URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4793
[ Назад ]

Исходное сообщение
"Arp спуфинг"

Отправлено vov12 , 10-Фев-11 13:22 
на шлюзе поднял статичный арп, отключил отправку АРП запроса, оставил тока ответ - провел атаку с машины мака которой нет в табличке шлюза - атака успешная!!!проверил АРП табличку на шлюзе - тока статичные правила....
посмотрел  АРП таблицы на жертве - там вместо мака шлюза злой хакерский программ подставил свой мак, на самом шлюзе табличка не изменилась!!! Тое сть комп хакер встал между  жертвой и шлюзом не подделывая мак на шлюзе!? Пипец! и как с этим бороться? всю сеть переводить на статичный АРП? staticarp - себя не оправдал...

Содержание

Сообщения в этом обсуждении
"Arp спуфинг"
Отправлено skeletor , 10-Фев-11 14:51 
Если эти 3 компа (шлюз, хакер, жертва) в приделах одной сети, то никак. Ибо они общаются без участия шлюза :)
Настрой на жертве static arp и попробуй "хакнуть". Ничего не выйдет у тебя.

"Arp спуфинг"
Отправлено vov12 , 11-Фев-11 06:06 
> Если эти 3 компа (шлюз, хакер, жертва) в приделах одной сети, то
> никак. Ибо они общаются без участия шлюза :)
> Настрой на жертве static arp и попробуй "хакнуть". Ничего не выйдет у
> тебя.

да именно так и есть, все в одной сетке. Первый мой опыт был проведён без staticarpа я увидел, что подмена  маков была произведена в таблицах жертвы и шлюза, ну и подумал грешным делом, что после установки статичной таблички на шлюзе атакуищий обломиться, так-как на шлюзе подменить ему АРПу не удасться! Однако ettercap(хакерская програмуля) оказался хитрее!
Блин а что, других способов борьбы с ентим злом не найдено? Интересно - можно как-то организовать на ipfw проверку соответствия  мак - ip ?


"Arp спуфинг"
Отправлено Дядя_Федор , 11-Фев-11 11:56 
> Блин а что, других способов борьбы с ентим злом не найдено? Интересно
> - можно как-то организовать на ipfw проверку соответствия  мак -
> ip ?

Посмотрите в сторону arpwatch.


"Arp спуфинг"
Отправлено vov12 , 17-Фев-11 06:15 
>> Блин а что, других способов борьбы с ентим злом не найдено? Интересно
>> - можно как-то организовать на ipfw проверку соответствия  мак -
>> ip ?
>  Посмотрите в сторону arpwatch.

спасибо конечно, но arpwatch единственное что сделает это зафиксирует атаку, мол на прошлой неделе вас отимели, а мне этого как-то мало. Прописал на шлюзе статический арп(благо там unix), на виндовых машинах в сети прописал статически  адрес шлюза - вроде ettercap обломался. Но обломался только на отрезке  виндовая машина - шлюз, а вот как заставить виндовые машины загружать список с АРП записями я не нашел. в виндовом хелпе ARP /? нету ни слова про  -f и гугель молчит...



"Arp спуфинг"
Отправлено tux2002 , 03-Мрт-11 14:07 
Если у шлюза статическая arp таблица, то до клиента соединение однозначно. Хакер получит только одно направление траффика.



"Arp спуфинг"
Отправлено Aleks305 , 07-Мрт-11 13:02 
> Если у шлюза статическая arp таблица, то до клиента соединение однозначно. Хакер
> получит только одно направление траффика.

В пределах одной сети может помочь Dynamic Arp Inspection,но эта функция есть только на комутаторах cisco, HP(это проверено). Свитч имеет собственную базу mac-ip с которой сравнивает все пакеты, поступающие через интерфейсы, тоже самое касается arp-запросов/ответов. То есть к вашей сети атакующий уже не сможет подключиться.


"Arp спуфинг"
Отправлено akagi , 10-Окт-11 02:26 
> на шлюзе поднял статичный арп, отключил отправку АРП запроса, оставил тока ответ
> - провел атаку с машины мака которой нет в табличке шлюза
> - атака успешная!!!проверил АРП табличку на шлюзе - тока статичные правила....
> посмотрел  АРП таблицы на жертве - там вместо мака шлюза злой
> хакерский программ подставил свой мак, на самом шлюзе табличка не изменилась!!!
> Тое сть комп хакер встал между  жертвой и шлюзом не
> подделывая мак на шлюзе!? Пипец! и как с этим бороться? всю
> сеть переводить на статичный АРП? staticarp - себя не оправдал...

Если на шлюзе стоит linux, то вам поможет ip-sentinel он помимо блокировки пирадов ещё умеет восcтанавливать кэш клиентов на правильные соотвествия ip-mac