.

 

Но разжевание его есть поссылке.

Т.е. исходные данные у вас есть.

Вам, что, ещё и выводы из этих данных за вас делать? =))

Подумайте сами, что это такое и нужно это вам или нет.

 

Тут дело в осознании необходимости.

 

Для своих сетей я решил, что это необходимо.

Для ваших сетей решайте сами.

 

Тема-то называется "как бороться?", а не "какие плюсы и зачем это ваще?" =)))

Очень много слов в постинге и нет собственно ответа. Может не услышан был вопрос. Зато амбиций полно.

 

Статью по ссылке я давно читал, тогда посчитал, что не критично, перечитал недавно, и нашел там примечание редакции:

Вообще говоря, если компьютер "В" - шлюз провайдера, на нем не сложно запретить обновление ARP-таблицы. После этого ARР spoofing'ом можно будет перехватывать только исходящий от абонента трафик. Да и "особо осторожные" пользователи могут это сделать без особых хлопот. Однако сложно представить такую защиту массовой, применимой к обычным абонентам... Прим. Nag..

 

Вывод ИМХО, нет смысла, снова таки не критично все это, вопросы решает частично, может спровоцировать начинающего хайкера к каким-то некпридвиденым или предвиденным, типа МАС+IP

подменам. Добавляет лишних забот, надо вручную забивать новые ИП.

Юзер поменяет сетевуху (а они ща с материнками меняются) - снова перезабивать.

Защиту паролем+IP в СТГ все-же считаю достаточной.

Можно запустить, для наблюдения arpwatch да вот поэкспериментировал, на досуге, не заметил он смены IP при том же МАС, зато словил с lo0 реальный адрес как bogus.

[XoRe 0]

Хммм, признаю, мой косяк, я читал статью невнимательно.

Даже при железной забивке в таком случае хакер может получать исходящий траффик от пользователя.

 

Я могу сказать 2 вещи:

1. Получается, хакер может выловить любые пароли, передающиеся открытым текстом. Тогда, и правда, спасти может что-то типа vpn.

 

2. Arpwatch у меня работает 2 месяца.

При смене mac/ip адреса мне приходит письмо с описанием этого.

Так вот, я думаю, что как только кто-то включит arp-спуфинг, и на шлюз придет пакет с mac-адресом пользователя, а ip адресом клиента, arpwatch сразу вышлет письмо о смене связки mac+ip.

Советую включить эту программу и сохранять письма, приходящие от неё.

Тогда вы будете знать, у кого на компах какие mac-адреса.

Хакер может при включении арп-спуфинга поменять свой mac-адрес на чужой, тогда знание mac-адресов не спасет. В таком случае советую включать tcpdump. Включать его можно не на 24 часа, а в то время, когда на ваш в згляд, что-то в сети будет не так.

[Gmen 0]

Мужики, мне кажеться что проще купить, L3 штуковину и настроить и все у вас будет хорошо, поставить на всех уровнях умные свитчи, настроить(правильно).

Эти штуки и шифруют трафик, и привязку ЖЕСТКУЮ делаю.

то есть не только мака к ай-пи, а еще и айпи к порту, и мака к порту.

 

Правда проще лишь для тех у кого деньги есть. =)

[Pentalgin 8]

Мужики, мне кажеться что проще купить, L3 штуковину и настроить и все у вас будет хорошо, поставить на всех уровнях умные свитчи, настроить(правильно).

Эти штуки и шифруют трафик, и привязку ЖЕСТКУЮ делаю.

то есть не только мака к ай-пи, а еще и айпи к порту, и мака к порту.

 

Правда проще лишь для тех у кого деньги есть. =)

мне интересно как L3 трафик шифруют

[Pretender 5]

Молодой человек ви не прави

значит опишу 2 случая.

1.

а) я ставлю себе мак и ип клиента который есть в сети и который на данный момент подключен к инету через какую-нить авторизовалку не поднимающую виртуальный тунель

б) я запускаю download менеджер для закачки чего-либо из инета и на часик другой оставляю машинку воровать инет, и мне пофиг как работает сеть при хорошем инете я вытащу гиг другой трафа

результат шарового инета достигнут

2.

а)Я ставлю себе ип и мак шлюза при этом опять таки если в сети стоит авторизация без тунелирования допустим по маку ипу и паролю

б)снифером ловим со всей сети парольчики, или шифрованные пакеты с паролями.

в)юзаем в своё удовльствие когда владельцы спят

 

по поводу Вычисляемости если бы с нашихъ мыльниц можно было снимать статус на каком порту какой мак тогда бы это вычислялось, либо знать что у клиента машина выключена, но в сети "присутствует" и бегать по сети с пинговалкой и искать кто же схватил ип клиента

 

 

вывод, от мошенников счет клиента спасти можно 2-мя способами

1) дешевый: впн

2) чуть дороже: привязка на каждом порту управляемых железок минимум 2-го уровня мака клиента к порту.

[911 140]

Молодой человек ви не прави

значит опишу 2 случая.

1.

а) я ставлю себе мак и ип клиента который есть в сети и который на данный момент подключен к инету через какую-нить авторизовалку не поднимающую виртуальный тунель

б) я запускаю download менеджер для закачки чего-либо из инета и на часик другой оставляю машинку воровать инет, и мне пофиг как работает сеть при хорошем инете я вытащу гиг другой трафа

результат шарового инета достигнут

2.

а)Я ставлю себе ип и мак шлюза при этом опять таки если в сети стоит авторизация без тунелирования допустим по маку ипу и паролю

б)снифером ловим со всей сети парольчики, или шифрованные пакеты с паролями.

в)юзаем в своё удовльствие когда владельцы спят

по п.1 - клиент в это время должен быть авторизован со своего авторизатора со своим паролем

когда ты ставишь у себя его ip+mac, у тебя и у того самого клиента начинает все глючить безбожно часть пакетов приходит к нему, часть к тебе, т.е. у него ничего толком не работает. тут есть 2 момента:

а) клиент звонит в техподдержку => админы тебя вычисляют пусть даже методом отключения сегментов сети

б) авторизатор тоже же бегает по той же сети. из-за глюков сети авторизатор не сможет нормально работать, сервак отключает инет по таймауту

 

по п.2 - перехват зашифрованного пароля? хм... это смотря какой алгоритм шифрования использовать

[Pretender 5]

Молодой человек ви не прави

значит опишу 2 случая.

1.

а) я ставлю себе мак и ип клиента который есть в сети и который на данный момент подключен к инету через какую-нить авторизовалку не поднимающую виртуальный тунель

б) я запускаю download менеджер для закачки чего-либо из инета и на часик другой оставляю машинку воровать инет, и мне пофиг как работает сеть при хорошем инете я вытащу гиг другой трафа

результат шарового инета достигнут

2.

а)Я ставлю себе ип и мак шлюза при этом опять таки если в сети стоит авторизация без тунелирования допустим по маку ипу и паролю

б)снифером ловим со всей сети парольчики, или шифрованные пакеты с паролями.

в)юзаем в своё удовльствие когда владельцы спят

по п.1 - клиент в это время должен быть авторизован со своего авторизатора со своим паролем

когда ты ставишь у себя его ip+mac, у тебя и у того самого клиента начинает все глючить безбожно часть пакетов приходит к нему, часть к тебе, т.е. у него ничего толком не работает. тут есть 2 момента:

а) клиент звонит в техподдержку => админы тебя вычисляют пусть даже методом отключения сегментов сети

б) авторизатор тоже же бегает по той же сети. из-за глюков сети авторизатор не сможет нормально работать, сервак отключает инет по таймауту

 

по п.2 - перехват зашифрованного пароля? хм... это смотря какой алгоритм шифрования использовать

1) хм, со скольки до скольки у тебя саппорт по свичтам бегает?) максимум с 9 до 18

авторизатор нифига не отваливаеться, мы так в общаге народу трафф накручивали)

2) ну если у тебя 3des тогда сложней, а с "мистовой" фенькой проще простого

[XoRe 0]

Имхо, vpn - оптимальный вариант.

- Не нужна программка-авторизатор (которые часто блокируются клиентскими фаерволлами, и которые есть часто только под win).

- Шифруется трафик.

- Решение универсальное, есть во всех современных осях, в той же винде без дополнительного ПО.

 

А от подмены мак адреса вместе с ip адресом спасут только умные свичи с блокировкой на порту.

[911 140]

1) хм, со скольки до скольки у тебя саппорт по свичтам бегает?) максимум с 9 до 18

авторизатор нифига не отваливаеться, мы так в общаге народу трафф накручивали)

2) ну если у тебя 3des тогда сложней, а с "мистовой" фенькой проще простого

1) смотря какой авторизатор, если вовремя ответ от авторизатора не прийдет к серваку, то инет отвалится

2) ну на то он имистовский а если использовать примерно такой алгоритм:

Для исключения перехвата данных авторизации сниферами и т.д., сервер каждый раз формирует случайный идентификатор, шифрует его ключем нужного клиента, отсылает клиенту, клиент расшифровывает ключ, шифрует вторым ключем и отсылает серверу. Благодаря такой схеме злоумышленник не сможет авторизоваться послав повторно перехваченные данные т.к. сервер после каждой попытки меняет идентификатор.

то оченьдаже ничего

[911 140]

Имхо, vpn - оптимальный вариант.

- Не нужна программка-авторизатор (которые часто блокируются клиентскими фаерволлами, и которые есть часто только под win).

- Шифруется трафик.

- Решение универсальное, есть во всех современных осях, в той же винде без дополнительного ПО.

 

А от подмены мак адреса вместе с ip адресом спасут только умные свичи с блокировкой на порту.

Ну тогда уже лучше PPPoE юзать

Оно вполне может работать, если клиент себе "случайно" левый ип поставил

[dead 93]

для отлова одинаковых пар ip+mac подойдет простой скрипт, который регистрирует 2 arp ответа на один запрос. Допустим он словил такое дело, для верности пару раз еще посылает запросы, если результат в виде дубликатов повторяется - блочит ip, пишет письмо админу. Рано или поздно такого клиента вычисляем, дальше убедительно объясняем, что так делать нельзя если не хочет иметь проблем со здоровьем (милицией на выбор).

 

К сожалению вариантов атак около десятка и на каждый свой метод. С уверенностью говорю, что без управляемого оборудования проблеиу не решить.

 

И еще - не пытайтесь вы воевать с атаками, кроме еле функционирующей сети вы ничего не получите, а потери бесят клиентов больше чем отсутсвие инета. Рубить надо на корню - попался клиент, штраф и серьезный разговор. Попался второй раз - нафик с сети, можно с пиздюлиной под зад

[Pentalgin 8]

для отлова одинаковых пар ip+mac подойдет простой скрипт, который регистрирует 2 arp ответа на один запрос. Допустим он словил такое дело, для верности пару раз еще посылает запросы, если результат в виде дубликатов повторяется - блочит ip, пишет письмо админу. Рано или поздно такого клиента вычисляем, дальше убедительно объясняем, что так делать нельзя если не хочет иметь проблем со здоровьем (милицией на выбор).

 

К сожалению вариантов атак около десятка и на каждый свой метод. С уверенностью говорю, что без управляемого оборудования проблеиу не решить.

 

И еще - не пытайтесь вы воевать с атаками, кроме еле функционирующей сети вы ничего не получите, а потери бесят клиентов больше чем отсутсвие инета. Рубить надо на корню - попался клиент, штраф и серьезный разговор. Попался второй раз - нафик с сети, можно с пиздюлиной под зад

А пимер скриптика не покажите?

[frig 2]

для получения паролей в любом случае прийдется забить таблицы свичей. а этого нельзя не заметить. если сидеть тихо а нелегал наглеет то вычислить его можно. постепенно методом половинного деления разрезая сеть роутером. в итоге получится локализовать подлеца и сполна рубануть с него денег. например повесив на него все притензии пользователей вида "куда-то пропадает интернет".

[Queeq 0]

для получения паролей в любом случае прийдется забить таблицы свичей. а этого нельзя не заметить. если сидеть тихо а нелегал наглеет то вычислить его можно. постепенно методом половинного деления разрезая сеть роутером. в итоге получится локализовать подлеца и сполна рубануть с него денег. например повесив на него все притензии пользователей вида "куда-то пропадает интернет".

А как насчёт arp-спуфинга, атак с помощью DHCP? Атак на spanning-tree, если у свичей не предусморена защита root-бриджа?

[frig 2]

А как насчёт arp-спуфинга

 

а это ли не переполнение мак таблицы свича?

 

атак с помощью DHCP

 

для этого он должен быть. а если DHCP есть а управляемого железа нет, то скто сам себе тогда могилу вырыл?

 

Атак на spanning-tree, если у свичей не предусморена защита root-бриджа?

 

аналогично. использовать заведомо уязвимые технологии - положить грабли а потом на них наступать. или как это говорят - "мы сами себе создает трудности а потом ГЕРОИЧЕСКИ их преодолеваем"

[Queeq 0]

а это ли не переполнение мак таблицы свича?

 

Нет. Это подмена арп-записей у хостов. На тупых свичах продуманный арп-спуфинг отловить очень сложно (а может быть даже невозможно).

 

для этого он должен быть. а если DHCP есть а управляемого железа нет, то скто сам себе тогда могилу вырыл?

 

Ну мало ли что люди сделают по требованию капризных пользователей...

 

аналогично. использовать заведомо уязвимые технологии - положить грабли а потом на них наступать.

 

Можно просто не знать деталей работы spanning-tree. Я думаю, большинство здесь знают только то, что это протокол чтобы избежать петель. А как там выбираются рут-бриджи и зачем они вообще нужны, и, тем более, как защититься от появления левых рут-бриджей - вряд ли. А это грозит тем же тихеньким перехватом трафика. И админы ничего не знают.

[frig 2]

Нет. Это подмена арп-записей у хостов.

 

ага. верно. был не прав. но я сомневаюсь что современные фаерволлы не умеют и не реагирует на такого вида атаки. ведь на хост сыпется куча арпа который "не заказывали". а если у пользователя нет фаерволла то тут уж в ЕГО безопасности а не сети.

 

На тупых свичах продуманный арп-спуфинг отловить очень сложно (а может быть даже невозможно).

 

дык и не должен он приводить к тому что траф идет налево.

 

Ну мало ли что люди сделают по требованию капризных пользователей...

 

подставлять безопасность и защищенность сети - даже по требованию САМЫХ капризных пользователей нельзя.

 

Можно просто не знать деталей работы spanning-tree.

 

и еще одна поговорка: не зная броду - не лезь в воду. а вот если оперировать тем с чем знаком хоть как-то, то вполне можно обуспеить безопасность.

 

это снаала может показаться что вот, мол, поставил DHCP, и всем хорошо... или поднял STP и построил избыточные линки и опять хорошо и надежно. а на самом деле оказывается что DHCP то ты поставил, а вот обезопасить его работу тебе нечем. это прокол. или stp ты поднял но не учел что так даже проще положить сетку. опять прокол. и оказывается что вроде хотел как лучше... а получилось как всегда.

 

нет проблемы безопасности. туннелями решается в момент. есть проблема тупых юзеров и ленивых админов. но это же совершенно другая тема. :-)

[niidil 0]

Нет. Это подмена арп-записей у хостов. На тупых свичах продуманный арп-спуфинг отловить очень сложно (а может быть даже невозможно).

ARP-spoofing не отловиш тупыми свичами, только прыгать по крышам, отключать разные сегменты сети и смотреть продолжается атака или нет.

[Queeq 0]

ага. верно. был не прав. но я сомневаюсь что современные фаерволлы не умеют и не реагирует на такого вида атаки. ведь на хост сыпется куча арпа который "не заказывали". а если у пользователя нет фаерволла то тут уж в ЕГО безопасности а не сети.

 

ARP-spoofing не отловиш тупыми свичами, только прыгать по крышам, отключать разные сегменты сети и смотреть продолжается атака или нет.

 

Арп-спуфинг вовсе не зафлуживает сетку. Достаточно просто отвечать на арп-запросы клиента и сервера своим маком. А запросы от них исходят достаточно редко. Кстати, я думаю, можно только клиенту отвечать своим маком и взаимодействовать со шлюзом от своего имени - так даже на шлюзе не будет видно, что происходит перехват трафика. Тут без умных свичей или пользовательского файрвола, который прохавает эту атаку, вообще никак не обойтись.

 

дык и не должен он приводить к тому что траф идет налево.

 

Он как раз на это и направлен

 

подставлять безопасность и защищенность сети - даже по требованию САМЫХ капризных пользователей нельзя.

 

Невозможно всё знать. Задолбали, например, ноутбучные юзеры тем же DHCP (типа "вот у меня на работе автоматом адрес, а дома надо каждый день вручную вбивать!") - сделаете им DHCP в конце концов. Особенно если ещё конкурент есть, у которого он сделан.

 

STP ещё можно избежать в относительно небольших сетях. Но когда уже становится критичной отказоустойчивость либо появляются шторма от чьей-нибудь криворукости - конечно STP будет введён.

[frig 2]

Тут без умных свичей или пользовательского файрвола, который прохавает эту атаку, вообще никак не обойтись.

 

и вот если первое не достижимо для некоторых сетей ввиду финансовых проблем, то не воспользоваться вторым - просто преступно. вирусы же заставляете на компах у клиентов выводить? почему же не поставить обязательным условием наличие фаера? либо прямо в договоре прописать что в случае если фаер не стоит то пров не несет ответственности.

 

Он как раз на это и направлен

 

я к тому что подмена мака не должна приводить к заворачиванию нета на левое лицо.

 

Задолбали, например, ноутбучные юзеры тем же DHCP (типа "вот у меня на работе автоматом адрес, а дома надо каждый день вручную вбивать!") - сделаете им DHCP в конце концов.

 

ИМ, отдельно можно и сделать. совершенно не обязательно при этом подставлять всю сеть. да и такому требующему юзеру важно объяснить чем это грозит и предоставить выбор.

 

конечно STP будет введён.

 

либо резервирование будет применено другими менее кривыми способами, так ведь?