В последнее время в нашей сети часто возникают конфликты IP-адресов. Как ни странно, они возникают в различных подсетях. Я не думаю, что кто-то своей машине тупо прописывает IP адрес. Скорей всего имеет место ARP атака.
Собственно, как вычислить вредителя? Обращаться к админу - дело глухое.
Натолкните хотябы на мысль, как его можно вычислить.
Setor пишет: В последнее время в нашей сети часто возникают конфликты IP-адресов. Как ни странно, они возникают в различных подсетях. Я не думаю, что кто-то своей машине тупо прописывает IP адрес. Скорей всего имеет место ARP атака.
ARP атака никоим образом не влияет на IP адреса, что и следует их ее названия. адреса выдаются DHCP? свитчи умеют показывать mac-таблицу? Тогда можно определить, к какому порту подключен злоумышленник.
Собственно, как вычислить вредителя? Обращаться к админу - дело глухое.
Админ обязан решать такие вопросы, если после устного и письменного заявления вопрос не решается, пишите служебку. ip раздаются автоматически? В логах сервера dhcp должна быть запись о конфликте ip адресов, там же вроде и mac адрес, в оснастке dhcp также можно узнать ip и mac. Если маршрутизатор позволяет, следует включить фильтрацию по mac адресу.
Админ обязан решать такие вопросы, если после устного и письменного заявления вопрос не решается, пишите служебку.
Ну и напишет он служебку а на кого?
Цитата
Pili пишет: ip раздаются автоматически? В логах сервера dhcp должна быть запись о конфликте ip адресов, там же вроде и mac адрес, в оснастке dhcp также можно узнать ip и mac.
DHCP не выдаст 2 раза один ip-adress. Да даже если МАС узнать, то на неуправляемых свитчах фиг разберешься. А вот попбовать разрешить имя машины может привезти к лучшему эффету чем знание мака на неуправляемых свитчах
Цитата
Pili пишет: Если маршрутизатор позволяет, следует включить фильтрацию по mac адресу.
А причем здесь маршрутизатор (причем маршрутизатор и MAC) наверное вы хотели сказать коммутатор? А как же санкционированное подключение пользователей с ноутбуками (гости). Просто так такие решения не внедряются. Вначале желательно политику написать. А на самом деле тогда уж сразу 802.1х вводить
Естественно не раздает, и не говорилось об этом. В оснастве dhcp или в логах можно узнать имя компа типа black045.intra.blabla.com ну и соответвенно анализировать и принимать решение.
Цитата
qwestor пишет:
Да даже если МАС узнать, то на неуправляемых свитчах фиг разберешься.
Выше не было уточнено что используется на шлюзе. По поводу мас... некоторые циски позволяют фильтровать по мас адресу.
Цитата
qwestor пишет:
Вначале желательно политику написать.
Верно, настроить правила роутинга, в случае же ручного ввода статического ip адреса принадлежащего другой подсети - фильтровать.
Естественно не раздает, и не говорилось об этом. В оснастве dhcp или в логах можно узнать имя компа типа black045.intra.blabla.com ну и соответвенно анализировать и принимать решение.
Если законный пользователь зарегистрировался, то ничего не второй не получит через DHCP такой же адрес, а соответсвенно в случае использования DHCP конфликта быть не может. Значит пользователь (НС) использует статик, а значит причем тут ДНСР?
Цитата
Pili пишет:
Цитата
qwestor пишет:
Да даже если МАС узнать, то на неуправляемых свитчах фиг разберешься.
Выше не было уточнено что используется на шлюзе. По поводу мас... некоторые циски позволяют фильтровать по мас адресу.
Я уже сказал про шоу мак адрес тейбл выше, но причем здесь маршрутизация? Это третий уровень, а МАК второй. Коммутаторы, концентраторы, но никак не марштуризаторы. Конечно если человек для внутренней сети использует более дорогой коммутирующий маршрутизатор, то и флаг ему в руки...
Цитата
Pili пишет:
Цитата
qwestor пишет:
Вначале желательно политику написать.
Верно, настроить правила роутинга, в случае же ручного ввода статического ip адреса принадлежащего другой подсети - фильтровать.
При чем здесь malicious? Setor - "Обращаться к админу - дело глухое."
Цитата
qwestor пишет:
Если законный пользователь зарегистрировался, то ничего не второй не получит через DHCP такой же адрес, а соответсвенно в случае использования DHCP конфликта быть не может. Значит пользователь (НС) использует статик, а значит причем тут ДНСР?
Если незаконный пользователь вбил стат. адрес, далее законный пользователь включил комп, то dhcp не выдаст(вообще от настроек зависит, системы, выдающей ip адреса) ip адрес, а в dhсp такая запись пометится как bad, соответсвенно, если настроены логи, то там будет запись о конфликте
Цитата
qwestor пишет:
Я уже сказал про шоу мак адрес тейбл выше, но причем здесь маршрутизация? Это третий уровень, а МАК второй. Коммутаторы, концентраторы, но никак не марштуризаторы. Конечно если человек для внутренней сети использует более дорогой коммутирующий маршрутизатор, то и флаг ему в руки...
Я уже написал выше -Setor не уточненил, что используется на шлюзе. Может их организация использует циску?
Цитата
qwestor пишет:
Роутинг немного иное []
именно фильтрацией на шлюзе между подсетями(роутинг) можно заблокировать ip или мас адрес адрес "злоумышленника"
ARP атака никоим образом не влияет на IP адреса, что и следует их ее названия.
Вообще говоря, влияет, если под ARP-атакой подразумевалась атака отравления ARP-кеша(ARP cache poison), в этом случае злоумышленник шлет жертве фиктивные ARP-ответы, которые заставляют ОС жертвы поместить соответствие между IP адресом из фиктивных ARP-пакетов и MAC-адресом нападающего в свой ARP кеш на некоторое время. Windows(проверял на XP SP2) запросто можно отключить от интернета, если отравить ей ARP-кеш фиктивными ARP-ответами, в которых будет сообщаться, что IP адресу гейта на самом деле соответсвует MAC адрес сетевой платы этой же самой машины, если постоянно отравлять ARP-кеш, то у винды молча "отваливается интернет". Вот так выглядит эта атака:
C:\Documents and Settings\admin>ipconfig /all
Windows IP Configuration
Host Name . . . . . . . . . . . . : zerg Primary Dns Suffix . . . . . . . : Node Type . . . . . . . . . . . . : Unknown IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : local
ARP атака никоим образом не влияет на IP адреса, что и следует их ее названия.
Вообще говоря, влияет, если под ARP-атакой подразумевалась атака отравления ARP-кеша(ARP cache poison), в этом случае злоумышленник шлет жертве фиктивные ARP-ответы, которые заставляют ОС жертвы поместить соответствие между IP адресом из фиктивных ARP-пакетов и MAC-адресом нападающего в свой ARP кеш на некоторое время.
Однако повторюсь, эта атака никоим образом не влияет на IP адреса и соответственно не может вызывать конфликта IP адресов. Она всего лишь, как ты и написал, подменяет mac-адрес для определенного IP адреса в arp таблице жертвы.
В нашем случае скорее всего ведётся атака (или какой-то сбой), т.к. на всех компьютерах, причём, в разных подсетях практически одновременно всплывают "Конфликт IP адресов", после чего начинаются проблемы:
Я не могу соединиться с другой машиной (из другой подсети). Как уже выше писалось, имеет место быть подмена mac адреса для определённого IP. В следующий раз сверю arp-таблицы. Я никогда не интересовался подобными вопросами, так что мои познания в таких делах не велики.
По поводу свитчей - я ничего не знаю. Сеть нашего провайдера. Клиентов около тысячи, у всех статические постоянные IP адреса 83.166.36.0 - 83.166.39.255 Попробую обратиться к знакомому из администрации.
Сегодня проверил arp-кеш после того, как пропал интернет. Действительно, mac-адрес gatewayа был подменён. Так же был подменён MAC адрес ещё одного компьютера в сети, с которым я часто общаюсь. Мне кажется, что какой-то компьютер в сети ловит широковещательные arp запросы и формирует свои ложные ответы.
Я прописал статически mac адреса шлюзу и нужному мне компьютеру. Теперь интернет не пропадает. Так же написал о проблеме провайдеру. Жду от них ответа.
Остаётся нерешённой вопрос о конфликте IP адресов. Что за атака используется в данном случае?
А никто не задумывался, что лучше поискать в инете прогу, которая оперделит двойника? У нас в сети для обнаружения использовали NetView, которая определяет текущий айпишник пользователя и для нее плагин где-то есть на мак адрес, есть также множество определителей сниферов, запускаешь , и тебе все как на ладохе - кто снифает и чем, названия не помню, гугль рулит
При "Конфликт IP адреса" Windows записывает в журнале MAC адрес двойника... В моём случае эти MACи постоянно разные, так что тут всё намного сложнее...
Setor пишет: Остаётся нерешённой вопрос о конфликте IP адресов. Что за атака используется в данном случае?
Конфликт адресов возникает когда виндовз получает арп запрос от машины с таким-же как у неё мак-адресом. Судя по описываемой ситуации: 1. Кто-то узнал что такое каин и слушает трафик между тобой и твоим коллегой. Метод лечения - статическая арп таблица. 2. Кто-то пытается использовать твой айпи что-бы пользоваться интернетом "нахаляву". Но подменить свой мак-адрес у него пока ума не хватило, отсюда и конфиликты. Решение - забить и сообщить провайдеру. Злоумышленик должен находится с тобой в одном сегменте, так что, вражина где-то рядом.
Конфликт адресов возникает когда виндовз получает арп запрос от машины с таким-же как у неё мак-адресом.
Но в логах остаётся вовсе не мой MAC адрес. MAC всегда случайный. Надо поставить сниффер и посмотреть, что за пакеты вызывают конфликт. Кстати, у нас в сети используется какое-то шифрование данных в IP пакетах и сниффером ловить чужие пакеты бесполезно.
Связался со знакомым админом. Он сказал, что они не могут вычислить злоумышленников. И даже пытаться не будут... Единственный выход - глобальный переход на умные свитчи. Но думаю, им пофиг
1) Есть шанс, но думаю, он невелик... 2) Исключено. Пока он не возьмёт мой MAC адрес, к интернету доступа он не получит.
Да, я когда-то давно так уже делал... Правда, если хозяин появлялся в сети, у нас обоих начинались глюки с интернетом, рвались постоянные соединения, а конфликта IP у меня лично не возникало (тогда ещё я сидел на WinNT4+SP6a). Так что тут скорей всего имеет место быть просто западлостроение...