forum.opennet.ru - "HELP ! Подмена arp записей на FreeBSD рутере" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"HELP ! Подмена arp записей на FreeBSD рутере"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"HELP ! Подмена arp записей на FreeBSD рутере"
Сообщение от wwwuser on 14-Авг-02, 14:06 (MSK)
Дело в следующем, объявился в сетке гад, который то ли по умыслу, то по незнанию гадит. Сначала вчера в логах рутера FreeBSD 4.4 (две подсети с маской 255.255.255.224 и выход на Циску) появилось сообщение: arp: 00:50:10:f0:44:4f is using my IP address 192.168.1.94! (192.168.1.94 один из интерфейсов рутера - шлюз для подсети номер 192.168.1.64) к концу дня перестала работать вся сетка, но никаких записей в логах больше не было, вышел из положения перезагрузкой серверов и рутера и хабов. Сегодня с утра еще хуже, по логам все перестало ходить поздно вечером, + Циска тоже в задумчивости, серверы в 192.168.1.0 не видят друг друга. Вычислил по записи владельца 00:50:10:f0:44:4f соответствует 192.168.1.74 - дядя поставил себе сервер Win2000 и не хочет от него отказываться. Вопрос: что есть из программных средств для защиты в подобных ситуациях (net.link.ether.inet.max_age=1200 не спас), почему FreeBSD так легко позволила подменить запись в arp-таблице для одного из своих интерфейсов, да и остальные сервера тоже ?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: HELP ! Подмена arp записей на FreeBSD рутере, Bart Simpson, 14:21 , 14-Авг-02, (1)
RE: HELP ! Подмена arp записей на FreeBSD рутере, Sobol, 14:28 , 14-Авг-02, (2)
- RE: HELP ! Подмена arp записей на FreeBSD рутере, Andrey, 18:57 , 14-Авг-02, (3)
  - RE: HELP ! Подмена arp записей на FreeBSD рутере, wwwuser, 19:16 , 14-Авг-02, (4)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: HELP ! Подмена arp записей на FreeBSD рутере"

Сообщение от Bart Simpson on 14-Авг-02, 14:21  (MSK)

>Дело в следующем, объявился в сетке гад, который то ли по умыслу,
>то по незнанию гадит.
>Сначала вчера в логах рутера FreeBSD 4.4 (две подсети с маской 255.255.255.224
>и выход на Циску) появилось сообщение:
>
>arp: 00:50:10:f0:44:4f is using my IP address 192.168.1.94!
>
>(192.168.1.94 один из интерфейсов рутера - шлюз для подсети номер 192.168.1.64) к
>концу дня перестала работать вся сетка, но никаких записей в логах
>больше не было, вышел из положения перезагрузкой серверов и рутера и
>хабов.
>Сегодня с утра еще хуже, по логам все перестало ходить поздно вечером,
>+ Циска тоже в задумчивости, серверы в 192.168.1.0 не видят друг
>друга. Вычислил по записи владельца 00:50:10:f0:44:4f соответствует 192.168.1.74 - дядя поставил
>себе Win2000 и не хочет от него отказываться.
>
>Вопрос: что есть из программных средств для защиты в подобных ситуациях
>(net.link.ether.inet.max_age=1200 не спас), почему FreeBSD так легко позволила подменить запись в arp-таблице
>для одного из своих интерфейсов, да и остальные сервера тоже ?
>

У меня фря в инет смотрит, там устройства радиодуступа (типа хаба), которые пров по телнету редактирует, еще он офисы людям соединяет, и у всех перечисленных адреса как у меня в сети, арп орет с утра до вечера, НО ничего не падает, пакету туда не кидаются, может таблица маршрутизации неправильно у тебя настроена.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: HELP ! Подмена arp записей на FreeBSD рутере"

Сообщение от Sobol on 14-Авг-02, 14:28  (MSK)

>Дело в следующем, объявился в сетке гад, который то ли по умыслу,
>то по незнанию гадит.
А ты в этой сетке кем будешь? Админом? или так, мимо проходил? Если Админ, то (я правда не вижу причины, почему дядя должен отказываться от win2k...) Вот и обьясни ему всю глубочайшую важность централизованного управления IP адресами.
И ни чего тебе не поможет... До тех пор, пока юзвери будут иметь права на то, чтобы лазить в настройках - порядка не будет. (Забери у него права локального админа и выдай права пользователя. Потом запаришься бегать к нему каждый раз, когда он какие-нить новые дрова ставить надумает, etc.) А вообще, можно настроить DHCP. Избавит от необходимости настраивать компы по отдельности. Можно даже статическую таблицу DHCP накать. Вообще красота.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: HELP ! Подмена arp записей на FreeBSD рутере"

Сообщение от Andrey on 14-Авг-02, 18:57  (MSK)

>>Дело в следующем, объявился в сетке гад, который то ли по умыслу,
>>то по незнанию гадит.
>
>А ты в этой сетке кем будешь? Админом? или так, мимо проходил?
>Если Админ, то (я правда не вижу причины, почему дядя должен
>отказываться от win2k...) Вот и обьясни ему всю глубочайшую важность централизованного
>управления IP адресами.
>
>И ни чего тебе не поможет... До тех пор, пока юзвери будут
>иметь права на то, чтобы лазить в настройках - порядка не
>будет. (Забери у него права локального админа и выдай права пользователя.
>Потом запаришься бегать к нему каждый раз, когда он какие-нить новые
>дрова ставить надумает, etc.) А вообще, можно настроить DHCP. Избавит от
>необходимости настраивать компы по отдельности. Можно даже статическую таблицу DHCP накать.
>Вообще красота.
А отрубить этого злобного "дядю" слабо? Если он всю сеть кладет, то нефиг ему делать в этой сети. Пусть берет диалап и его юзает.
Если с "дядей" никаких документов не подписывалось, то отключить легко. Если документы были, но в них не оговорено, что "дядя" может ставить только определенный диаппазон IP, тогда только пересмотр договора с выключением "дяди" до полного пересмотра договора.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: HELP ! Подмена arp записей на FreeBSD рутере"

Сообщение от wwwuser on 14-Авг-02, 19:16  (MSK)

>
>А отрубить этого злобного "дядю" слабо? Если он всю сеть кладет, то
>нефиг ему делать в этой сети. Пусть берет диалап и его
>юзает.
>Если с "дядей" никаких документов не подписывалось, то отключить легко. Если документы
>были, но в них не оговорено, что "дядя" может ставить только
>определенный диаппазон IP, тогда только пересмотр договора с выключением "дяди" до
>полного пересмотра договора.
Так и пришлось отрубить, но где гарантия что завтра не заведется еще один такой же "конструктор" :(
Нашел ссылку на Ettercap(ARP BASED SNIFFING/logger for switched LAN) http://ettercap.sourceforge.net/index.php?s=home , может кто юзает, поделитесь впечатлениями.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: HELP ! Подмена arp записей на FreeBSD рутере"
Сообщение от Bart Simpson on 14-Авг-02, 14:21 (MSK)
>Дело в следующем, объявился в сетке гад, который то ли по умыслу, >то по незнанию гадит. >Сначала вчера в логах рутера FreeBSD 4.4 (две подсети с маской 255.255.255.224 >и выход на Циску) появилось сообщение: > >arp: 00:50:10:f0:44:4f is using my IP address 192.168.1.94! > >(192.168.1.94 один из интерфейсов рутера - шлюз для подсети номер 192.168.1.64) к >концу дня перестала работать вся сетка, но никаких записей в логах >больше не было, вышел из положения перезагрузкой серверов и рутера и >хабов. >Сегодня с утра еще хуже, по логам все перестало ходить поздно вечером, >+ Циска тоже в задумчивости, серверы в 192.168.1.0 не видят друг >друга. Вычислил по записи владельца 00:50:10:f0:44:4f соответствует 192.168.1.74 - дядя поставил >себе Win2000 и не хочет от него отказываться. > >Вопрос: что есть из программных средств для защиты в подобных ситуациях >(net.link.ether.inet.max_age=1200 не спас), почему FreeBSD так легко позволила подменить запись в arp-таблице >для одного из своих интерфейсов, да и остальные сервера тоже ? > У меня фря в инет смотрит, там устройства радиодуступа (типа хаба), которые пров по телнету редактирует, еще он офисы людям соединяет, и у всех перечисленных адреса как у меня в сети, арп орет с утра до вечера, НО ничего не падает, пакету туда не кидаются, может таблица маршрутизации неправильно у тебя настроена.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

2. "RE: HELP ! Подмена arp записей на FreeBSD рутере"
Сообщение от Sobol on 14-Авг-02, 14:28 (MSK)
>Дело в следующем, объявился в сетке гад, который то ли по умыслу, >то по незнанию гадит. А ты в этой сетке кем будешь? Админом? или так, мимо проходил? Если Админ, то (я правда не вижу причины, почему дядя должен отказываться от win2k...) Вот и обьясни ему всю глубочайшую важность централизованного управления IP адресами. И ни чего тебе не поможет... До тех пор, пока юзвери будут иметь права на то, чтобы лазить в настройках - порядка не будет. (Забери у него права локального админа и выдай права пользователя. Потом запаришься бегать к нему каждый раз, когда он какие-нить новые дрова ставить надумает, etc.) А вообще, можно настроить DHCP. Избавит от необходимости настраивать компы по отдельности. Можно даже статическую таблицу DHCP накать. Вообще красота.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: HELP ! Подмена arp записей на FreeBSD рутере"
	Сообщение от Andrey on 14-Авг-02, 18:57 (MSK)
	>>Дело в следующем, объявился в сетке гад, который то ли по умыслу, >>то по незнанию гадит. > >А ты в этой сетке кем будешь? Админом? или так, мимо проходил? >Если Админ, то (я правда не вижу причины, почему дядя должен >отказываться от win2k...) Вот и обьясни ему всю глубочайшую важность централизованного >управления IP адресами. > >И ни чего тебе не поможет... До тех пор, пока юзвери будут >иметь права на то, чтобы лазить в настройках - порядка не >будет. (Забери у него права локального админа и выдай права пользователя. >Потом запаришься бегать к нему каждый раз, когда он какие-нить новые >дрова ставить надумает, etc.) А вообще, можно настроить DHCP. Избавит от >необходимости настраивать компы по отдельности. Можно даже статическую таблицу DHCP накать. >Вообще красота. А отрубить этого злобного "дядю" слабо? Если он всю сеть кладет, то нефиг ему делать в этой сети. Пусть берет диалап и его юзает. Если с "дядей" никаких документов не подписывалось, то отключить легко. Если документы были, но в них не оговорено, что "дядя" может ставить только определенный диаппазон IP, тогда только пересмотр договора с выключением "дяди" до полного пересмотра договора.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: HELP ! Подмена arp записей на FreeBSD рутере"
	Сообщение от wwwuser on 14-Авг-02, 19:16 (MSK)
	> >А отрубить этого злобного "дядю" слабо? Если он всю сеть кладет, то >нефиг ему делать в этой сети. Пусть берет диалап и его >юзает. >Если с "дядей" никаких документов не подписывалось, то отключить легко. Если документы >были, но в них не оговорено, что "дядя" может ставить только >определенный диаппазон IP, тогда только пересмотр договора с выключением "дяди" до >полного пересмотра договора. Так и пришлось отрубить, но где гарантия что завтра не заведется еще один такой же "конструктор" :( Нашел ссылку на Ettercap(ARP BASED SNIFFING/logger for switched LAN) http://ettercap.sourceforge.net/index.php?s=home , может кто юзает, поделитесь впечатлениями.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх