ARP spoofing

SOLDIER

Guest

Это нравится:0 Да/0 Нет

02.11.2009 23:49:21

Для тех - кто на бронепоезде - vlan per user предполагает что? Думаем - думаем, ребята. Это вам типа домашнего задания. В качестве практики по сетевым технологиям. Для этого надо понять - ЧТО ТАКОЕ VLAN. Ну и для чего он нужен.

SOLDIER

Guest

#82

Это нравится:0 Да/0 Нет

02.11.2009 23:52:28

Про тэгирование и dot1.q - это потом. И чем отличается тэгированный фрейм от нэтегированного при прохождении через роутер, который поддерживает dot.1q.

А на подхаде ещё транкинг и Эззерчэннел. А вы думали - все так просто? Черта лысого.

SOLDIER Guest	#83 Это нравится:0 Да/0 Нет 02.11.2009 23:54:49 Вы думаете нам так просто деньги платят? Админам то есть. А вы нас - ломать (шучу, конечно, но тем не менее).

Set

Guest

#84

Это нравится:0 Да/0 Нет

03.11.2009 22:45:17

SOLDIER

насчет VLAN - (802.1q) это не моя идея была.
А что косается работу и структуры провайдера - очень хотел бы узнать. И это не для того, чтоб взломать, а для того, чтоб ЗНАТЬ !
если вам не сложно - можете рассказывать. я думаю очень многим будет интересно что, зачем и что там крутится >

SOLDIER

Guest

#85

Это нравится:0 Да/0 Нет

03.11.2009 23:07:27

Цитата
Set пишет: А что косается работу и структуры провайдера - очень хотел бы узнать. И это не для того, чтоб взломать, а для того, чтоб ЗНАТЬ !

Так едрена вошь - структура у каждого провайдера своя. И абсолютно разная. Все зависит от технологии, применяемой в сети - например, есть ли VPN (PPTP,PPPoE,L2TP), Ethernet или ADSL (как некоторые варианты последней мили), тип применяемого железа - циски, различные свичи (ДЛинки, ATI, Rubytech, EdgeCore etc.), сервера под Линуксом (ФриБСД, Вындоузом - бывает и такое). Нюансов очень много. У нас, например, сначала в качестве шейперов (устройств, которые ограничивают скорость для безлимитчиков) применялись 4 писюка с Линуксом - в какой-то момент поняли, что не справляются они с нагрузкой. Была куплена железка от CISCO стоимостью больше 50К уе - сейчас молотит, как часы. Ну вот где-то так.

^rage^

Guest

#86

Это нравится:0 Да/0 Нет

04.11.2009 02:18:38

Цитата
SOLDIER пишет: У нас, например, сначала в качестве шейперов (устройств, которые ограничивают скорость для безлимитчиков) применялись 4 писюка с Линуксом

а если не секрет - у вас там просто дерево классов на интерфейсе, смотрящем на юзеров было или же какая-либо вариация ppp где в if-up скрипте добавлялся класс на ppp интерфейс?

[mad]Mega

Guest

#87

Это нравится:0 Да/0 Нет

04.11.2009 10:24:46

Цитата

SOLDIER пишет:
Для тех - кто на бронепоезде - vlan per user предполагает что? Думаем - думаем, ребята. Это вам типа домашнего задания. В качестве практики по сетевым технологиям. Для этого надо понять - ЧТО ТАКОЕ VLAN. Ну и для чего он нужен.

Предполагает что на другой стороне будет стоять машина включена в точно такой влан. Предпологает то что у нас при наличии на девайсах более одного влана будет стоять есчё и транк. Предполагает что юзер из данного влана не увидит на девайсе другого юзвера (из другого влана), поскольку их сети изолированы (как 2 различных девайса).
З.Ы. Вланы была первой ассоциацией, и особой разницы между вланом на 2 компа и точка-точка впринципе не наблюдаю.

SOLDIER

Guest

#88

Это нравится:0 Да/0 Нет

04.11.2009 10:36:33

Цитата
^rage^ пишет: а если не секрет - у вас там просто дерево классов на интерфейсе, смотрящем на юзеров было или же какая-либо вариация ppp где в if-up скрипте добавлялся класс на ppp интерфейс?

Дерево классов. С фильтрацией по src/dst (чтобы не использовать ingress).

SOLDIER

Guest

#89

Это нравится:0 Да/0 Нет

04.11.2009 10:51:11

Цитата

[mad]Mega пишет:
Предполагает что на другой стороне будет стоять машина включена в точно такой влан. Предпологает то что у нас при наличии на девайсах более одного влана будет стоять есчё и транк. Предполагает что юзер из данного влана не увидит на девайсе другого юзвера (из другого влана), поскольку их сети изолированы (как 2 различных девайса).

З.Ы. Вланы была первой ассоциацией, и особой разницы между вланом на 2 компа и точка-точка впринципе не наблюдаю.

Все сказано верно, конечно. Но основная идея vlan per user - защита от попыток подмены IP_адреса со стороны пользователя. Ну, типа вот такой вот связки:

Код

sh ver

IOS (tm) s3223_rp Software (s3223_rp-ADVENTERPRISEK9_WAN-M), Version 12.2(18)SXF8, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by cisco Systems, Inc.
Compiled Fri 02-Mar-07 20:53 by tinhuang
Image text-base: 0x40101040, data-base: 0x42D30000

ROM: System Bootstrap, Version 12.2(17r)SX3, RELEASE SOFTWARE (fc1)
BOOTLDR: s3223_rp Software (s3223_rp-ADVENTERPRISEK9_WAN-M), Version 12.2(18)SXF8, RELEASE SOFTWARE (fc2)

cat6504 uptime is 12 weeks, 6 days, 54 minutes
Time since cat6504zv switched to active is 12 weeks, 6 days, 52 minutes
....
cisco WS-C6504-E (R7000) processor (revision 2.0) with 983040K/65536K bytes of memory.
Processor board ID FOX104914KK
R7000 CPU at 300Mhz, Implementation 0x27, Rev 3.3, 256KB L2, 1024KB L3 Cache
Last reset from power-on
SuperLAT software (copyright 1990 by Meridian Technology Corp).
X.25 software, Version 3.0.0.
Bridging software.
TN3270 Emulation software.
1392 Virtual Ethernet/IEEE 802.3 interfaces
9 Gigabit Ethernet/IEEE 802.3 interfaces


sh int vlan 3376
Vlan3376 is up, line protocol is up
  Hardware is EtherSVI, address is 0018.741d.c8c0 (bia 0018.741d.c8c0)
  Interface is unnumbered. Using address of Loopback0 (10.6.1.1)
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  ARP type: ARPA, ARP Timeout 04:00:00
....дальше поскипано.....

sh ip route |i Vlan3376
S       192.168.1.176/32 is directly connected, Vlan3376

IP я изменил на интранетовый. Во избежание.

Усекаешь смысл? На L2 мы получаем трафик, помеченный VID 3376. И туда роутится только единственный IP (маска /32) - в принципе - можно и более "широкую" сетку прибить. Если на L3 юзверь изменит IP - он попросту ничего не получит. Вот - упрощенно это выглядит так.

[mad]Mega

Guest

#90

Это нравится:0 Да/0 Нет

04.11.2009 12:04:07

сенкс за опыт, никогда не использовал влан в таком виде. для этих целей(безопасности) ставил софт из разряда opennms, arpwatch и тестировал 802.1x. Да и в целом никогда не создавал сети с нуля - работал на уже существующих проектах.

Изменено: [mad]Mega - 04.11.2009 12:08:27

SOLDIER

Guest

#91

Это нравится:0 Да/0 Нет

04.11.2009 13:46:30

Я тоже не создавал с нуля - не переживай.

Все было сделано до меня. Да и цисками у нас другой человек занимается - намного более опытный, чем я. Лично я себя оцениваю, как довольно средненького цискаря. Даже, скорее, с уровнем ниже среднего.

Set Guest	#92 Это нравится:0 Да/0 Нет 04.11.2009 22:24:43 А у провайдера (который использует PPPoE вид подключение) какие сервера (т.е. роли) бывает ? вопрос очень примитивный, но мне очень интересный ))

SOLDIER Guest	#93 Это нравится:0 Да/0 Нет 05.11.2009 00:13:45 Вопрос не примитивный. Он, откровенно говоря, тупой. Приведу аналогию - "а водители легковых машин на какой машине (самолете) ездят?" Вас не затруднит ответить на этот вопрос?

[mad]Mega Guest	#94 Это нравится:0 Да/0 Нет 05.11.2009 08:46:36 обычно они имеют одноимённые название ("PPPoE") или более простое "PPP".

Set

Guest

#95

Это нравится:0 Да/0 Нет

05.11.2009 22:40:51

SOLDIER

вы не поянли. Я не говорю LINUX, WINDOWS, или железную часть, а имею ввиду какие роли крутится? (DHCP, DNS, AD, WEB и т.п.)
понятно так?
если у каждого свое, то скажите по секрету какие у вас например.

^rage^

Guest

#96

Это нравится:0 Да/0 Нет

06.11.2009 00:46:36

Цитата
Set пишет: вы не поянли. Я не говорю LINUX, WINDOWS, или железную часть, а имею ввиду какие роли крутится? (DHCP, DNS, AD, WEB и т.п.) понятно так?

зачем провайдеру в его инфраструктуре AD?

SOLDIER Guest	#97 Это нравится:0 Да/0 Нет 06.11.2009 08:46:26 Если Вы не говорите о WINDOWS - не стоит упоминать термин "роли". Это понятие - от "лукавого" (читай - Microsoft). В НОРМАЛЬНЫХ операционных системах принято называть это службами (сервисами).

SOLDIER

Guest

#98

Это нравится:0 Да/0 Нет

06.11.2009 08:47:38

Цитата
^rage^ пишет: зачем провайдеру в его инфраструктуре AD?

Известно зачем. Чтобы положить огромную провайдерскую сетку. Если с этим не справится огромная армия любителей торрентов.

[mad]Mega Guest	#99 Это нравится:0 Да/0 Нет 06.11.2009 09:11:28 на знакомом прове (2к человек) окрамя радиуса, местной бугалтерии(БД) и сайта( прочих пользовательских серверов) почти нифига и нету.

SOLDIER Guest	#100 Это нравится:0 Да/0 Нет 06.11.2009 11:35:50 Угу. Биллинга тоже нет, конечно же? Прям какой-то коммунистический провайдер. Может они там ещё и приплачивают абонентам за выход в Интернет? ДНС, почты, Вэб-сайта тоже нет? Кризис, видать - экономят. Про остальные вкусности (шейпинг при наличии безлимитчиков, НАТ - если выдаются серые ИП и т.д. и т.п.) - я скромно умолчу. FYI - Радиус обычно к ЧЕМУ-ТО прикручивают. Это всего лишь навсего протокол аутентификации (не более того). Возможность подсчета при помощи его трафика тоже довольно неточна, хотя и возможна. Обычно трафик предпочитают считать, получая данные по НетФлоу (либо с циско, которая может его экспортировать на коллектор (чтобы считать), либо, как вариант при помощи некоего преобразователя данных в формат НетФлоу - например, ipcad, ndsad, ng-netflow etc). ПыСы: Или всю эту совокупность Вы и имели в виду под словом "сайт"? Изменено: SOLDIER - 06.11.2009 11:38:21

Читают тему

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?