сниферы ! помогите избавиться

[KLN.NET 0]

Apelsin

Главное не перепутать ))

[dreed 0]

Не ну насчёт 220 прикольно придумано но это сильно жистоко лучше руко прикладством решить , притом уже решили а как нашли написано в начале темы )

[Shubin 0]

Хэ...ребята...С чего вы взяли, что именно снифер наводняет сеть фальшивыми аэрпэхами? Причин появления большого кол-ва запросов-ответов может быть множество: от спец-софта до банальной неисправности сетевой карты. Если свитч не управляемый ( с привязкой порт-MAC) - ты не докажешь, что DoS-атака - а это именно отказ в обслуживании -проведена именно ТЕМ молокососом: без труда можно подменить любую инфу в пакете и/или дейтаграмме. Реальнее всего, нЕкто, кто в отличие от ( вы уж, простите) владельца сети хорошо знает основные RFC просто злорадно издевается над беспомощностью тамошнего админа. Совет: без шума и пыли пригласи профессинального спеца, можно самоучку - такие есть..

[Queeq 0]

  Shubin сказав:

Хэ...ребята...С чего вы взяли, что именно снифер наводняет сеть фальшивыми аэрпэхами? Причин появления большого кол-ва запросов-ответов может быть множество: от спец-софта до банальной неисправности сетевой карты. Если свитч не управляемый ( с привязкой порт-MAC) - ты не докажешь, что DoS-атака - а это именно отказ в обслуживании -проведена именно ТЕМ молокососом: без труда можно подменить любую инфу в пакете и/или дейтаграмме. Реальнее всего, нЕкто, кто в отличие от ( вы уж, простите) владельца сети хорошо знает основные RFC просто злорадно издевается над беспомощностью тамошнего админа. Совет: без шума и пыли пригласи профессинального спеца, можно самоучку - такие есть..

Сомневаюсь, что неисправная сетевая карта будет слать чёткие арп-запросы...

Что за спецсофт Вы имеете в виду?

[Maikl 0]

поиск урода который ложит сеть очень прост:

 

1. привязка всех легально работающих юзверей через пару IP - MAC

 

2. во время флуда (DDOS атаки) по очереди отключаем от сети пользователя вот такой командой: arp -s {Ip пользователя} 00:00:00:00:00:00

 

как только флуд АРП флуд пропадет, значит вы нашли урода...

 

а дальше ну вы сами понимаете что можно с ним сделать

[devchaos 1]

2 Maikl

Тоесть перестанут появлятся записи на шлюзе что такойто MAC хотел сменить статическу запись в таблице АРП такуюто?

Сам флуд ведь не прекратится как я понимаю от этого.

[Queeq 0]

Ага, на тупых свичах не прокатит

[Maikl 0]

катит и еще как... у меня вся сетка на тупых свичах, и ловится... на ура, 5 малолетних придурков поймал и отключил от сети, когда папы мамы пришли жаловатся, что типо они заплотили деньги а нет инета и нет сети, я показал догавор в котором черно побелому написанно что за эти действия их могут привлечь к уголовной ответ. и все.... или платите заново за подключение к сети, или идите гулять...

[Maikl 0]

или еще вариант, аллиасом на интерфейс вешать IP по очереди и винда радостно закричит "ВАШ IP ИСПОЛЬЗУЕТСЯ ГДЕ-ТО" и отрубит наглеца от сети

[Shubin 0]

  Queeq сказав:

  Shubin сказав:

Хэ...ребята...С чего вы взяли, что именно снифер наводняет сеть фальшивыми аэрпэхами? Причин появления большого кол-ва запросов-ответов может быть множество: от спец-софта до банальной неисправности сетевой карты. Если свитч не управляемый ( с привязкой порт-MAC) - ты не докажешь, что DoS-атака - а это именно отказ в обслуживании -проведена именно ТЕМ молокососом: без труда можно подменить любую инфу в пакете и/или дейтаграмме. Реальнее всего, нЕкто, кто в отличие от ( вы уж, простите) владельца сети хорошо знает основные RFC  просто злорадно издевается над беспомощностью тамошнего админа. Совет: без шума и пыли пригласи профессинального спеца, можно самоучку - такие есть..

Сомневаюсь, что неисправная сетевая карта будет слать чёткие арп-запросы...

Что за спецсофт Вы имеете в виду?

Кхе....сама по себе сетевая карта не шлёт никакие запросы вообще.

А софт - да такового полно на околохакерских форумах, скажем, популярнейшее в среде малолетних засранцев творение "ICQsniff", если не ошибся в буквах. Это и подобные гаденькие программульки имеют функции arp-спуфинга.

Да и многие сниферы имеют режим генерации и отправки всевозможнейших пакетов.

[Shubin 0]

  Maikl сказав:

поиск урода который ложит сеть очень прост:

 

1. привязка всех легально работающих  юзверей через пару IP - MAC

 

2. во время флуда (DDOS атаки) по очереди отключаем от сети пользователя вот такой командой: arp -s {Ip пользователя} 00:00:00:00:00:00

 

как только флуд АРП флуд пропадет, значит вы нашли урода...

 

а дальше ну вы сами понимаете что можно с ним сделать

-кстати, весьма толково. Я сам как-то не додумался ( пункт намбэр 2). Правда, синтаксис команды немного иной ( arp /?), если для Винды, конечно.

[Queeq 0]

  Shubin сказав:

  Queeq сказав:

  Shubin сказав:

Хэ...ребята...С чего вы взяли, что именно снифер наводняет сеть фальшивыми аэрпэхами? Причин появления большого кол-ва запросов-ответов может быть множество: от спец-софта до банальной неисправности сетевой карты. Если свитч не управляемый ( с привязкой порт-MAC) - ты не докажешь, что DoS-атака - а это именно отказ в обслуживании -проведена именно ТЕМ молокососом: без труда можно подменить любую инфу в пакете и/или дейтаграмме. Реальнее всего, нЕкто, кто в отличие от ( вы уж, простите) владельца сети хорошо знает основные RFC  просто злорадно издевается над беспомощностью тамошнего админа. Совет: без шума и пыли пригласи профессинального спеца, можно самоучку - такие есть..

Сомневаюсь, что неисправная сетевая карта будет слать чёткие арп-запросы...

Что за спецсофт Вы имеете в виду?

Кхе....сама по себе сетевая карта не шлёт никакие запросы вообще.

А софт - да такового полно на околохакерских форумах, скажем, популярнейшее в среде малолетних засранцев творение "ICQsniff", если не ошибся в буквах. Это и подобные гаденькие программульки имеют функции arp-спуфинга.

Да и многие сниферы имеют режим генерации и отправки всевозможнейших пакетов.

Я так понял из Вашего первого поста, что Вы имеете в виду не снифферы, а что-то иное

 

 

  Цитата

2. во время флуда (DDOS атаки) по очереди отключаем от сети пользователя вот такой командой: arp -s {Ip пользователя} 00:00:00:00:00:00

 

Что-то я не понял как эта схема работает Расскажите, пожалуйста Как мы можем "отключить пользователя от сети" не имея умных железок?

[XoRe 0]

У нас в сети на шлюзе (FreeBSD) жестко прописано соответствие МАК и ИП адресов.

По истечении баланса юзверю ставится в соответствие случайно сгенерированный МАК-адрес.

Случайные мак-адреса перегенерируются каждые 15 минут.

Естественно, при желании по сети шариться это не поможет, но сильно осложнит.

А за пределы шлюза и вовсе не пустит.

Но в целом, в 99,9% случаев отрубает доступ к сети.

Более подробно это уже не раз описано и мной и другими в других темах этого форума.

Суть в другом.

 

Предложенный вариант:

 

1. привязка всех легально работающих юзверей через пару IP - MAC

 

2. во время флуда (DDOS атаки) по очереди отключаем от сети пользователя вот такой командой: arp -s {Ip пользователя} 00:00:00:00:00:00

 

Не работает.

Во всяком случае у нас это не спасает от массы arp пакетов.

Программа типа ICQsniff засоряет гавнецом сеть даже с такой защитой.

Простые неуправляемые свичи от потока левых МАК-адресов дуреют.

Причем после отключения ветки с хакером свичи приходят в норму не сразу.

Вычислять программно в сети на неуправляемых свичах источник такой атаки крайне сложно.

Я пока не нашел другого способа, кроме управлямых свичей.

Чтоб на свичах ставить защиту по мак-адресу на каждый порт.

Тогда с компа человека не будет выходить ничего с мак-адресом источника, отличного от компа этого человека.

А тогда пусть хоть зафлудится.

Если хоть что-то выйдет наружу, первый запуск tcpdump покажет его мак-адрес и все)

 

2Shubin: "arp /?" - держите сервера на винде? )

[Queeq 0]

Вот и я не пойму, как можно чела отключить от сети. От инета понятно - шлюз не пропустит. А в сеть же на тупых свичах он всё равно попадает...

[XoRe 0]

2Queeq:

Шнур из свича вытаскивать.

И по черепушке давать.

Ещё тут предлагали вариант пускать 220В по витухе к клиенту =)

[Queeq 0]

  XoRe сказав:

2Queeq:

Шнур из свича вытаскивать.

И по черепушке давать.

Ещё тут предлагали вариант пускать 220В по витухе к клиенту =)

Имелось в виду программно отключать

[Amal 0]

ставить алиасом на карту его IP и тогда он заходя в сеть под ствоим IP (который у админа алиасом стоит) ему винда радостно скажет что настала жопа.

[Queeq 0]

  Amal сказав:

ставить алиасом на карту его IP и тогда он заходя в сеть под ствоим IP (который у админа алиасом стоит) ему винда радостно скажет что настала жопа.

Сори за ламерский вопрос, а что значит "ставить алиасом на карту IP"?

[devchaos 1]

  Queeq сказав:

  Amal сказав:

ставить алиасом на карту его IP и тогда он заходя в сеть под ствоим IP (который у админа алиасом стоит) ему винда радостно скажет что настала жопа. 

Сори за ламерский вопрос, а что значит "ставить алиасом на карту IP"?

Если у тебя UNIX какойнить это значит прописать еще один айпи на сетевом интерфейсе

[Queeq 0]

А что в этом случае помешает злостному юзеру поменять IP и опять запустить сниффер? Или с самого начала поменять IP

[XoRe 0]

2Amal:

Это можно обойти, даже на винде.

 

2Queeq:

На неуправляемых свичах - на 100% никак.

[Shubin 0]

  XoRe сказав:

У нас в сети на шлюзе (FreeBSD) жестко прописано соответствие МАК и ИП адресов.

По истечении баланса юзверю ставится в соответствие случайно сгенерированный МАК-адрес.

Случайные мак-адреса перегенерируются каждые 15 минут.

Естественно, при желании по сети шариться это не поможет, но сильно осложнит.

А за пределы шлюза и вовсе не пустит.

Но в целом, в 99,9% случаев отрубает доступ к сети.

Более подробно это уже не раз описано и мной и другими в других темах этого форума.

Суть в другом.

 

Предложенный вариант:

 

1. привязка всех легально работающих юзверей через пару IP - MAC

 

2. во время флуда (DDOS атаки) по очереди отключаем от сети пользователя вот такой командой: arp -s {Ip пользователя} 00:00:00:00:00:00

 

Не работает.

Во всяком случае у нас это не спасает от массы arp пакетов.

Программа типа ICQsniff засоряет гавнецом сеть даже с такой защитой.

Простые неуправляемые свичи от потока левых МАК-адресов дуреют.

Причем после отключения ветки с хакером свичи приходят в норму не сразу.

Вычислять программно в сети на неуправляемых свичах источник такой атаки крайне сложно.

Я пока не нашел другого способа, кроме управлямых свичей.

Чтоб на свичах ставить защиту по мак-адресу на каждый порт.

Тогда с компа человека не будет выходить ничего с мак-адресом источника, отличного от компа этого человека.

А тогда пусть хоть зафлудится.

Если хоть что-то выйдет наружу, первый запуск tcpdump покажет его мак-адрес и все)

 

2Shubin: "arp /?" - держите сервера на винде? )

- и на ней, родимой, тоже...

[Shubin 0]

Совершенно логичный, но не совсем в тему "бродкастовый" :-) вопрос (прошу не пинать, если что):кто подскажет,где взять ДЕШЁВЫЕ но БОЛЕЕ-МЕНЕЕ надёжные УПРАВЛЯЕМЫЕ свитчи портов на восемь-десять? Чтоб можно было жёстко вязать MAC-IP? Отечественные поделки гаражных умельцев не предлагать:-) Мля...хоть самому налаживай производство таковых - озолотиться можно, ей-Богу:-)

[XoRe 0]

http://lightcom.ru/production/ethernetswitches.asp

[Savio 1]

Народ, у меня вгороде сейчас есть две локалки конкурента так сказать.

Начну с второй более молоодой. Используют чисто управляемые свичи, никаких впн и тому подобного для роздачи инета....

 

Первая же, использует неуправляемые, так сказать "тупые" свитчи, НО!

принцип построения сети друной, постоено по принципу точка-точка. В каждом раене города стоит роутер под FreeBSD. у меня маска сети Mask:255.255.255.252, тоесть если я хочу попасть к соседу по сетевому окружению, я всегда иду через роутер, а потом к нему. Таким способ при неуплате абонплаты меня отрублят на роутере и все тут. думаю такой подход являеться очень разумный и можно бороться с сниферами тоже без проблем