URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 19688
[ Назад ]

Исходное сообщение
"HELP ! Подмена arp записей на FreeBSD рутере"
Отправлено wwwuser , 14-Авг-02 14:06

Дело в следующем, объявился в сетке гад, который то ли по умыслу, то по незнанию гадит.
Сначала вчера в логах рутера FreeBSD 4.4 (две подсети с маской 255.255.255.224 и выход на Циску) появилось сообщение:
arp: 00:50:10:f0:44:4f is using my IP address 192.168.1.94!
(192.168.1.94 один из интерфейсов рутера - шлюз для подсети номер 192.168.1.64) к концу дня перестала работать вся сетка, но никаких записей в логах больше не было, вышел из положения перезагрузкой серверов и рутера и хабов.
Сегодня с утра еще хуже, по логам все перестало ходить поздно вечером, + Циска тоже в задумчивости, серверы в 192.168.1.0 не видят друг друга. Вычислил по записи владельца 00:50:10:f0:44:4f соответствует 192.168.1.74 - дядя поставил себе сервер Win2000 и не хочет от него отказываться.
Вопрос: что есть из программных средств для защиты в подобных ситуациях
(net.link.ether.inet.max_age=1200 не спас), почему FreeBSD так легко позволила подменить запись в arp-таблице для одного из своих интерфейсов, да и остальные сервера тоже ?

Содержание

RE: HELP ! Подмена arp записей на FreeBSD рутере,Bart Simpson, 14:21 , 14-Авг-02
RE: HELP ! Подмена arp записей на FreeBSD рутере,Sobol, 14:28 , 14-Авг-02
- RE: HELP ! Подмена arp записей на FreeBSD рутере,Andrey, 18:57 , 14-Авг-02
  - RE: HELP ! Подмена arp записей на FreeBSD рутере,wwwuser, 19:16 , 14-Авг-02

Сообщения в этом обсуждении

"RE: HELP ! Подмена arp записей на FreeBSD рутере"
Отправлено Bart Simpson , 14-Авг-02 14:21

>Дело в следующем, объявился в сетке гад, который то ли по умыслу,
>то по незнанию гадит.
>Сначала вчера в логах рутера FreeBSD 4.4 (две подсети с маской 255.255.255.224
>и выход на Циску) появилось сообщение:
>
>arp: 00:50:10:f0:44:4f is using my IP address 192.168.1.94!
>
>(192.168.1.94 один из интерфейсов рутера - шлюз для подсети номер 192.168.1.64) к
>концу дня перестала работать вся сетка, но никаких записей в логах
>больше не было, вышел из положения перезагрузкой серверов и рутера и
>хабов.
>Сегодня с утра еще хуже, по логам все перестало ходить поздно вечером,
>+ Циска тоже в задумчивости, серверы в 192.168.1.0 не видят друг
>друга. Вычислил по записи владельца 00:50:10:f0:44:4f соответствует 192.168.1.74 - дядя поставил
>себе Win2000 и не хочет от него отказываться.
>
>Вопрос: что есть из программных средств для защиты в подобных ситуациях
>(net.link.ether.inet.max_age=1200 не спас), почему FreeBSD так легко позволила подменить запись в arp-таблице
>для одного из своих интерфейсов, да и остальные сервера тоже ?
>

У меня фря в инет смотрит, там устройства радиодуступа (типа хаба), которые пров по телнету редактирует, еще он офисы людям соединяет, и у всех перечисленных адреса как у меня в сети, арп орет с утра до вечера, НО ничего не падает, пакету туда не кидаются, может таблица маршрутизации неправильно у тебя настроена.

"RE: HELP ! Подмена arp записей на FreeBSD рутере"
Отправлено Sobol , 14-Авг-02 14:28

>Дело в следующем, объявился в сетке гад, который то ли по умыслу,
>то по незнанию гадит.
А ты в этой сетке кем будешь? Админом? или так, мимо проходил? Если Админ, то (я правда не вижу причины, почему дядя должен отказываться от win2k...) Вот и обьясни ему всю глубочайшую важность централизованного управления IP адресами.
И ни чего тебе не поможет... До тех пор, пока юзвери будут иметь права на то, чтобы лазить в настройках - порядка не будет. (Забери у него права локального админа и выдай права пользователя. Потом запаришься бегать к нему каждый раз, когда он какие-нить новые дрова ставить надумает, etc.) А вообще, можно настроить DHCP. Избавит от необходимости настраивать компы по отдельности. Можно даже статическую таблицу DHCP накать. Вообще красота.

"RE: HELP ! Подмена arp записей на FreeBSD рутере"
Отправлено Andrey , 14-Авг-02 18:57

>>Дело в следующем, объявился в сетке гад, который то ли по умыслу,
>>то по незнанию гадит.
>
>А ты в этой сетке кем будешь? Админом? или так, мимо проходил?
>Если Админ, то (я правда не вижу причины, почему дядя должен
>отказываться от win2k...) Вот и обьясни ему всю глубочайшую важность централизованного
>управления IP адресами.
>
>И ни чего тебе не поможет... До тех пор, пока юзвери будут
>иметь права на то, чтобы лазить в настройках - порядка не
>будет. (Забери у него права локального админа и выдай права пользователя.
>Потом запаришься бегать к нему каждый раз, когда он какие-нить новые
>дрова ставить надумает, etc.) А вообще, можно настроить DHCP. Избавит от
>необходимости настраивать компы по отдельности. Можно даже статическую таблицу DHCP накать.
>Вообще красота.
А отрубить этого злобного "дядю" слабо? Если он всю сеть кладет, то нефиг ему делать в этой сети. Пусть берет диалап и его юзает.
Если с "дядей" никаких документов не подписывалось, то отключить легко. Если документы были, но в них не оговорено, что "дядя" может ставить только определенный диаппазон IP, тогда только пересмотр договора с выключением "дяди" до полного пересмотра договора.

"RE: HELP ! Подмена arp записей на FreeBSD рутере"
Отправлено wwwuser , 14-Авг-02 19:16

>
>А отрубить этого злобного "дядю" слабо? Если он всю сеть кладет, то
>нефиг ему делать в этой сети. Пусть берет диалап и его
>юзает.
>Если с "дядей" никаких документов не подписывалось, то отключить легко. Если документы
>были, но в них не оговорено, что "дядя" может ставить только
>определенный диаппазон IP, тогда только пересмотр договора с выключением "дяди" до
>полного пересмотра договора.
Так и пришлось отрубить, но где гарантия что завтра не заведется еще один такой же "конструктор" :(
Нашел ссылку на Ettercap(ARP BASED SNIFFING/logger for switched LAN) http://ettercap.sourceforge.net/index.php?s=home , может кто юзает, поделитесь впечатлениями.