Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 След.
RSS
Конфликт IP адр. Как определить двойника?
 
В последнее время в нашей сети часто возникают конфликты IP-адресов. Как ни странно, они возникают в различных подсетях. Я не думаю, что кто-то своей машине тупо прописывает IP адрес. Скорей всего имеет место ARP атака.

Собственно, как вычислить вредителя? Обращаться к админу - дело глухое.

Натолкните хотябы на мысль, как его можно вычислить.
 
Если идет АРП спуфинг, то ничего не будет видно.

А вообще ARPом посмотри у такого ip какой MAC. Потом show mac address table... (естественно синтаксис не знаю :-))
 
Цитата
Setor пишет:
В последнее время в нашей сети часто возникают конфликты IP-адресов. Как ни странно, они возникают в различных подсетях. Я не думаю, что кто-то своей машине тупо прописывает IP адрес. Скорей всего имеет место ARP атака.
ARP атака никоим образом не влияет на IP адреса, что и следует их ее названия.
адреса выдаются DHCP?
свитчи умеют показывать mac-таблицу? Тогда можно определить, к какому порту подключен злоумышленник.
 
Цитата
Setor пишет:

Собственно, как вычислить вредителя? Обращаться к админу - дело глухое.

Админ обязан решать такие вопросы, если после устного и письменного заявления вопрос не решается, пишите служебку.
ip раздаются автоматически?
В логах сервера dhcp должна быть запись о конфликте ip адресов, там же вроде и mac адрес, в оснастке dhcp также можно узнать ip и mac. Если маршрутизатор позволяет, следует включить фильтрацию по mac адресу.
 
Цитата
Pili пишет:


Админ обязан решать такие вопросы, если после устного и письменного заявления вопрос не решается, пишите служебку.  
Ну и напишет он служебку а на кого?

Цитата
Pili пишет:
ip раздаются автоматически?
В логах сервера dhcp должна быть запись о конфликте ip адресов, там же вроде и mac адрес, в оснастке dhcp также можно узнать ip и mac.
DHCP не выдаст 2 раза один ip-adress. Да даже если МАС узнать, то на неуправляемых свитчах фиг разберешься. А вот попбовать разрешить имя машины может привезти к лучшему эффету чем знание мака на неуправляемых свитчах



 
Цитата
Pili пишет:
Если маршрутизатор позволяет, следует включить фильтрацию по mac адресу.

А причем здесь маршрутизатор   (причем маршрутизатор и MAC) наверное вы хотели сказать коммутатор? А как же санкционированное подключение пользователей с ноутбуками (гости). Просто так такие решения не внедряются. Вначале желательно политику написать. А на самом деле тогда уж сразу 802.1х вводить
 
Цитата
qwestor пишет:
 
Ну и напишет он служебку а на кого?
На админа нач. подразделения или руководителю.

Цитата
qwestor пишет:

DHCP не выдаст 2 раза один ip-adress.
Естественно не раздает, и не говорилось об этом. В оснастве dhcp или в логах можно узнать имя компа типа black045.intra.blabla.com ну и соответвенно анализировать и принимать решение.

Цитата
qwestor пишет:

Да даже если МАС узнать, то на неуправляемых свитчах фиг разберешься.
Выше не было уточнено что используется на шлюзе. По поводу мас... некоторые циски позволяют фильтровать по мас адресу.

Цитата
qwestor пишет:

Вначале желательно политику написать.

Верно, настроить правила роутинга, в случае же ручного ввода статического ip адреса принадлежащего другой подсети - фильтровать.
 
Цитата
Pili пишет:
 
Цитата
qwestor пишет:
 
Ну и напишет он служебку а на кого?
На админа нач. подразделения или руководителю.
И что это поменяет смогут найти сразу malicious?

Цитата
Pili пишет:

Цитата
qwestor пишет:

DHCP не выдаст 2 раза один ip-adress.
Естественно не раздает, и не говорилось об этом. В оснастве dhcp или в логах можно узнать имя компа типа black045.intra.blabla.com ну и соответвенно анализировать и принимать решение.

Если законный пользователь зарегистрировался, то ничего не второй не получит через DHCP такой же адрес, а соответсвенно в случае использования DHCP конфликта быть не может. Значит пользователь (НС) использует статик, а значит причем тут ДНСР?
Цитата
Pili пишет:

Цитата
qwestor пишет:

Да даже если МАС узнать, то на неуправляемых свитчах фиг разберешься.
Выше не было уточнено что используется на шлюзе. По поводу мас... некоторые циски позволяют фильтровать по мас адресу.
Я уже сказал про шоу мак адрес тейбл выше, но причем здесь маршрутизация? Это третий уровень, а МАК второй. Коммутаторы, концентраторы, но никак не марштуризаторы. Конечно если человек для внутренней сети использует более дорогой коммутирующий маршрутизатор, то и флаг ему в руки...
Цитата
Pili пишет:

Цитата
qwestor пишет:

Вначале желательно политику написать.

Верно, настроить правила роутинга, в случае же ручного ввода статического ip адреса принадлежащего другой подсети - фильтровать.
[/QUOTE]
Роутинг немного иное  
 
Цитата
qwestor пишет:

И что это поменяет смогут найти сразу malicious?
При чем здесь malicious? Setor - "Обращаться к админу - дело глухое."
Цитата
qwestor пишет:

Если законный пользователь зарегистрировался, то ничего не второй не получит через DHCP такой же адрес, а соответсвенно в случае использования DHCP конфликта быть не может. Значит пользователь (НС) использует статик, а значит причем тут ДНСР?
Если незаконный пользователь вбил стат. адрес, далее законный пользователь включил комп, то dhcp не выдаст(вообще от настроек зависит, системы, выдающей ip адреса) ip адрес, а в dhсp такая запись пометится как bad, соответсвенно, если настроены логи, то там будет запись о конфликте

Цитата
qwestor пишет:

Я уже сказал про шоу мак адрес тейбл выше, но причем здесь маршрутизация? Это третий уровень, а МАК второй. Коммутаторы, концентраторы, но никак не марштуризаторы. Конечно если человек для внутренней сети использует более дорогой коммутирующий маршрутизатор, то и флаг ему в руки...
Я уже написал выше -Setor не уточненил, что используется на шлюзе. Может их организация использует циску?

Цитата
qwestor пишет:

Роутинг немного иное  [;)]
именно фильтрацией на шлюзе между подсетями(роутинг) можно заблокировать ip  или мас адрес адрес "злоумышленника"
 
Цитата
Michael пишет:

ARP атака никоим образом не влияет на IP адреса, что и следует их ее названия.
Вообще говоря, влияет, если под ARP-атакой подразумевалась атака отравления ARP-кеша(ARP cache poison), в этом случае злоумышленник шлет жертве фиктивные ARP-ответы, которые заставляют ОС жертвы поместить соответствие между IP адресом из фиктивных ARP-пакетов и MAC-адресом нападающего в свой ARP кеш на некоторое время.
Windows(проверял на XP SP2) запросто можно отключить от интернета, если отравить ей ARP-кеш фиктивными ARP-ответами, в которых будет сообщаться, что IP адресу гейта на самом деле соответсвует MAC адрес сетевой платы этой же самой машины, если постоянно отравлять ARP-кеш, то у винды молча "отваливается интернет". Вот так выглядит эта атака:

C:\Documents and Settings\admin>ipconfig /all

Windows IP Configuration

        Host Name . . . . . . . . . . . . : zerg
        Primary Dns Suffix  . . . . . . . :
        Node Type . . . . . . . . . . . . : Unknown
        IP Routing Enabled. . . . . . . . : No
        WINS Proxy Enabled. . . . . . . . : No
        DNS Suffix Search List. . . . . . : local

Ethernet adapter Local Area Connection:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethe
rnet NIC #2
        Physical Address. . . . . . . . . : 00-80-48-25-4c-31
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 192.168.0.2
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 192.168.0.1
        DNS Servers . . . . . . . . . . . : 192.168.0.1

C:\Documents and Settings\admin>arp -a

Interface: 192.168.0.2 --- 0x20003
 Internet Address      Physical Address      Type
  192.168.0.1        & nbsp;  00-80-48-25-4c-31    &n bsp;dynamic

C:\Documents and Settings\admin> arp -d

C:\Documents and Settings\admin>ping -n 10000 www.yandex.ru

Pinging www.yandex.ru [213.180.204.11] with 32 bytes of data:

Reply from 213.180.204.11: bytes=32 time=196ms TTL=110
Reply from 213.180.204.11: bytes=32 time=199ms TTL=110
Reply from 213.180.204.11: bytes=32 time=196ms TTL=110
Reply from 213.180.204.11: bytes=32 time=194ms TTL=110
Reply from 213.180.204.11: bytes=32 time=198ms TTL=110
Reply from 213.180.204.11: bytes=32 time=195ms TTL=110
Reply from 213.180.204.11: bytes=32 time=195ms TTL=110
Reply from 213.180.204.11: bytes=32 time=194ms TTL=110
Reply from 213.180.204.11: bytes=32 time=193ms TTL=110
Reply from 213.180.204.11: bytes=32 time=196ms TTL=110
Reply from 213.180.204.11: bytes=32 time=195ms TTL=110
Reply from 213.180.204.11: bytes=32 time=192ms TTL=110
Reply from 213.180.204.11: bytes=32 time=191ms TTL=110
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
 
Цитата
r00t пишет:
Цитата
Michael пишет:

ARP атака никоим образом не влияет на IP адреса, что и следует их ее названия.
Вообще говоря, влияет, если под ARP-атакой подразумевалась атака отравления ARP-кеша(ARP cache poison), в этом случае злоумышленник шлет жертве фиктивные ARP-ответы, которые заставляют ОС жертвы поместить соответствие между IP адресом из фиктивных ARP-пакетов и MAC-адресом нападающего в свой ARP кеш на некоторое время.
Однако повторюсь, эта атака никоим образом не влияет на IP адреса и соответственно не может вызывать конфликта IP адресов. Она всего лишь, как ты и написал, подменяет mac-адрес для определенного IP адреса в arp таблице жертвы.
 
В нашем случае скорее всего ведётся атака (или какой-то сбой), т.к. на всех компьютерах, причём, в разных подсетях практически одновременно всплывают "Конфликт IP адресов", после чего начинаются проблемы:

Я не могу соединиться с другой машиной (из другой подсети). Как уже выше писалось, имеет место быть подмена mac адреса для определённого IP. В следующий раз сверю arp-таблицы. Я никогда не интересовался подобными вопросами, так что мои познания в таких делах не велики.

По поводу свитчей - я ничего не знаю. Сеть нашего провайдера. Клиентов около тысячи, у всех статические постоянные IP адреса 83.166.36.0 - 83.166.39.255 Попробую обратиться к знакомому из администрации.
 
Сегодня проверил arp-кеш после того, как пропал интернет. Действительно, mac-адрес gatewayа был подменён. Так же был подменён MAC адрес ещё одного компьютера в сети, с которым я часто общаюсь. Мне кажется, что какой-то компьютер в сети ловит широковещательные arp запросы и формирует свои ложные ответы.

Я прописал статически mac адреса шлюзу и нужному мне компьютеру. Теперь интернет не пропадает. Так же написал о проблеме провайдеру. Жду от них ответа.

Остаётся нерешённой вопрос о конфликте IP адресов. Что за атака используется в данном случае?
 
А никто не задумывался, что лучше поискать в инете прогу, которая оперделит двойника? У нас в сети для обнаружения использовали NetView, которая определяет текущий айпишник пользователя и для нее плагин где-то есть на мак адрес, есть также множество определителей сниферов, запускаешь , и тебе все как на ладохе - кто снифает и чем, названия не помню, гугль рулит :)
 
При "Конфликт IP адреса" Windows записывает в журнале MAC адрес двойника... В моём случае эти MACи постоянно разные, так что тут всё намного сложнее...

А администрация всё молчит и молчит...
 
почитай, может помогут рекомендации
http://www.citforum.ru/operating_systems/windows/mac_addr/
 
Цитата
Setor пишет:
Остаётся нерешённой вопрос о конфликте IP адресов. Что за атака используется в данном случае?

Конфликт адресов возникает когда виндовз получает арп запрос от машины с таким-же как у неё мак-адресом.
Судя по описываемой ситуации:
1. Кто-то узнал что такое каин и слушает трафик между тобой и твоим коллегой. Метод лечения - статическая арп таблица.
2. Кто-то пытается использовать твой айпи что-бы пользоваться интернетом "нахаляву". Но подменить свой мак-адрес у него пока ума не хватило, отсюда и конфиликты. Решение - забить и сообщить провайдеру.
Злоумышленик должен находится с тобой в одном сегменте, так что, вражина где-то рядом.
 
Цитата
Конфликт адресов возникает когда виндовз получает арп запрос от машины с таким-же как у неё мак-адресом.
Но в логах остаётся вовсе не мой MAC адрес. MAC всегда случайный. Надо поставить сниффер и посмотреть, что за пакеты вызывают конфликт. Кстати, у нас в сети используется какое-то шифрование данных в IP пакетах и сниффером ловить чужие пакеты бесполезно.

Связался со знакомым админом. Он сказал, что они не могут вычислить злоумышленников. И даже пытаться не будут... Единственный выход - глобальный переход на умные свитчи. Но думаю, им пофиг  

1) Есть шанс, но думаю, он невелик...
2) Исключено. Пока он не возьмёт мой MAC адрес, к интернету доступа он не получит.
 
тфу, с таким же как у неё айцпишником.
2. "взять" чужой мак  - как два пальца об асфальт.
 
Цитата
2. "взять" чужой мак - как два пальца об асфальт.

Да, я когда-то давно так уже делал... Правда, если хозяин появлялся в сети, у нас обоих начинались глюки с интернетом, рвались постоянные соединения, а конфликта IP у меня лично не возникало (тогда ещё я сидел на WinNT4+SP6a). Так что тут скорей всего имеет место быть просто западлостроение...
 
Цитата
offtopic пишет:
тфу, с таким же как у неё айцпишником.
угу. ты бы тот посто свой подправил. а то я сижу тут в непонятках
Страницы: 1 2 След.
Читают тему