Цитата |
---|
zorro пишет: На XP arp -s ip_host mac_host работает! Я проверил. |
26.08.2003 14:51:31
|
|||
|
|
30.08.2003 18:31:38
еще бы SP для винды выпустили для поддержки -s
|
|
|
|
06.09.2003 20:19:51
w2k3 кста тоже статику динамикой не перезаписывает.
|
|
|
|
10.09.2003 05:04:11
перечитал
много думал |
|
|
|
10.09.2003 05:04:42
где можно скачать этот славный каин?
|
|
|
|
10.09.2003 09:28:07
А вообще-то, на секлабе есть ссылка. |
|||
|
|
15.09.2003 14:45:38
Скажите как послать ARP ответ програмно? Пробовал через wpcap - что-то не получилось
|
|
|
|
28.11.2003 13:29:33
Кажется нашел сам!
|
|
|
|
29.11.2003 15:51:38
ARP poison позволяет злоумышленнику сделать себя маршрутизатором по умолчанию. Я предлагаю назначить порт на котором стоит маршрутизатор по умолчанию и сделать запись permanent в mac-address-table в Catalist таким образом чтобы никто не мог сказать на другом порту, что он теперь маршрутизатор по умолчанию. И тогда пакеты к нему с вашими паролями идти не будут. на Catalist 1900 это делается командой
mac-address-table permanent 1122.3344.5566 ethernet 0/1 если сервер с мак адресом 1122.3344.5566 висит на порте 0/1 А прописывать юзерам порты статически неудобно конечно, поскольку они чаще меняются, чем адрес сервера. Есть еще возможность на каждом порте ограничить число источников по числу MAC адресов, но тоже надо пробовать. команда на интерфейсе port secure max-mac-count 1 Как считаете? Я пожалуй в понедельник попробую PS: Точно знаю что WinXP, Win2003 и Solaris статическую запись правильно понимают. ЗЫ: Как правильно? На порте или на порту? Извините за offtopic. Я потом сам исправлю |
|
|
|
01.12.2003 09:27:53
ksiva - то что ты предлагаешь - полная фуфнь, поскольку arp-spoff работает на соотвествии mac и IP адреса. Адресация на канальном уровне остается той же самой и привязка mac к портам тебя не спасет.
w2k3 и xp конечно понимают статическую запись, только прописывать статику на всех ws в большой локалке довольно печально. Самый нормальный вариант вести таблицу соответсвия mac и ip, мониторить спуфинг arp watch и в случае возникновения "левого" соотвествия мака и ип посылать шутдавн на порт (хотя тут появляется потенциальная возможность дос, если нет привязки mac на портах). mac на рабочих станциях можно устанавливать во время настройки (тоже удобно для юзанья с дхцп). |
|
|
|
01.12.2003 11:51:43
да точно.
1. Мой метод сработает только если чувак попытается подменить свой МАС адрес, и тогда у него не получится. а если он именно к своему МАС адресу привяжет IP сервера или маршрутизатора по умолчанию то мой метод не пройдет, но зато он раскроет себя (!) и можно будет подходить и давать по башке. 2. Если ты будешь мониторить все смены соответсвиий и увидишь левый MAC адрес, то кому ты пойдешь порт шатдаунить интересно? По всем каталистам в здании будешь лазить? 3. Мало того ты можешь и не увидеть атаку своим мощным ARP Watcherом, атака то направленная на определенный хост! Неужели все пакеты к тебе будут идти? |
|
|
|
01.12.2003 12:18:13
2. а зачем лазить - табличку нада вести с соотвествием портов/машин.
3. знаешь кто такие зеркальные порты? |
|
|
|
01.12.2003 12:24:56
2. как ты будешь вести табличку, если он МАС адрес новый придумал и висит неизвестно где в броадкаст домене?
3. термин зеркальный порт не знаю. SPAN порт знаю. |
|
|
|
01.12.2003 12:49:38
>Чтобы до конца разобраться в этом вопросе я бы хотел взглянуть на исходник программы, которая отравляет arp-кэш жертвы. Если кто-нибудь видел таковой, дайте ссылку.
Вот хороший исходник |
|
|
|
01.12.2003 12:56:06
2. ну от этого нас спасет привязка статики mac по портам. я уже говорил, что без нее возможен dos.
кста - не так уж сложно её реализовать и автоматизировать. незаюзаные порты должны быть disable. Кроме того, что мешает при обнаружении спуфинга сливать таблицы коммутации с свитчей их парзить и давить гатский порт? 3. это сиснонимы. есть ещё один - monitored port. кроме того - интереса подслушифать трафик между 2мя клиентскими машинками мало. соответсвенно - обычно мониторим серверочки. PS - атака (если это не dos, а имено перехват трафика) должна быть направлена на 2 хоста. |
|
|
|
03.12.2003 17:26:17
25.07.2003] UST.MACwatch - Программа использует метод пассивного слежения за связками МАС&IP адресов используя локальную ARP таблицу. Скачать. |
||||
|
|
|||