Перейти до

Arp-spoofing. Новая эпидемия?


drb

Рекомендованные сообщения

В последние дни в сети появились некоректные ARP ответы типа

 

13:42:43.145978 arp reply 192.168.0.12 is-at 0:2:44:81:aa:4f

13:42:43.147464 arp reply 192.168.0.15 is-at 0:2:44:81:aa:4f

13:42:43.147947 arp reply 192.168.2.16 is-at 0:2:44:81:aa:4f

13:42:43.148437 arp reply 192.168.2.20 is-at 0:2:44:81:aa:4f

13:42:43.148924 arp reply 192.168.2.21 is-at 0:2:44:81:aa:4f

13:42:43.149420 arp reply 192.168.0.22 is-at 0:2:44:81:aa:4f

13:42:43.150891 arp reply 192.168.2.23 is-at 0:2:44:81:aa:4f

13:42:43.152361 arp reply 192.168.0.24 is-at 0:2:44:81:aa:4f

13:42:43.153836 arp reply 192.168.2.25 is-at 0:2:44:81:aa:4f

13:42:43.154325 arp reply 192.168.2.26 is-at 0:2:44:81:aa:4f

13:42:43.154813 arp reply 192.168.5.27 is-at 0:2:44:81:aa:4f

13:42:43.155309 arp reply 192.168.2.28 is-at 0:2:44:81:aa:4f

13:42:43.155800 arp reply 192.168.2.29 is-at 0:2:44:81:aa:4f

13:42:43.157271 arp reply 192.168.0.31 is-at 0:2:44:81:aa:4f

13:42:43.158738 arp reply 192.168.5.32 is-at 0:2:44:81:aa:4f

13:42:43.160214 arp reply 192.168.5.37 is-at 0:2:44:81:aa:4f

13:42:43.161689 arp reply 192.168.0.39 is-at 0:2:44:81:aa:4f

 

В результате трафик на все вышеуказанные IP идет на машину с МАС 0:2:44:81:aa:4f и сеть соответственно не работает.

Думал кто-то истользует активный снифер а арп-спуфингом. Но оказалось что источник проблеммы не один а около десятка компов.

Антивирусы с обновленными базами на некоторых находят разные вирусы а на некоторых нет.

У кого такое было? Как боротся?

Ссылка на сообщение
Поделиться на других сайтах

Эпидемия началась в ночь на понедельник. После обнаружения сразу рубим больного на порту, благо оборудование все управляемое. Самое интересное, что есть подозрения на ручное инфицирование первых зараженных. Распространяется активно только в своем сегменте. В одном где 250 тел, ифицировано 13, в другом где чуть больше 200 инфицированных 2. Зараза arp8023.sys сильно мерзопакостная и здорово ложит сеть.

Ссылка на сообщение
Поделиться на других сайтах
Ищем владельца мак адреса 0:2:44:81:aa:4f, отрубаем от сети и даем люлей по вкусу

 

Если сеть из 10-ти компов в одном доме то проблем нет)) А если 800 компов по всему городу? Только сегодня появилось 20 новых зараженных компов. Проблема в том что даже один кладет всю сеть.

 

И не факт что ответы 13:42:43.145978 arp reply 192.168.0.12 is-at 0:2:44:81:aa:4f генерирует 0:2:44:81:aa:4f

Ссылка на сообщение
Поделиться на других сайтах

Вирусня вроде мак не подделывает, так бы мне snmp трапы приходили.

Действительно один заразный комп ложит весь сегмент, приходится очищать арпы и быстренько лезть на нужный свитч порт вырубать.

Ссылка на сообщение
Поделиться на других сайтах
И не факт что ответы 13:42:43.145978 arp reply 192.168.0.12 is-at 0:2:44:81:aa:4f генерирует 0:2:44:81:aa:4f

Конечноне факт.

Но не просто же так несколько компов генерируют arp ответы с этим мак адресом.

Надо колоть владельца этого мак адреса.

А там уже видно будет )

Ссылка на сообщение
Поделиться на других сайтах

А по поводу DNS атак. У кого то такое было? А то у нас в сетке народ вирусняк подхватил.......и пошло поехало. Может кто знает где можно заплатку для этого дела найти, под Винду??

Ссылка на сообщение
Поделиться на других сайтах

почему же? спасение утопающих дело рук самих утопающих....

все 5 отключенных за флуд были без единого антивирусника и файрвола .... выводы сами делаем.... если человека не интересует собственная безопасность, то почему нас должно это волновать?

Ссылка на сообщение
Поделиться на других сайтах
почему же? спасение утопающих дело рук самих утопающих....

все 5 отключенных за флуд были без единого антивирусника и файрвола .... выводы сами делаем.... если человека не интересует собственная безопасность, то почему нас должно это волновать?

Согласен полностью, но как это доказать пользователю?Он не имеет элементарной культуры обращения с компьютером и интернетом.Ему говорят ставь антивирусник, а в ответ а зачем?Ему говорят тебя за вирусы отключили, а в ответ это не моя забота вирусы, интернет ваш вот и ловите.Вы думаете что если он подаст на суд, то суд приймет решение в вашу пользу?Сильно сомневаюсь, так судей и адвокатов продвинутых в высоких технологиях не встречал.Но отключать все же нужно, правда разьяснив все и предупредив, а дальше что будет то будет.Страдать вся сеть и за пары тройки больных не должна

Ссылка на сообщение
Поделиться на других сайтах
почему же? спасение утопающих дело рук самих утопающих....

все 5 отключенных за флуд были без единого антивирусника и файрвола .... выводы сами делаем.... если человека не интересует собственная безопасность, то почему нас должно это волновать?

Согласен полностью, но как это доказать пользователю?Он не имеет элементарной культуры обращения с компьютером и интернетом.Ему говорят ставь антивирусник, а в ответ а зачем?Ему говорят тебя за вирусы отключили, а в ответ это не моя забота вирусы, интернет ваш вот и ловите.Вы думаете что если он подаст на суд, то суд приймет решение в вашу пользу?Сильно сомневаюсь, так судей и адвокатов продвинутых в высоких технологиях не встречал.Но отключать все же нужно, правда разьяснив все и предупредив, а дальше что будет то будет.Страдать вся сеть и за пары тройки больных не должна

Вируснявый компьютер - это уже угроза сети. Только за это можно смело рубать. А в договоре должен быть пунктик по этому поводу. Вот и все.

Ссылка на сообщение
Поделиться на других сайтах

Ты попробуй ему это доказать.Пункт то есть, толку мало.Ты ему говоришь вирус, а он тебе что его нет.Его антивирусник мол не ловит.А то что вирус новый, или у него базы старые, или антивирусник такой хороший....ему пользователю по барабану впринципе.Ты должен ему дать интернет и все тут.У нас система автоматически локализирует пользователя в своем сегметне сети, сообщает ему.Вообщем все доходчиво и понятно.Но со многими пользователями сил более нет бороться.Я вижу только два выхода.Первый это самим все устанавливать(антивирусы, обновления,заплатки,ОС и т.д) и разумееться на шару :)=) кто же захочет платить, у него у юзера как всегда все в порядке и хотите денег на нем заработать :(=) Второй вариант, это просто разорвать договор с ним, оставить эти "сливки общества" своим конкурентам, пусть у них голова болит

Ссылка на сообщение
Поделиться на других сайтах

XP SP 1, отсутствие антивируса... весело у вас )

У ваших клиентов ещё не было вирусов, которые в инет лезут или спам рассылают?

Будут =)

 

У нас каждый 3 вирус в локалке сейчас в сеть лезет.

И юзеры просто имеют факты:

Или они ставят и обновляют антивирусы, или их счет будет уменьшаться на 1-10$ в день.

И никого не и*ет, что это делается против их воли.

IP адрес их, интернет они включили.

Все что идет с их компа - это их зона ответственности.

 

У нас даже самые упрямые ставят себе антивирус, после того как потеряют энную сумму денег.

 

Кстати

это не моя забота вирусы, интернет ваш вот и ловите

Кстати это как раз его забота.

Интернет не ваш, вы только предоставляете доступ к интернету.

А что делает там клиент, он делает по своей воле.

 

Для примера наш договор:

4.3. «Провайдер» оставляет за собой право временно отключать «Абонента» от узла связи в следующих случаях:

4.3.1. Передачи «Абонентом» по сети информации, оскорбляющей честь и достоинство пользователей или обслуживающего персонала локальной сети «Провайдера» и сети Internet;

4.3.2. Установленных фактов попытки порчи «Абонентом» аппаратных, программных средств, узловых машин «Провайдера» или других абонентов, например, путём умышленной рассылки компьютерных вирусов по сети «Провайдера» или сети Internet.

...

4.7. Ответственность «Провайдера» заканчивается на оконечном распределительном устройстве, установленном «Провайдером», к которому непосредственно подключен «Абонент».

 

И напоследок - незнание или неумение от ответственности не освобождают.

Слава богу, что сия мудрость у нас возведена в степень закона.

 

Разорвать договор - это кстати неплохая мысль.

Особенно насчет тех, кто много бухтит и мало платит.

 

А тем, кто согласен что-то делать со своим компом я бы предложил пойти навстречу.

Положить у себя на ftp дистрибутивы антивирусов, положить у себя на ftp обновляемые базы антивирусные.

 

Можно юзерам давать ещё что-нить типа такого:

http://elizovo.ru/cgi-bin/index.cgi?action...ads&cat=protect

Версия 1.5 закрывает все дырки windows, но на дает нормально лазать по шарам.

Версия 1.6 дает лазать по шарам, но открывает пару дырок.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...