KLN.NET 0 Posted 2006-12-21 16:27:18 Share Posted 2006-12-21 16:27:18 Apelsin Главное не перепутать )) Link to post Share on other sites
dreed 0 Posted 2006-12-21 21:24:27 Author Share Posted 2006-12-21 21:24:27 Не ну насчёт 220 прикольно придумано но это сильно жистоко лучше руко прикладством решить , притом уже решили а как нашли написано в начале темы ) Link to post Share on other sites
Shubin 0 Posted 2007-03-08 08:12:07 Share Posted 2007-03-08 08:12:07 Хэ...ребята...С чего вы взяли, что именно снифер наводняет сеть фальшивыми аэрпэхами? Причин появления большого кол-ва запросов-ответов может быть множество: от спец-софта до банальной неисправности сетевой карты. Если свитч не управляемый ( с привязкой порт-MAC) - ты не докажешь, что DoS-атака - а это именно отказ в обслуживании -проведена именно ТЕМ молокососом: без труда можно подменить любую инфу в пакете и/или дейтаграмме. Реальнее всего, нЕкто, кто в отличие от ( вы уж, простите) владельца сети хорошо знает основные RFC просто злорадно издевается над беспомощностью тамошнего админа. Совет: без шума и пыли пригласи профессинального спеца, можно самоучку - такие есть.. Link to post Share on other sites
Queeq 0 Posted 2007-03-08 08:58:55 Share Posted 2007-03-08 08:58:55 Хэ...ребята...С чего вы взяли, что именно снифер наводняет сеть фальшивыми аэрпэхами? Причин появления большого кол-ва запросов-ответов может быть множество: от спец-софта до банальной неисправности сетевой карты. Если свитч не управляемый ( с привязкой порт-MAC) - ты не докажешь, что DoS-атака - а это именно отказ в обслуживании -проведена именно ТЕМ молокососом: без труда можно подменить любую инфу в пакете и/или дейтаграмме. Реальнее всего, нЕкто, кто в отличие от ( вы уж, простите) владельца сети хорошо знает основные RFC просто злорадно издевается над беспомощностью тамошнего админа. Совет: без шума и пыли пригласи профессинального спеца, можно самоучку - такие есть.. Сомневаюсь, что неисправная сетевая карта будет слать чёткие арп-запросы... Что за спецсофт Вы имеете в виду? Link to post Share on other sites
Maikl 0 Posted 2007-03-08 22:10:55 Share Posted 2007-03-08 22:10:55 поиск урода который ложит сеть очень прост: 1. привязка всех легально работающих юзверей через пару IP - MAC 2. во время флуда (DDOS атаки) по очереди отключаем от сети пользователя вот такой командой: arp -s {Ip пользователя} 00:00:00:00:00:00 как только флуд АРП флуд пропадет, значит вы нашли урода... а дальше ну вы сами понимаете что можно с ним сделать Link to post Share on other sites
devchaos 1 Posted 2007-03-08 22:15:42 Share Posted 2007-03-08 22:15:42 2 Maikl Тоесть перестанут появлятся записи на шлюзе что такойто MAC хотел сменить статическу запись в таблице АРП такуюто? Сам флуд ведь не прекратится как я понимаю от этого. Link to post Share on other sites
Queeq 0 Posted 2007-03-08 22:21:00 Share Posted 2007-03-08 22:21:00 Ага, на тупых свичах не прокатит Link to post Share on other sites
Maikl 0 Posted 2007-03-08 22:34:55 Share Posted 2007-03-08 22:34:55 катит и еще как... у меня вся сетка на тупых свичах, и ловится... на ура, 5 малолетних придурков поймал и отключил от сети, когда папы мамы пришли жаловатся, что типо они заплотили деньги а нет инета и нет сети, я показал догавор в котором черно побелому написанно что за эти действия их могут привлечь к уголовной ответ. и все.... или платите заново за подключение к сети, или идите гулять... Link to post Share on other sites
Maikl 0 Posted 2007-03-08 22:38:48 Share Posted 2007-03-08 22:38:48 или еще вариант, аллиасом на интерфейс вешать IP по очереди и винда радостно закричит "ВАШ IP ИСПОЛЬЗУЕТСЯ ГДЕ-ТО" и отрубит наглеца от сети Link to post Share on other sites
Shubin 0 Posted 2007-03-09 05:15:06 Share Posted 2007-03-09 05:15:06 Хэ...ребята...С чего вы взяли, что именно снифер наводняет сеть фальшивыми аэрпэхами? Причин появления большого кол-ва запросов-ответов может быть множество: от спец-софта до банальной неисправности сетевой карты. Если свитч не управляемый ( с привязкой порт-MAC) - ты не докажешь, что DoS-атака - а это именно отказ в обслуживании -проведена именно ТЕМ молокососом: без труда можно подменить любую инфу в пакете и/или дейтаграмме. Реальнее всего, нЕкто, кто в отличие от ( вы уж, простите) владельца сети хорошо знает основные RFC просто злорадно издевается над беспомощностью тамошнего админа. Совет: без шума и пыли пригласи профессинального спеца, можно самоучку - такие есть.. Сомневаюсь, что неисправная сетевая карта будет слать чёткие арп-запросы... Что за спецсофт Вы имеете в виду? Кхе....сама по себе сетевая карта не шлёт никакие запросы вообще. А софт - да такового полно на околохакерских форумах, скажем, популярнейшее в среде малолетних засранцев творение "ICQsniff", если не ошибся в буквах. Это и подобные гаденькие программульки имеют функции arp-спуфинга. Да и многие сниферы имеют режим генерации и отправки всевозможнейших пакетов. Link to post Share on other sites
Shubin 0 Posted 2007-03-09 05:16:56 Share Posted 2007-03-09 05:16:56 поиск урода который ложит сеть очень прост: 1. привязка всех легально работающих юзверей через пару IP - MAC 2. во время флуда (DDOS атаки) по очереди отключаем от сети пользователя вот такой командой: arp -s {Ip пользователя} 00:00:00:00:00:00 как только флуд АРП флуд пропадет, значит вы нашли урода... а дальше ну вы сами понимаете что можно с ним сделать -кстати, весьма толково. Я сам как-то не додумался ( пункт намбэр 2). Правда, синтаксис команды немного иной ( arp /?), если для Винды, конечно. Link to post Share on other sites
Queeq 0 Posted 2007-03-09 08:58:16 Share Posted 2007-03-09 08:58:16 Хэ...ребята...С чего вы взяли, что именно снифер наводняет сеть фальшивыми аэрпэхами? Причин появления большого кол-ва запросов-ответов может быть множество: от спец-софта до банальной неисправности сетевой карты. Если свитч не управляемый ( с привязкой порт-MAC) - ты не докажешь, что DoS-атака - а это именно отказ в обслуживании -проведена именно ТЕМ молокососом: без труда можно подменить любую инфу в пакете и/или дейтаграмме. Реальнее всего, нЕкто, кто в отличие от ( вы уж, простите) владельца сети хорошо знает основные RFC просто злорадно издевается над беспомощностью тамошнего админа. Совет: без шума и пыли пригласи профессинального спеца, можно самоучку - такие есть.. Сомневаюсь, что неисправная сетевая карта будет слать чёткие арп-запросы... Что за спецсофт Вы имеете в виду? Кхе....сама по себе сетевая карта не шлёт никакие запросы вообще. А софт - да такового полно на околохакерских форумах, скажем, популярнейшее в среде малолетних засранцев творение "ICQsniff", если не ошибся в буквах. Это и подобные гаденькие программульки имеют функции arp-спуфинга. Да и многие сниферы имеют режим генерации и отправки всевозможнейших пакетов. Я так понял из Вашего первого поста, что Вы имеете в виду не снифферы, а что-то иное 2. во время флуда (DDOS атаки) по очереди отключаем от сети пользователя вот такой командой: arp -s {Ip пользователя} 00:00:00:00:00:00 Что-то я не понял как эта схема работает Расскажите, пожалуйста Как мы можем "отключить пользователя от сети" не имея умных железок? Link to post Share on other sites
XoRe 0 Posted 2007-03-09 11:00:17 Share Posted 2007-03-09 11:00:17 У нас в сети на шлюзе (FreeBSD) жестко прописано соответствие МАК и ИП адресов. По истечении баланса юзверю ставится в соответствие случайно сгенерированный МАК-адрес. Случайные мак-адреса перегенерируются каждые 15 минут. Естественно, при желании по сети шариться это не поможет, но сильно осложнит. А за пределы шлюза и вовсе не пустит. Но в целом, в 99,9% случаев отрубает доступ к сети. Более подробно это уже не раз описано и мной и другими в других темах этого форума. Суть в другом. Предложенный вариант: 1. привязка всех легально работающих юзверей через пару IP - MAC 2. во время флуда (DDOS атаки) по очереди отключаем от сети пользователя вот такой командой: arp -s {Ip пользователя} 00:00:00:00:00:00 Не работает. Во всяком случае у нас это не спасает от массы arp пакетов. Программа типа ICQsniff засоряет гавнецом сеть даже с такой защитой. Простые неуправляемые свичи от потока левых МАК-адресов дуреют. Причем после отключения ветки с хакером свичи приходят в норму не сразу. Вычислять программно в сети на неуправляемых свичах источник такой атаки крайне сложно. Я пока не нашел другого способа, кроме управлямых свичей. Чтоб на свичах ставить защиту по мак-адресу на каждый порт. Тогда с компа человека не будет выходить ничего с мак-адресом источника, отличного от компа этого человека. А тогда пусть хоть зафлудится. Если хоть что-то выйдет наружу, первый запуск tcpdump покажет его мак-адрес и все) 2Shubin: "arp /?" - держите сервера на винде? ) Link to post Share on other sites
Queeq 0 Posted 2007-03-09 13:12:09 Share Posted 2007-03-09 13:12:09 Вот и я не пойму, как можно чела отключить от сети. От инета понятно - шлюз не пропустит. А в сеть же на тупых свичах он всё равно попадает... Link to post Share on other sites
XoRe 0 Posted 2007-03-09 15:33:16 Share Posted 2007-03-09 15:33:16 2Queeq: Шнур из свича вытаскивать. И по черепушке давать. Ещё тут предлагали вариант пускать 220В по витухе к клиенту =) Link to post Share on other sites
Queeq 0 Posted 2007-03-09 15:54:34 Share Posted 2007-03-09 15:54:34 2Queeq:Шнур из свича вытаскивать. И по черепушке давать. Ещё тут предлагали вариант пускать 220В по витухе к клиенту =) Имелось в виду программно отключать Link to post Share on other sites
Amal 0 Posted 2007-03-09 20:57:52 Share Posted 2007-03-09 20:57:52 ставить алиасом на карту его IP и тогда он заходя в сеть под ствоим IP (который у админа алиасом стоит) ему винда радостно скажет что настала жопа. Link to post Share on other sites
Queeq 0 Posted 2007-03-09 22:14:08 Share Posted 2007-03-09 22:14:08 ставить алиасом на карту его IP и тогда он заходя в сеть под ствоим IP (который у админа алиасом стоит) ему винда радостно скажет что настала жопа. Сори за ламерский вопрос, а что значит "ставить алиасом на карту IP"? Link to post Share on other sites
devchaos 1 Posted 2007-03-09 22:59:51 Share Posted 2007-03-09 22:59:51 ставить алиасом на карту его IP и тогда он заходя в сеть под ствоим IP (который у админа алиасом стоит) ему винда радостно скажет что настала жопа. Сори за ламерский вопрос, а что значит "ставить алиасом на карту IP"? Если у тебя UNIX какойнить это значит прописать еще один айпи на сетевом интерфейсе Link to post Share on other sites
Queeq 0 Posted 2007-03-10 00:07:11 Share Posted 2007-03-10 00:07:11 А что в этом случае помешает злостному юзеру поменять IP и опять запустить сниффер? Или с самого начала поменять IP Link to post Share on other sites
XoRe 0 Posted 2007-03-10 01:02:59 Share Posted 2007-03-10 01:02:59 2Amal: Это можно обойти, даже на винде. 2Queeq: На неуправляемых свичах - на 100% никак. Link to post Share on other sites
Shubin 0 Posted 2007-03-10 08:29:59 Share Posted 2007-03-10 08:29:59 У нас в сети на шлюзе (FreeBSD) жестко прописано соответствие МАК и ИП адресов.По истечении баланса юзверю ставится в соответствие случайно сгенерированный МАК-адрес. Случайные мак-адреса перегенерируются каждые 15 минут. Естественно, при желании по сети шариться это не поможет, но сильно осложнит. А за пределы шлюза и вовсе не пустит. Но в целом, в 99,9% случаев отрубает доступ к сети. Более подробно это уже не раз описано и мной и другими в других темах этого форума. Суть в другом. Предложенный вариант: 1. привязка всех легально работающих юзверей через пару IP - MAC 2. во время флуда (DDOS атаки) по очереди отключаем от сети пользователя вот такой командой: arp -s {Ip пользователя} 00:00:00:00:00:00 Не работает. Во всяком случае у нас это не спасает от массы arp пакетов. Программа типа ICQsniff засоряет гавнецом сеть даже с такой защитой. Простые неуправляемые свичи от потока левых МАК-адресов дуреют. Причем после отключения ветки с хакером свичи приходят в норму не сразу. Вычислять программно в сети на неуправляемых свичах источник такой атаки крайне сложно. Я пока не нашел другого способа, кроме управлямых свичей. Чтоб на свичах ставить защиту по мак-адресу на каждый порт. Тогда с компа человека не будет выходить ничего с мак-адресом источника, отличного от компа этого человека. А тогда пусть хоть зафлудится. Если хоть что-то выйдет наружу, первый запуск tcpdump покажет его мак-адрес и все) 2Shubin: "arp /?" - держите сервера на винде? ) - и на ней, родимой, тоже... Link to post Share on other sites
Shubin 0 Posted 2007-03-10 08:40:44 Share Posted 2007-03-10 08:40:44 Совершенно логичный, но не совсем в тему "бродкастовый" :-) вопрос (прошу не пинать, если что):кто подскажет,где взять ДЕШЁВЫЕ но БОЛЕЕ-МЕНЕЕ надёжные УПРАВЛЯЕМЫЕ свитчи портов на восемь-десять? Чтоб можно было жёстко вязать MAC-IP? Отечественные поделки гаражных умельцев не предлагать:-) Мля...хоть самому налаживай производство таковых - озолотиться можно, ей-Богу:-) Link to post Share on other sites
XoRe 0 Posted 2007-03-10 12:35:29 Share Posted 2007-03-10 12:35:29 http://lightcom.ru/production/ethernetswitches.asp Link to post Share on other sites
Savio 1 Posted 2007-03-10 13:34:20 Share Posted 2007-03-10 13:34:20 Народ, у меня вгороде сейчас есть две локалки конкурента так сказать. Начну с второй более молоодой. Используют чисто управляемые свичи, никаких впн и тому подобного для роздачи инета.... Первая же, использует неуправляемые, так сказать "тупые" свитчи, НО! принцип построения сети друной, постоено по принципу точка-точка. В каждом раене города стоит роутер под FreeBSD. у меня маска сети Mask:255.255.255.252, тоесть если я хочу попасть к соседу по сетевому окружению, я всегда иду через роутер, а потом к нему. Таким способ при неуплате абонплаты меня отрублят на роутере и все тут. думаю такой подход являеться очень разумный и можно бороться с сниферами тоже без проблем Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now