:)arpwatch - не так скучно - как очень трудоемкое занятие , скорее даже не скучно, а через чур весело
12.10.2007 12:37:14
:)arpwatch - не так скучно - как очень трудоемкое занятие , скорее даже не скучно, а через чур весело
|
|
|
|
13.10.2007 11:35:49
Да перестань. Тоже мне специалиста нашёл. Вполне нормальный вопрос, который размещён в соответствующей его тематике ветке форума.
|
|
|
|
13.10.2007 12:46:32
ЗЫ Похоже я не совсем правильно понял, ща читаю док Blackhat report, кажись та атака возможна только из коренного влана. Что по дефолту - VID=1 |
|||
|
|
14.10.2007 22:38:41
Дефолтный вилан (VID=1) имеет место прогоняться по умолчанию, как управляющий. Вот тут - правильно.
|
|
|
|
15.10.2007 02:07:44
Итак, кое-чего я почитал, поэтому снова возникла пачка вопросов
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
|
|||||||
|
|
15.10.2007 12:58:52
Ну, в общем случае - да. Если меняется сетевуха - ты получишь в логах флип-флопы. Насколько я помню. Просто больше года уже не разлевался с этой приблудой. А там уже - по ситуации. Смотришь в логах - на каком ИП ещё этот адрес светился. Разумеется, если у "пионэра" не хватит ума сменить и ИП и МАК.
|
|
|
|
15.10.2007 13:15:35
А как насчёт неуправляемых свитчей и arp-флуда? Такой свитч тоже можно перевести в режим хаба описанной атакой?
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
|
|
|
|
15.10.2007 14:53:08
Ну, подумай, чем управляемый отличается от управляемого - и сам ответишь на своё вопрос. Просто в случае неуправляемого всё намного печальнее. В силу "неуправляемости".
|
|
|
|
15.10.2007 16:04:16
Ну, у неуправляемого всё равно есть таблица соответствий МАСов портам. Значит, ситуация аналогична. А если учесть, что никаких port-security у него нет, то и защиты никакой нет, верно?
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
|
|
|
|
15.10.2007 16:42:29
port-security не защищает от ARP спуфинга, НО он помогает найти того человека, который спуфит!
почему? потому что port-security не дает ему заюзать больше одного MAC адреса. Алгоритм: Вы говорите: "на этой розетке в стене должен быть только один MAC адрес". Человек садится с ноутом, подключается к розетке - получает доступ. Он пытается заспуфить IP адрес маршрутизатора на поддельный MAC - не получается. Он пытается заспуфить IP адрес маршрутизатора на свой MAC - получается, Но тут приходим мы, говорим show mac-address-table Там мы видим на какой розетке висит MAC адрес этого человека и приходим к этой розетке и находим этого человека и говорим ему "нехорошо заниматься ARP спуфингом". Вообще если вы статически прописали на компьютере MAC адрес маршрутизатора командой arp -s то заспуфить лично Вас нет никакой возможности, только если у вас не операционная система, которая не поддерживает статические записи (например Windows 2000 не поддерживает) |
|
|
|
15.10.2007 17:24:11
Хм...вроде Win 2000 поддерживает статические записи. Не поддерживают предыдущие операционки.
Несколько неясна фраза:
И потом: спуфинг реализованный посредством ложных arp запросов/ответов - это же вроде как не сетевой уровень. А значит, и эти пакеты не будут обновлять таблицу маршрутизатора. а port-security на свитче как раз не даст заполнить память новыми записями, т.к. они уже жёстко прописаны
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
|
|||
|
|
15.10.2007 18:12:01
1. Команда arp -s на ОС Windows 2000 не дает возможность зафиксировать соответсвие MAC-IP. Как только пройдет ложный ARP ответ, то система перепишет это "статическое" (казалось бы) соответсвие. Статичность записи стала поддерживаться только в Windows XP и Windows 2003.
2. Чтобы реализовать атаку ARP спуфинг, атакующий пошлет один или несколько ложных ARP ответов на жертву, в которых скажет что IP адрес маршрутизатора по умолчанию соотвествует MAC адресу атакующего. Так, например, работает программа Cain&Abel. В результате жертва переписывает у себя таблицу соответсвия IP и MAC адреса и шлет пакеты не маршрутизатору а атакующему. Так выполняется атака человек посередине в среде где есть свитчи. Поскольку port-security не дает возможности атакующему использовать ложный MAC адрес, то он будет использовать свой. Поскольку у жертвы прописан этот MAC адрес после атаки, то мы можем всегда посмотреть на какой розетке висит этот MAC адрес и найти атакующего. Мы говорим о свитчах. При чем тут маршрутизатор? |
|
|
|
16.10.2007 01:06:20
Теперь всё стало на свои места. Я просто подумал, что речь идёт о маршрутизаторе как об устройстве, защищающем от спуфигна (заместо свитча). А не как об объекте, которым хочет "прикинуться" атакующий.
Насчёт статических записей всё понятно. Но меня интересуют именно методы защиты средствами настраемого свитча. IP-MAC binding не будет резать подставные пакеты arp, которыми атакующий травит жертву? Я имею ввиду пакеты с реальным MAC но с IP шлюза. Кто-нибудь подтвердит или опровергнет мои догадки насчёт возможности перевода неуправляемого свитча в режим хаба путём зафлуживания его arp-пакетами?
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
|
|
|
|
18.10.2007 02:02:20
Shanker, издеваешься столько вопросов в одном посте
Вообще маршрутизатор мешает ARP спуфингу между разными сегментами, поскольку он меняет MAC адреса пакетов на адреса своих интерфейсов. Есть правда такая штука как arp-proxy, но это отдельная тема. В случае с маршрутизатором уже можно начать разговор об IP спуфинге. Кроме port-security ничего нет. Остальные технологии типа 802.1x или VLAN и PVLAN не от этого. Не совсем понял вопрос про то как связан IP-MAC binding и блокирование пакетов. Операционка может их только игнорировать. Действительно свитч работает в режиме хаба при - своем включении, поскольку еще не знает на каком интерфейсе висит какой MAC - переполнении таблицы MAC адресов. переполнение делается посылкой кучи запросов с поддельными MAC адресами. |
|
|
|
19.10.2007 00:26:50
Ну, тема для меня нова, поэтому решил не создавать кучи тем, а всё в одной теме спросить.
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
|
|||||||
|
|
19.10.2007 02:35:15
ЗЫ Надеюсь не сообщат админы секлаба моему прову, я ни каких зловредных действий не предпринимаю. хотя я даже предупреждал их о том что следует сеть настроить по полной программе... но они только мой порт забиндили... придурки да и только. |
|||
|
|
19.10.2007 16:50:20
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
|
|||||||
|
|
20.10.2007 00:58:05
|
|||||||
|
|
||||||