|
ru.networks
- RU.NETWORKS ------------------------------------------------------------------
From : Ewgeny Zinchenko 2:5019/4.72 04 Aug 2004 22:54:58
To : Ivan Kuznetsov
Subject : интересная трабла с arp
--------------------------------------------------------------------------------
04 Aug 04 12:54, Ivan Kuznetsov -> Ewgeny Zinchenko:
>> Имеется домашняя сеточка.
>> Выделенный серв с фрибздой.
>>
>> Около часа ночи уже который раз наблюдается следующая картинка:
>> все в сети перестают видеть всех(по IP), т.е. впечатление, что
>> никого в сети и нет. Около 2-3 ночи работа
>> восстанавливается Поначалу в логах серва заметил весчь типа: Aug 4
>> 01:21:05 web /kernel: arp: 192.168.111.245 moved from
>> 00:00:25:38:00:00 to 00:c0:26:aa:47:fd on dc0 Aug 4 01:21:30 web
>> /kernel: arp: 192.168.111.245 moved from 00:c0:26:aa:47:fd to
>> 00:00:25:38:00:00 on dc0 (типа, происходит смена мака)
IK> Кто-то по ошибке или злому умыслу прописал в качестве своего
IK> ip-адреса адрес сервера. В результате в сети получается два хоста с
IK> одинаковым
IK> ip-адресом, ARP начинает сходить с ума.
IK> Один из этих двух MAC'ов - твоего сервера, второй - злодея. Если
IK> MAC злодей не изменил, то вычислить безобразника довольно просто. Если
IK> изменил, тогда... управляемые свичи в сетке есть?
Цэж домашняя, тут-то неуправляемые - самые дешёвые:)
(которым кстати очень рад, уже 9 месяцев из 4 свичей ни один порт не
выгорал(раньше была воздушка, на ней в любой дождь палились дурки), при этом
поддерживается приемлемая за такую цену(23уё) скорость перекачки(3-10Мб/сек)).
>> я так думаю, это типа виря, отослать всем пользователям левые
>> пакеты, главна суть которых - левые мак и ип адреса отправителя, как
>> следствие, все получающие данные пакеты(в т.ч. свичи) меняют свою
>> арп таблицу
IK> Может быть и такое (ARP spoof), смотри например
IK> http://cydem.pp.ru/pars.php?conf=1&lnk=arp-spoofing. Без управляемых
IK> свичей (с поддержкой RMON'а, выводом таблицы адресов и port security)
IK> вычислить злодея будет нелегко.
IK> Для Linux'а есть патч ядра, уменьшающий риск подобной атаки; про
IK> FreeBSD не знаю
Моё предположение оказалось верным, неуправлемый свич превратил в "управляемый"
путём вытыкания кабелей юзеров(благо, у меня - псевдоцентр сети),
расплата ждёт виновного....
PS
Интересная чтука, пока не напишешь письмо, сам не втыкаешь, что за фигни
творятся. Как тока написал, картинка становится более определенной...
Всего...
Ewgeny 04 Aug 04 22:49.
--- GoldED+/W32 1.1.4.5
* Origin: Век живи, век учись,а помpёшь дуpаком. (2:5019/4.72)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
интересная трабла с arp