сниферы ! помогите избавиться

[karimovru 1]

Такой подход однозначно разумный, кроме того что создает весьма ощутимые нагрузки на рутера в случае с локальным трафиком.

[Queeq 0]

Я себе представляю какие там задержки, если железо не сильно крутое...

[Savio 1]

да какие там задержкий уважаемый. все прекрасно работает и без глюков

 

пингую другой конец города!!!!! пинг 50-100 мс

 

роутер не один, а в каждом районе свой. так что какие глюки могут быть?

[karimovru 1]

Совершенно логичный, но не совсем в тему "бродкастовый" :-) вопрос (прошу не пинать, если что):кто подскажет,где взять ДЕШЁВЫЕ но БОЛЕЕ-МЕНЕЕ надёжные УПРАВЛЯЕМЫЕ свитчи портов на восемь-десять? Чтоб можно было жёстко вязать MAC-IP? Отечественные поделки гаражных умельцев не предлагать:-) Мля...хоть самому налаживай производство таковых - озолотиться можно, ей-Богу:-)

А мы вот решили взять б/у, 12-24 порта 3com 1000 и 1100

Средняя цена 50-70$ за штуку, аппараты бомбезные.

Только вот теперь новые ящики делать, но это надо было давно делать потому как свич, резервное питание, кабеля, грозы в старые ящики давно уже приходится чуть ли не ногой запихивать.

[Queeq 0]

да какие там задержкий уважаемый. все прекрасно работает и без глюков

 

пингую другой конец города!!!!! пинг 50-100 мс

 

роутер не один, а в каждом районе свой. так что какие глюки могут быть?

Это с каким размером пакетов?

[dreed 0]

ВОт смотрите вот что бы сразу не отключать от сети человека в начале после того как его словили за сниф можно воспользоваться layer-2 Network Guard- программы ставиться на сервак и она записывает ip и мас адреса всех людей , после этого человк не может не поменять мас и ip . а так же можно забанить его так что он не сможетт вообще зайти в сеть... и во все общие места.... , Этой программой можно на первое время наказать а потом если повториться сниф то отключить вообще... навсегда да же если будет попытка заплотить что бы вернуться....

[devchaos 1]

ВОт смотрите вот что бы сразу не отключать от сети человека в начале после того как его словили за сниф можно воспользоваться layer-2 Network Guard- программы ставиться на сервак и она записывает ip и мас адреса всех людей , после этого человк не может не поменять мас и ip . а так же можно забанить его  так что он не сможетт вообще зайти в сеть... и во все общие места.... , Этой программой можно на первое время наказать а потом если повториться сниф  то отключить вообще... навсегда да же если будет попытка заплотить что бы вернуться....

Фигня какаято сорри за сленг ) ИМХО на неуправляемом железе вообще нет возможности обезопасить себя от АРП спуффинга

Вот что на НАГе пишут об этой проге http://www2.nag.ru/forum/index.php?showtopic=34790

[Shubin 0]

http://lightcom.ru/production/ethernetswitches.asp

-Огромное спасибо. Если это оборудование настолько же хорошо, как его описывает разработчик - то нафиг "мыльницы"!

[XoRe 0]

2Shubin: пожалуйста)

Если возьмете, отпишись, как они в работе.

[XNeo 0]

Абсолютно случайно забрёл в вашу тему

Тоже имеется своя небольшая сеть. Тоже иногда долбут мозг ARP-spoof'ом. Лично для меня покупать умные свитчи дороговато, если бы ещё не грозы... Вот и захотел попробовать решить проблему програмным путём.

Написал программу под win32. На сегодня она умеет:

1. Отлавливать ВСЕ ARP-запросы на указанных интерфейсах. Вести их лог. Если пара IP:MAC не совпадает, отмечать это и принимать какието действия...

Из действий программа покачто умеет:

2. При входе в сеть компьютер отсылает ARP-запрос, дабы узнать занята ли пара IP:MAC или свободна... если никто не отвечает значит пара свободна и комп берёт себе этот IP. Есстественно прога увидев что данному МАСу этот IP непозволен отсылает ответ, что мол "занято" и винда у входящего кричит "этот айпи используется и тд...", в сеть тада он не входит.

Далее хочу доделать...

3. Если с одного МАСа приходит за короткий промежуток времени, например, более 3-х запросов на РАЗНЫЕ IP (так работают проги с ARP-spoof) то прога которая на сервере файрволит приём ARP траффика от данного МАСа на некоторое время дабы сервер не кешировал ложных MAC:IP пар. Да и если все клиенты заведены в базу IP:MAC то администратор СРАЗУЖЕ наглядно будет видеть имя "угрозы". :argh:

 

Кому интерестно мог бы поделится. Есстественно если людей интересует развитие программы хотелось бы иметь с этого хотяби как говорится "на пиво"

Скрин:

[loki 86]

Абсолютно случайно забрёл в вашу тему

Тоже имеется своя небольшая сеть. Тоже иногда долбут мозг ARP-spoof'ом. Лично для меня покупать умные свитчи дороговато, если бы ещё не грозы... Вот и захотел попробовать решить проблему програмным путём.

Написал программу под win32. На сегодня она умеет:

1. Отлавливать ВСЕ ARP-запросы на указанных интерфейсах. Вести их лог. Если пара IP:MAC не совпадает, отмечать это и принимать какието действия...

Из действий программа покачто умеет:

2. При входе в сеть компьютер отсылает ARP-запрос, дабы узнать занята ли пара IP:MAC или свободна... если никто не отвечает значит пара свободна и комп берёт себе этот IP. Есстественно прога увидев что данному МАСу этот IP непозволен отсылает ответ, что мол "занято" и винда у входящего кричит "этот айпи используется и тд...", в сеть тада он не входит.

Далее хочу доделать...

3. Если с одного МАСа приходит за короткий промежуток времени, например, более 3-х запросов на РАЗНЫЕ IP (так работают проги с ARP-spoof) то прога которая на сервере файрволит приём ARP траффика от данного МАСа на некоторое время дабы сервер не кешировал ложных MAC:IP пар. Да и если все клиенты заведены в базу IP:MAC то администратор СРАЗУЖЕ наглядно будет видеть имя "угрозы". :argh:

 

Кому интерестно мог бы поделится. Есстественно если людей интересует развитие программы хотелось бы иметь с этого хотяби как говорится "на пиво"

Скрин:

arpwatch есть под уникс

 

а прогу инетресно было бы пощупать )

[NightNET 81]

Очень интиресно , вот только где ссылки не заметно или пиво онли ? выложи прогу , хоть для тестирования , демо там типо , или скажи сколько требуеш за нее .

[Queeq 0]

Мысль хорошая. Особенно полезно ставить её на клиентские тачки, которая будет производить операции по их защите. А то от одностороннего arp-спуфинга на клиента она не защитит, если стоит только на сервере.

Ещё пару замечаний. Во-первых всплывает проблема смены пользователями компов либо использования нескольких компов (например, ноутбука). В таком случае я вижу решение в клиент-серверной архитектуре с регистрацией своих маков на сервере. Т.е. когда клиент хочет добавить новый комп в сеть, он ставит программку и регистрируется на сервере. Допустим это должен администратор утвердить вручную. После этого и клиентские машины, с установленным X-Lan Manager'ом будут принимать пакеты от данного компа. Ну а кто не защитился - сам виноват, мы предупреждали

Ещё одно замечание касательно этого:

3. Если с одного МАСа приходит за короткий промежуток времени, например, более 3-х запросов на РАЗНЫЕ IP (так работают проги с ARP-spoof) то прога которая на сервере файрволит приём ARP траффика от данного МАСа на некоторое время дабы сервер не кешировал ложных MAC:IP пар. Да и если все клиенты заведены в базу IP:MAC то администратор СРАЗУЖЕ наглядно будет видеть имя "угрозы".

 

Например программа ettercap тихонько шлёт gratuitous arp пакеты клиенту (при односторонней атаке) - это одиночные reply с одиночной связкой mac-ip, поэтому даже если у пользователя стоит данная программа - метод, указанный в п.3, не сработает.

[vovksextra 0]

Кому интерестно мог бы поделится. Есстественно если людей интересует развитие программы хотелось бы иметь с этого хотяби как говорится "на пиво" 

 

Мне интересно какими средствами ты ловишь ARP пакеты?

 

Если используешь winpcap то есть уже готовое решение ))

 

http://l2nt.info/

 

 

А вообще молодец - только дай ссылочку пощупать

[XNeo 0]

Типа демо версия (Не сохраняются настройки адаптеров)

Скачать

[rtrt 53]

А перезалить нельзя? ссылка битая

[Zohan 1]

Сеть состоит из 92 юзеров . Свитчи разные центральные стоят вторового уровня зуксели . а свичей в сумме 23 . в сети 4 дома . + есть точки которые мне запарилось перепрошивать, вот это самая большая потери в сети.

 

4 дома -23 свича и 92 юзера

меня это потрясло до глубины души. рабочий день сорван - ржём всей конторой.

вариантов два

- 38 этажные( и более) небоскрёбы, отстоящие друг от друга более чем на 300 метров.

- политика сети "каждому юзеру - свич в подарок"

[devchaos 1]

Насчет свичей ярко ) Гирлянда чтоли по этажам?

[.com 1]

Насчет свичей ярко ) Гирлянда чтоли по этажам?

5-6 свичей на дом вполне нормально если в доме 4 парадных и колодцы забиты по самое... что чаще всего собственно и встречается.

[icecybe 35]

у нас тоже искали флудера: нашли подключили его порт на 220В, когда привалил с жалованием, мол комп как хряснул я говорю наверно прогу левую пробовал. задумался От такие вот дела. случай единственный.

[Дядя Рома 155]

Нужно подумать о свиче, кторый бы при комманде из центра, на кабель виновника, автоматом подовал бы 220 В.

[Oleg Doneck 94]

у нас тоже искали флудера: нашли подключили его порт на 220В, когда привалил с жалованием, мол комп как хряснул я говорю наверно прогу левую пробовал. задумался От такие вот дела. случай единственный.

 

а ещё лучше чтобы он это делал автоматом...

 

 

запускаем в сетку вирус ииииииии 

 

на районе ниединого целого компа 

[Aivan 2]

у нас тоже искали флудера: нашли подключили его порт на 220В, когда привалил с жалованием, мол комп как хряснул я говорю наверно прогу левую пробовал. задумался От такие вот дела. случай единственный.

 

вот это кстати вы зря..

на моей практике встречались только(!) компы, которые ложили сеть арп-спуфингом в то время, когда их хазяева даже не подозревали об этом!

 

а если кто-то занимается такими вещами намерено, то это можно быстро отследить немоного логики и все станет понятно