Перейти до

сниферы ! помогите избавиться


Рекомендованные сообщения

  • Відповіді 73
  • Створено
  • Остання відповідь

Top Posters In This Topic

Не ну насчёт 220 прикольно придумано но это сильно жистоко лучше руко прикладством решить , притом уже решили а как нашли написано в начале темы )

Ссылка на сообщение
Поделиться на других сайтах
  • 2 months later...

Хэ...ребята...С чего вы взяли, что именно снифер наводняет сеть фальшивыми аэрпэхами? Причин появления большого кол-ва запросов-ответов может быть множество: от спец-софта до банальной неисправности сетевой карты. Если свитч не управляемый ( с привязкой порт-MAC) - ты не докажешь, что DoS-атака - а это именно отказ в обслуживании -проведена именно ТЕМ молокососом: без труда можно подменить любую инфу в пакете и/или дейтаграмме. Реальнее всего, нЕкто, кто в отличие от ( вы уж, простите) владельца сети хорошо знает основные RFC просто злорадно издевается над беспомощностью тамошнего админа. Совет: без шума и пыли пригласи профессинального спеца, можно самоучку - такие есть..

Ссылка на сообщение
Поделиться на других сайтах
Хэ...ребята...С чего вы взяли, что именно снифер наводняет сеть фальшивыми аэрпэхами? Причин появления большого кол-ва запросов-ответов может быть множество: от спец-софта до банальной неисправности сетевой карты. Если свитч не управляемый ( с привязкой порт-MAC) - ты не докажешь, что DoS-атака - а это именно отказ в обслуживании -проведена именно ТЕМ молокососом: без труда можно подменить любую инфу в пакете и/или дейтаграмме. Реальнее всего, нЕкто, кто в отличие от ( вы уж, простите) владельца сети хорошо знает основные RFC просто злорадно издевается над беспомощностью тамошнего админа. Совет: без шума и пыли пригласи профессинального спеца, можно самоучку - такие есть..

Сомневаюсь, что неисправная сетевая карта будет слать чёткие арп-запросы...

Что за спецсофт Вы имеете в виду?

Ссылка на сообщение
Поделиться на других сайтах

поиск урода который ложит сеть очень прост:

 

1. привязка всех легально работающих юзверей через пару IP - MAC

 

2. во время флуда (DDOS атаки) по очереди отключаем от сети пользователя вот такой командой: arp -s {Ip пользователя} 00:00:00:00:00:00

 

как только флуд АРП флуд пропадет, значит вы нашли урода...

 

а дальше ну вы сами понимаете что можно с ним сделать ;)

Ссылка на сообщение
Поделиться на других сайтах

2 Maikl

Тоесть перестанут появлятся записи на шлюзе что такойто MAC хотел сменить статическу запись в таблице АРП такуюто?

Сам флуд ведь не прекратится как я понимаю от этого.

Ссылка на сообщение
Поделиться на других сайтах

катит и еще как... у меня вся сетка на тупых свичах, и ловится... на ура, 5 малолетних придурков поймал и отключил от сети, когда папы мамы пришли жаловатся, что типо они заплотили деньги а нет инета и нет сети, я показал догавор в котором черно побелому написанно что за эти действия их могут привлечь к уголовной ответ. и все.... или платите заново за подключение к сети, или идите гулять...

Ссылка на сообщение
Поделиться на других сайтах

или еще вариант, аллиасом на интерфейс вешать IP по очереди ;) и винда радостно закричит "ВАШ IP ИСПОЛЬЗУЕТСЯ ГДЕ-ТО" и отрубит наглеца от сети ;)

Ссылка на сообщение
Поделиться на других сайтах
Хэ...ребята...С чего вы взяли, что именно снифер наводняет сеть фальшивыми аэрпэхами? Причин появления большого кол-ва запросов-ответов может быть множество: от спец-софта до банальной неисправности сетевой карты. Если свитч не управляемый ( с привязкой порт-MAC) - ты не докажешь, что DoS-атака - а это именно отказ в обслуживании -проведена именно ТЕМ молокососом: без труда можно подменить любую инфу в пакете и/или дейтаграмме. Реальнее всего, нЕкто, кто в отличие от ( вы уж, простите) владельца сети хорошо знает основные RFC  просто злорадно издевается над беспомощностью тамошнего админа. Совет: без шума и пыли пригласи профессинального спеца, можно самоучку - такие есть..

Сомневаюсь, что неисправная сетевая карта будет слать чёткие арп-запросы...

Что за спецсофт Вы имеете в виду?

Кхе....сама по себе сетевая карта не шлёт никакие запросы вообще.

А софт - да такового полно на околохакерских форумах, скажем, популярнейшее в среде малолетних засранцев творение "ICQsniff", если не ошибся в буквах. Это и подобные гаденькие программульки имеют функции arp-спуфинга.

Да и многие сниферы имеют режим генерации и отправки всевозможнейших пакетов.

Ссылка на сообщение
Поделиться на других сайтах
поиск урода который ложит сеть очень прост:

 

1. привязка всех легально работающих  юзверей через пару IP - MAC

 

2. во время флуда (DDOS атаки) по очереди отключаем от сети пользователя вот такой командой: arp -s {Ip пользователя} 00:00:00:00:00:00

 

как только флуд АРП флуд пропадет, значит вы нашли урода...

 

а дальше ну вы сами понимаете что можно с ним сделать ;)

-кстати, весьма толково. Я сам как-то не додумался ( пункт намбэр 2). Правда, синтаксис команды немного иной ( arp /?), если для Винды, конечно.

Ссылка на сообщение
Поделиться на других сайтах
Хэ...ребята...С чего вы взяли, что именно снифер наводняет сеть фальшивыми аэрпэхами? Причин появления большого кол-ва запросов-ответов может быть множество: от спец-софта до банальной неисправности сетевой карты. Если свитч не управляемый ( с привязкой порт-MAC) - ты не докажешь, что DoS-атака - а это именно отказ в обслуживании -проведена именно ТЕМ молокососом: без труда можно подменить любую инфу в пакете и/или дейтаграмме. Реальнее всего, нЕкто, кто в отличие от ( вы уж, простите) владельца сети хорошо знает основные RFC  просто злорадно издевается над беспомощностью тамошнего админа. Совет: без шума и пыли пригласи профессинального спеца, можно самоучку - такие есть..

Сомневаюсь, что неисправная сетевая карта будет слать чёткие арп-запросы...

Что за спецсофт Вы имеете в виду?

Кхе....сама по себе сетевая карта не шлёт никакие запросы вообще.

А софт - да такового полно на околохакерских форумах, скажем, популярнейшее в среде малолетних засранцев творение "ICQsniff", если не ошибся в буквах. Это и подобные гаденькие программульки имеют функции arp-спуфинга.

Да и многие сниферы имеют режим генерации и отправки всевозможнейших пакетов.

Я так понял из Вашего первого поста, что Вы имеете в виду не снифферы, а что-то иное ;)

 

 

2. во время флуда (DDOS атаки) по очереди отключаем от сети пользователя вот такой командой: arp -s {Ip пользователя} 00:00:00:00:00:00

 

Что-то я не понял как эта схема работает ;) Расскажите, пожалуйста ;) Как мы можем "отключить пользователя от сети" не имея умных железок?

Ссылка на сообщение
Поделиться на других сайтах

У нас в сети на шлюзе (FreeBSD) жестко прописано соответствие МАК и ИП адресов.

По истечении баланса юзверю ставится в соответствие случайно сгенерированный МАК-адрес.

Случайные мак-адреса перегенерируются каждые 15 минут.

Естественно, при желании по сети шариться это не поможет, но сильно осложнит.

А за пределы шлюза и вовсе не пустит.

Но в целом, в 99,9% случаев отрубает доступ к сети.

Более подробно это уже не раз описано и мной и другими в других темах этого форума.

Суть в другом.

 

Предложенный вариант:

 

1. привязка всех легально работающих юзверей через пару IP - MAC

 

2. во время флуда (DDOS атаки) по очереди отключаем от сети пользователя вот такой командой: arp -s {Ip пользователя} 00:00:00:00:00:00

 

Не работает.

Во всяком случае у нас это не спасает от массы arp пакетов.

Программа типа ICQsniff засоряет гавнецом сеть даже с такой защитой.

Простые неуправляемые свичи от потока левых МАК-адресов дуреют.

Причем после отключения ветки с хакером свичи приходят в норму не сразу.

Вычислять программно в сети на неуправляемых свичах источник такой атаки крайне сложно.

Я пока не нашел другого способа, кроме управлямых свичей.

Чтоб на свичах ставить защиту по мак-адресу на каждый порт.

Тогда с компа человека не будет выходить ничего с мак-адресом источника, отличного от компа этого человека.

А тогда пусть хоть зафлудится.

Если хоть что-то выйдет наружу, первый запуск tcpdump покажет его мак-адрес и все)

 

2Shubin: "arp /?" - держите сервера на винде? )

Ссылка на сообщение
Поделиться на других сайтах

Вот и я не пойму, как можно чела отключить от сети. От инета понятно - шлюз не пропустит. А в сеть же на тупых свичах он всё равно попадает...

Ссылка на сообщение
Поделиться на других сайтах
2Queeq:

Шнур из свича вытаскивать.

И по черепушке давать.

Ещё тут предлагали вариант пускать 220В по витухе к клиенту =)

Имелось в виду программно отключать ;)

Ссылка на сообщение
Поделиться на других сайтах

ставить алиасом на карту его IP и тогда он заходя в сеть под ствоим IP (который у админа алиасом стоит) ему винда радостно скажет что настала жопа. ;)

Ссылка на сообщение
Поделиться на других сайтах
ставить алиасом на карту его IP и тогда он заходя в сеть под ствоим IP (который у админа алиасом стоит) ему винда радостно скажет что настала жопа. ;)

Сори за ламерский вопрос, а что значит "ставить алиасом на карту IP"? ;)

Ссылка на сообщение
Поделиться на других сайтах
ставить алиасом на карту его IP и тогда он заходя в сеть под ствоим IP (который у админа алиасом стоит) ему винда радостно скажет что настала жопа.  ;)

Сори за ламерский вопрос, а что значит "ставить алиасом на карту IP"? ;)

Если у тебя UNIX какойнить это значит прописать еще один айпи на сетевом интерфейсе

Ссылка на сообщение
Поделиться на других сайтах
У нас в сети на шлюзе (FreeBSD) жестко прописано соответствие МАК и ИП адресов.

По истечении баланса юзверю ставится в соответствие случайно сгенерированный МАК-адрес.

Случайные мак-адреса перегенерируются каждые 15 минут.

Естественно, при желании по сети шариться это не поможет, но сильно осложнит.

А за пределы шлюза и вовсе не пустит.

Но в целом, в 99,9% случаев отрубает доступ к сети.

Более подробно это уже не раз описано и мной и другими в других темах этого форума.

Суть в другом.

 

Предложенный вариант:

 

1. привязка всех легально работающих юзверей через пару IP - MAC

 

2. во время флуда (DDOS атаки) по очереди отключаем от сети пользователя вот такой командой: arp -s {Ip пользователя} 00:00:00:00:00:00

 

Не работает.

Во всяком случае у нас это не спасает от массы arp пакетов.

Программа типа ICQsniff засоряет гавнецом сеть даже с такой защитой.

Простые неуправляемые свичи от потока левых МАК-адресов дуреют.

Причем после отключения ветки с хакером свичи приходят в норму не сразу.

Вычислять программно в сети на неуправляемых свичах источник такой атаки крайне сложно.

Я пока не нашел другого способа, кроме управлямых свичей.

Чтоб на свичах ставить защиту по мак-адресу на каждый порт.

Тогда с компа человека не будет выходить ничего с мак-адресом источника, отличного от компа этого человека.

А тогда пусть хоть зафлудится.

Если хоть что-то выйдет наружу, первый запуск tcpdump покажет его мак-адрес и все)

 

2Shubin: "arp /?" - держите сервера на винде? )

- и на ней, родимой, тоже...

Ссылка на сообщение
Поделиться на других сайтах

Совершенно логичный, но не совсем в тему "бродкастовый" :-) вопрос (прошу не пинать, если что):кто подскажет,где взять ДЕШЁВЫЕ но БОЛЕЕ-МЕНЕЕ надёжные УПРАВЛЯЕМЫЕ свитчи портов на восемь-десять? Чтоб можно было жёстко вязать MAC-IP? Отечественные поделки гаражных умельцев не предлагать:-) Мля...хоть самому налаживай производство таковых - озолотиться можно, ей-Богу:-)

Ссылка на сообщение
Поделиться на других сайтах

Народ, у меня вгороде сейчас есть две локалки конкурента так сказать.

Начну с второй более молоодой. Используют чисто управляемые свичи, никаких впн и тому подобного для роздачи инета....

 

Первая же, использует неуправляемые, так сказать "тупые" свитчи, НО!

принцип построения сети друной, постоено по принципу точка-точка. В каждом раене города стоит роутер под FreeBSD. у меня маска сети Mask:255.255.255.252, тоесть если я хочу попасть к соседу по сетевому окружению, я всегда иду через роутер, а потом к нему. Таким способ при неуплате абонплаты меня отрублят на роутере и все тут. думаю такой подход являеться очень разумный и можно бороться с сниферами тоже без проблем

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.


×
×
  • Створити нове...