на шлюзе поднял статичный арп, отключил отправку АРП запроса, оставил тока ответ - провел атаку с машины мака которой нет в табличке шлюза - атака успешная!!!проверил АРП табличку на шлюзе - тока статичные правила....
посмотрел  АРП таблицы на жертве - там вместо мака шлюза злой хакерский программ подставил свой мак, на самом шлюзе табличка не изменилась!!! Тое сть комп хакер встал между  жертвой и шлюзом не подделывая мак на шлюзе!? Пипец! и как с этим бороться? всю сеть переводить на статичный АРП? staticarp - себя не оправдал...

• Arp спуфинг,skeletor, 14:51 , 10-Фев-11
  • Arp спуфинг,vov12, 06:06 , 11-Фев-11
    • Arp спуфинг,Дядя_Федор, 11:56 , 11-Фев-11
      • Arp спуфинг,vov12, 06:15 , 17-Фев-11
        • Arp спуфинг,tux2002, 14:07 , 03-Мрт-11
          • Arp спуфинг,Aleks305, 13:02 , 07-Мрт-11
• Arp спуфинг,akagi, 02:26 , 10-Окт-11

Если эти 3 компа (шлюз, хакер, жертва) в приделах одной сети, то никак. Ибо они общаются без участия шлюза :)
Настрой на жертве static arp и попробуй "хакнуть". Ничего не выйдет у тебя.

> Если эти 3 компа (шлюз, хакер, жертва) в приделах одной сети, то
> никак. Ибо они общаются без участия шлюза :)
> Настрой на жертве static arp и попробуй "хакнуть". Ничего не выйдет у
> тебя.

да именно так и есть, все в одной сетке. Первый мой опыт был проведён без staticarpа я увидел, что подмена  маков была произведена в таблицах жертвы и шлюза, ну и подумал грешным делом, что после установки статичной таблички на шлюзе атакуищий обломиться, так-как на шлюзе подменить ему АРПу не удасться! Однако ettercap(хакерская програмуля) оказался хитрее!
Блин а что, других способов борьбы с ентим злом не найдено? Интересно - можно как-то организовать на ipfw проверку соответствия  мак - ip ?

> Блин а что, других способов борьбы с ентим злом не найдено? Интересно
> - можно как-то организовать на ipfw проверку соответствия  мак -
> ip ?

Посмотрите в сторону arpwatch.

>> Блин а что, других способов борьбы с ентим злом не найдено? Интересно
>> - можно как-то организовать на ipfw проверку соответствия  мак -
>> ip ?
>  Посмотрите в сторону arpwatch.

спасибо конечно, но arpwatch единственное что сделает это зафиксирует атаку, мол на прошлой неделе вас отимели, а мне этого как-то мало. Прописал на шлюзе статический арп(благо там unix), на виндовых машинах в сети прописал статически  адрес шлюза - вроде ettercap обломался. Но обломался только на отрезке  виндовая машина - шлюз, а вот как заставить виндовые машины загружать список с АРП записями я не нашел. в виндовом хелпе ARP /? нету ни слова про  -f и гугель молчит...

Если у шлюза статическая arp таблица, то до клиента соединение однозначно. Хакер получит только одно направление траффика.

> Если у шлюза статическая arp таблица, то до клиента соединение однозначно. Хакер
> получит только одно направление траффика.

В пределах одной сети может помочь Dynamic Arp Inspection,но эта функция есть только на комутаторах cisco, HP(это проверено). Свитч имеет собственную базу mac-ip с которой сравнивает все пакеты, поступающие через интерфейсы, тоже самое касается arp-запросов/ответов. То есть к вашей сети атакующий уже не сможет подключиться.

> на шлюзе поднял статичный арп, отключил отправку АРП запроса, оставил тока ответ
> - провел атаку с машины мака которой нет в табличке шлюза
> - атака успешная!!!проверил АРП табличку на шлюзе - тока статичные правила....
> посмотрел  АРП таблицы на жертве - там вместо мака шлюза злой
> хакерский программ подставил свой мак, на самом шлюзе табличка не изменилась!!!
> Тое сть комп хакер встал между  жертвой и шлюзом не
> подделывая мак на шлюзе!? Пипец! и как с этим бороться? всю
> сеть переводить на статичный АРП? staticarp - себя не оправдал...

Если на шлюзе стоит linux, то вам поможет ip-sentinel он помимо блокировки пирадов ещё умеет восcтанавливать кэш клиентов на правильные соотвествия ip-mac