Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Astaroth
Зарегистрирован: 17.05.2004 Сообщения: 453 Откуда: Питер
|
Добавлено: Пн Май 17 2004 16:03 Заголовок сообщения: Достали доморощенные хакеры! |
|
|
Проблема в следующем - есть домашняя сеть класса С на витой паре и DLink-овских свичах, около 35 хостов. Какая-то сволочь повадилась использовать сниффер, причем кривыми руками - похерил на серваке ARP таблицу, и соответственно DHCP - у нас привязка по MAC адресу. Проблему разрулили, но новый народ в сеть прибывает, и нет гарантии что среди новичков нет таких же Гошей Так как серваком (FreeBSD) рулю не я, а наш админ частенько ездит в командировки хотелось бы иметь инструмент который позволит засечь с какого хоста работает сниффер и ему подобные приблуды. Желательно под W2K, что б не отрываться от игрушек _________________ Не очеловечивайте компы - они этого не любят! |
|
Вернуться к началу |
|
|
Andy_user
Зарегистрирован: 03.12.2003 Сообщения: 382 Откуда: Санкт-Петербург
|
Добавлено: Пн Май 17 2004 16:12 Заголовок сообщения: |
|
|
C помощью сниффера такие вещи сделать нельзя. |
|
Вернуться к началу |
|
|
watcher
Зарегистрирован: 14.05.2004 Сообщения: 114
|
Добавлено: Пн Май 17 2004 16:16 Заголовок сообщения: |
|
|
а не разъсните как можно сниффером сие проделать? _________________ читаем мануалы и делаем бэкапы! |
|
Вернуться к началу |
|
|
Гость
|
Добавлено: Пн Май 17 2004 16:36 Заголовок сообщения: |
|
|
Вообще-то можно. Если сниффер хреново настроен, то он путает арп таблицу, после чего сеть сходит с ума. Хотя хотелось бы поподробнее. |
|
Вернуться к началу |
|
|
Andy_user
Зарегистрирован: 03.12.2003 Сообщения: 382 Откуда: Санкт-Петербург
|
Добавлено: Пн Май 17 2004 16:48 Заголовок сообщения: |
|
|
Наверно, меня опять потянуло на старческое брюзжание...
1. Сниффер предназначен для приема пакетов канального уровня, обычно проходящих "мимо" сетевой карты и не предназначенных для данного компа;
2. "путает арп таблицу" - путать можно что-то с чем-то...
3. "сеть сходит с ума" - очень образно, почти поэзия, но информации мало.
Может Вы конкретно сформулируете, что происходит с сетью, какие меры Вами были приняты для определения причин ?
Легче будет что-то советовать. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вт Май 18 2004 14:04 Заголовок сообщения: |
|
|
Да все просто.
Есть проги, которые наводняют сеть ложными ARP-запросами с левыми MAC-адресами. У свича происходит переполнение таблицы и в лучшем случае он начинает работать как хаб, в худшем - зависает.
Купите управляемый свитч. Тогда можно будет быстро обнаружить сегмент из которого прут ложные ARP. |
|
Вернуться к началу |
|
|
Astaroth
Зарегистрирован: 17.05.2004 Сообщения: 453 Откуда: Питер
|
Добавлено: Вт Май 18 2004 14:24 Заголовок сообщения: |
|
|
2 and3008 - респект! Ты что, действительно мысли читаешь? Я запарился у нашего админа вытряхать что именно произошло, т.к. сам серваком не рулю, и вообще только учусь. Так у тебя одной фразой получилось все что было объяснить. Я бы так не смог, опять бы всех в заблуждение ввел.
Управляемый свич это конечно хорошо, но стоит он многовато. Нет ли какой-нибудь софтины, которая скажет откуда летят левые пакеты? _________________ Не очеловечивайте компы - они этого не любят! |
|
Вернуться к началу |
|
|
--= Eagle =--
Зарегистрирован: 23.03.2004 Сообщения: 977 Откуда: Украина, Житомир
|
Добавлено: Вт Май 18 2004 14:25 Заголовок сообщения: Вдогонку к посту and3008 |
|
|
Если хочется разобраться конкретнее, загляни сюда: http://www.xakep.ru/post/18963/default.htm _________________ Информация должна быть общедоступной! |
|
Вернуться к началу |
|
|
Гость
|
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вт Май 18 2004 16:28 Заголовок сообщения: |
|
|
Кажется на Opennet.ru я видел статью по борьбе с такими подлыми прогами.
Только прогой тут не обойдешься. Как она будет отделять зерна от плевел?
Разве что ты составишь список правильных MAC-адресов. И в случае появления неправильных звенит Alarm!
Кажется такие проги есть. arp_spoof или что-то в этом стиле. Думаю народ подскажет.
Прога эта входит в состав FreeBsd и последних версий Линукса. Не помню как ее зовут.
Беда в том, что ты сможешь обнаружить только факт атаки. Но не сможешь точно определить кто сие затеял. А на свиче все быстренько видно. С какого порта больше всех пришло MAC-адресов, там "хитрый" парень и сидит. |
|
Вернуться к началу |
|
|
Andy_user
Зарегистрирован: 03.12.2003 Сообщения: 382 Откуда: Санкт-Петербург
|
Добавлено: Вт Май 18 2004 16:34 Заголовок сообщения: |
|
|
Поиск по
arpwatch |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вт Май 18 2004 22:34 Заголовок сообщения: |
|
|
Точно. Она.
Еще один довод в пользу управляемого свича.
На нем можно принудительно указать список разрешенных MAC-адресов. Это в корне исключит атаку на свичи по подложным MAC-адресам.
Правда добавится гемороя с администрированием. Т.к. при каждой замене сетевухи прийдется править MAC-адреса на свиче.
Ну тут уж выбирайте. Либо надежность, либо простота эксплуатации. |
|
Вернуться к началу |
|
|
Astaroth
Зарегистрирован: 17.05.2004 Сообщения: 453 Откуда: Питер
|
Добавлено: Ср Май 19 2004 10:35 Заголовок сообщения: |
|
|
Спасибо всем за помощь. Если на софтварном уровне проблему действительно не решить, то Будем думать об управляемом свиче. _________________ Не очеловечивайте компы - они этого не любят! |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Ср Май 19 2004 11:01 Заголовок сообщения: |
|
|
Еще.
Бывают дохлые сетевые карты, которые наводняют сеть битыми пакетами. Так что вы уж по-осторожней общайтесь с юзверями, когда обнаружите такое безобразие. Не все траблы бывают из-за них. |
|
Вернуться к началу |
|
|
Astaroth
Зарегистрирован: 17.05.2004 Сообщения: 453 Откуда: Питер
|
Добавлено: Ср Май 19 2004 11:24 Заголовок сообщения: |
|
|
Это как - карта битая, но позволяет нормально работать с сетью, не считая того что попутно плодит море левых пакетов? Мне казалось, что если карта накрылась, то полноценная работа невозможна. _________________ Не очеловечивайте компы - они этого не любят! |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Ср Май 19 2004 13:53 Заголовок сообщения: |
|
|
Все бывает.
И жук свистит и бык летает.
Прошлым летом меня вызвали в отделение. Акурат после грозы.
У них грозой вышибло антену (Радио-Ethernet). Сдох только модуль, непосредственно подключенный к антене.
НО!
Сервак стал вести себя странно. ping туда/сюда ходит, nslookup отвечает, но почта не ходит.
Попытка законнектится туда телнетом не удается.
Приехал. Перелопатил всю систему в поисках ошибки в настройки сети. Не нашел. Открыли комп. Плата целая. Ничего откровенно паленого нет.
Опытным путем было установлено, что карта чудно передает UDP-пакеты, но абсолютно не хочет передавать TCP.
Заменили карту и ничего более не трогали. Все пошло на ура.
Сиди вот и думай отчего и почему такие чудесатые чудеса бывают...
Теперь они с мая по август в грозу антену в будку на крыше убирают. Просто так, на всякий случай. |
|
Вернуться к началу |
|
|
|