|
ru.networks
- RU.NETWORKS ------------------------------------------------------------------
From : Ivan Kuznetsov 2:5020/400 04 Aug 2004 12:54:48
To : Ewgeny Zinchenko
Subject : Re: интересная трабла с arp
--------------------------------------------------------------------------------
Привет!
Ewgeny Zinchenko wrote:
> Имеется домашняя сеточка.
> Выделенный серв с фрибздой.
>
> Около часа ночи уже который раз наблюдается следующая картинка:
> все в сети перестают видеть всех(по IP), т.е. впечатление, что никого в сети и
> нет.
> Около 2-3 ночи работа восстанавливается
>
> Поначалу в логах серва заметил весчь типа:
> Aug 4 01:21:05 web /kernel: arp: 192.168.111.245 moved from 00:00:25:38:00:00
> to 00:c0:26:aa:47:fd on dc0
> Aug 4 01:21:30 web /kernel: arp: 192.168.111.245 moved from 00:c0:26:aa:47:fd
> to 00:00:25:38:00:00 on dc0
> (типа, происходит смена мака)
Кто-то по ошибке или злому умыслу прописал в качестве своего ip-адреса
адрес сервера. В результате в сети получается два хоста с одинаковым
ip-адресом, ARP начинает сходить с ума.
Один из этих двух MAC'ов - твоего сервера, второй - злодея. Если MAC
злодей не изменил, то вычислить безобразника довольно просто. Если
изменил, тогда... управляемые свичи в сетке есть?
> я так думаю, это типа виря, отослать всем пользователям левые пакеты,
> главна суть которых - левые мак и ип адреса отправителя, как следствие,
> все получающие данные пакеты(в т.ч. свичи) меняют свою арп таблицу
Может быть и такое (ARP spoof), смотри например
http://cydem.pp.ru/pars.php?conf=1&lnk=arp-spoofing. Без управляемых
свичей (с поддержкой RMON'а, выводом таблицы адресов и port security)
вычислить злодея будет нелегко.
Для Linux'а есть патч ядра, уменьшающий риск подобной атаки; про
FreeBSD не знаю
--
С уважением, И.А.Кузнецов
--- ifmail v.2.15dev5.3
* Origin: SOLVO ltd (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
