ARP спуфинг

ARP спуфинг, откуда?

Rin

Guest

Это нравится:0 Да/0 Нет

12.01.2010 11:36:58

Всем привет! Меня уже 2 раза отключала корбина, говорили что от меня идет ARP спуфинг. Хотя ни чего такого я не делал и вообще в сетях я не спец.
Дома следующая схема. Роутер D-link DIR-615 раздает инет, к нему подключен компьютер по витой паре, а ноутбук и айфон по WiFi (WPA2).
Вопрос вот в чем возможен ли ARP спуфинг через WiFi?
Возможен ли ARP спуфинг из за глючной прошивки роутера (на самом деле очень глючный часто перезагружается).
Из за чего еще это может быть?

SOLDIER

Guest

Это нравится:0 Да/0 Нет

12.01.2010 14:40:15

Вы уверенны, что Вы правильно поняли то, что Вам сказала ТП провайдера? Может не ARP-спуфинг, а ARP-флуд? Вот это возможно запросто в случае неверных сетевых настроек в таких вариантах.
1. Не указан шлюз.
2. Неверно указана сетевая маска (например, вместо 255.255.255.0 - 255.255.0.0 (и т.д.)) - в этом случае при каждом обращении в сеть будет формироваться куча ARP-запросов, которые будут загаживать ARP-таблицу сетевого оборудования провайдера.

Rin

Guest

Это нравится:0 Да/0 Нет

12.01.2010 17:49:40

От них слышал слово ARP-спуфинг) возможно ТП ошиблась)

Цитата
1. Не указан шлюз.

хм... сегодня приду проверю. Вроде был указан... может поменялся...

Какие еще причины могут быть?

[mad]Mega

Guest

Это нравится:0 Да/0 Нет

14.01.2010 09:20:43

1. "Вопрос вот в чем возможен ли ARP спуфинг через WiFi?" - ДА
2. "Возможен ли ARP спуфинг из за глючной прошивки роутера" - арп спуфинг как таковой нет, но проблем может натворить многое.
имхо:
1. было замечено что некоторые игрушки при игре по сетки включают сетевую в прослушивающий режим, при котором вы ловите все пакеты, даже те которые вам явно не к чему (если на корбине это сочли за арпспуфинг, то я просто улыбаюсь с них). З.Ы. это не арпспуфинг.
2. ни один глючный софт/девайс/конфиг не сможет по случайности сделать арп-спуфинг.
3. зато многие глючные софт/девайсы/конфигисмогут устроить красивый хаус в сетке.
4. з.ы. "1. Не указан шлюз. и 2. Неверно указана сетевая маска (например, вместо 255.255.255.0 - 255.255.0.0 (и т.д.)) - в этом случае при каждом обращении в сеть будет формироваться куча ARP-запросов, которые будут загаживать ARP-таблицу сетевого оборудования провайдера." могут стать причиной "на самом деле очень глючный часто перезагружается"

vladimir galtsev

Guest

Это нравится:0 Да/0 Нет

14.01.2010 17:44:39

Ну вы хотя бы на википедию зайдите.
http://ru.wikipedia.org/wiki/ARP-spoofing
если вы сидите через свой роутер, то ваши устройства локальной сети никоим образом не могут совершить arp-spoofing, так как ARP-запросы совершаются только в одном сегменте сети. А для того чтобы роутер начал совершать подмену MAC-адреса в сети провайдера ему нужно хирургическое вмешательство в виде модификации прошивки. Ну или у вас на роутере сдох сетевой интерфейс, который смотрит в провайдера =)

Изменено: vladimir galtsev - 14.01.2010 17:45:17

Shanker

мастер

Сообщений: 1446 Баллов: 1464 Регистрация: 28.09.2003

всего лишь человек...

Это нравится:0 Да/0 Нет

20.01.2010 23:37:19

Цитата

SOLDIER пишет:
1. Не указан шлюз.
2. Неверно указана сетевая маска (например, вместо 255.255.255.0 - 255.255.0.0 (и т.д.)) - в этом случае при каждом обращении в сеть будет формироваться куча ARP-запросов, которые будут загаживать ARP-таблицу сетевого оборудования провайдера.

А можно поподробнее: почему в этих случаях будет куча ARP-запросов?

Rin
Скажите провайдеру в следующий раз что сидите через роутер и посмотрите что они ответят

"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."

SOLDIER

Guest

Это нравится:0 Да/0 Нет

21.01.2010 07:52:08

Цитата
Shanker пишет: А можно поподробнее: почему в этих случаях будет куча ARP-запросов?

Можно. Потому что в случае неверного указания маски сети (скажем, /8 вместо правильной /24) машинка будет считать очень многие IP принадлежащими локальной сети и будет рассылать бродкастовые ARP-запросы в случае обращения к любому из IP, попадаюшего в этот диапазон (чтобы определить МАК-адрес). Вместо того, чтобы напрямую передать пакет к этому ИП сразу на шлюз.

Shanker

мастер

Сообщений: 1446 Баллов: 1464 Регистрация: 28.09.2003

всего лишь человек...

Это нравится:0 Да/0 Нет

21.01.2010 08:56:26

Блин... как же я сам до этого не догадался! Спасибо что просветил

А в случае неверно указанного шлюза что будет происходить?

"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."

Interloper Guest	#9 Это нравится:0 Да/0 Нет 21.01.2010 09:36:52 Не забывайте маленькую вероятность того что мак его д-линка случайно совпал с кем нибудь.

SOLDIER

Guest

#10

Это нравится:0 Да/0 Нет

21.01.2010 10:43:46

Цитата
Interloper пишет: Не забывайте маленькую вероятность того что мак его д-линка случайно совпал с кем нибудь.

Ага. Совершенно случайно! И что примечательно - САМ!

Не верю. Больше поверю в глюки прошивки.

Цитата
Shanker пишет: А в случае неверно указанного шлюза что будет происходить?

It depend.

Зависит от реализации стека. Линухи просто пошлют - типа "нет дефолтного маршрута" (куда слать все, что не попадает в локальный сетевой сегмент), Винда (как минимум XP) тупо схавает сетевые настройки без шлюза и в сегменте будет наблюдаться ситуация, аналогичная вышеизлоизложенной - то есть ARP-флуд. Мы просто тут в сети проводили эксперименты - вот на их основе и сложилось вот такое мнение.

Interloper

Guest

#11

Это нравится:0 Да/0 Нет

21.01.2010 11:23:15

Цитата
SOLDIER пишет: Ага. Совершенно случайно! И что примечательно - САМ!

да запросто уже не один раз 2 noname карточки из разных поставок встречались в одном сегменте или вбили ручками мак типа ff:ff....

SOLDIER

Guest

#12

Это нравится:0 Да/0 Нет

21.01.2010 11:43:35

Цитата
Interloper пишет: или вбили ручками мак типа ff:ff....

Вот этому верю более охотно.

Shanker

мастер

Сообщений: 1446 Баллов: 1464 Регистрация: 28.09.2003

всего лишь человек...

#13

Это нравится:0 Да/0 Нет

21.01.2010 22:52:30

Цитата
SOLDIER пишет: Винда (как минимум XP) тупо схавает сетевые настройки без шлюза и в сегменте будет наблюдаться ситуация, аналогичная вышеизлоизложенной - то есть ARP-флуд.

А на какие адреса будет слаться? Есть какая-то закономерность?

Цитата
Interloper пишет: или вбили ручками мак типа ff:ff....

Да, но только не броадкаст

"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."

SOLDIER

Guest

#14

Это нравится:0 Да/0 Нет

21.01.2010 23:01:53

Цитата
Shanker пишет: А на какие адреса будет слаться? Есть какая-то закономерность?

На ВСЕ адреса, к которым будут обращаться локальные приложения. Машина именно ВСЕ адреса считает находяшимися в локальном сетевом сегменте. И для разрешения их шлет ARP-запросы. Прикинь - винда, к примеру обновляется и шлет ARP-запрос в локальную сеть на резолв ИП, который ей выдал ДНС-сервер.

SOLDIER Guest	#15 Это нравится:0 Да/0 Нет 21.01.2010 23:13:20 У меня там выше, правда, неувязочка. Если ДНС-сервер(а) не в локалке - проблемы и с разрешением имен тоже могут возникнуть. Просто АРП-флуда станет больше.

Shanker

мастер

Сообщений: 1446 Баллов: 1464 Регистрация: 28.09.2003

всего лишь человек...

#16

Это нравится:0 Да/0 Нет

22.01.2010 10:45:10

А если прописан шлюз - то АРП-запросы будут отправляться только в локальный сегмент (в соответствии с маской сети), а к адресам других сетей будет обращаться через шлюз, посылая пакеты на его МАС, я правильно понял?

"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."

SOLDIER

Guest

#17

Это нравится:0 Да/0 Нет

22.01.2010 11:02:34

Цитата

Shanker пишет:
А если прописан шлюз - то АРП-запросы будут отправляться только в локальный сегмент (в соответствии с маской сети), а к адресам других сетей будет обращаться через шлюз, посылая пакеты на его МАС, я правильно понял?

Конечно.

Это ж все описано в различных теоретических материалах по TCP/IP.

Читают тему

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?