Архив форумов ЦИТФорума

[Astaroth]

Проблема в следующем - есть домашняя сеть класса С на витой паре и DLink-овских свичах, около 35 хостов. Какая-то сволочь повадилась использовать сниффер, причем кривыми руками - похерил на серваке ARP таблицу, и соответственно DHCP - у нас привязка по MAC адресу. Проблему разрулили, но новый народ в сеть прибывает, и нет гарантии что среди новичков нет таких же Гошей Так как серваком (FreeBSD) рулю не я, а наш админ частенько ездит в командировки хотелось бы иметь инструмент который позволит засечь с какого хоста работает сниффер и ему подобные приблуды. Желательно под W2K, что б не отрываться от игрушек
_________________
Не очеловечивайте компы - они этого не любят!

[Andy_user]

C помощью сниффера такие вещи сделать нельзя.

[watcher]

а не разъсните как можно сниффером сие проделать?
_________________
читаем мануалы и делаем бэкапы!

[Гость]

Вообще-то можно. Если сниффер хреново настроен, то он путает арп таблицу, после чего сеть сходит с ума. Хотя хотелось бы поподробнее.

[Andy_user]

Наверно, меня опять потянуло на старческое брюзжание...

1. Сниффер предназначен для приема пакетов канального уровня, обычно проходящих "мимо" сетевой карты и не предназначенных для данного компа;
2. "путает арп таблицу" - путать можно что-то с чем-то...
3. "сеть сходит с ума" - очень образно, почти поэзия, но информации мало.

Может Вы конкретно сформулируете, что происходит с сетью, какие меры Вами были приняты для определения причин ?
Легче будет что-то советовать.

[and3008]

Да все просто.
Есть проги, которые наводняют сеть ложными ARP-запросами с левыми MAC-адресами. У свича происходит переполнение таблицы и в лучшем случае он начинает работать как хаб, в худшем - зависает.

Купите управляемый свитч. Тогда можно будет быстро обнаружить сегмент из которого прут ложные ARP.

[Astaroth]

2 and3008 - респект! Ты что, действительно мысли читаешь? Я запарился у нашего админа вытряхать что именно произошло, т.к. сам серваком не рулю, и вообще только учусь. Так у тебя одной фразой получилось все что было объяснить. Я бы так не смог, опять бы всех в заблуждение ввел.

Управляемый свич это конечно хорошо, но стоит он многовато. Нет ли какой-нибудь софтины, которая скажет откуда летят левые пакеты?
_________________
Не очеловечивайте компы - они этого не любят!

[--= Eagle =--]

Если хочется разобраться конкретнее, загляни сюда: http://www.xakep.ru/post/18963/default.htm
_________________
Информация должна быть общедоступной!

[Гость]

Astaroth:

prochitay pozaluista

http://tehno-doc.nm.ru/cont/set_inform.html

vnizu


Esli nado napishu kakoe oborudovanie stoialo.

[and3008]

Кажется на Opennet.ru я видел статью по борьбе с такими подлыми прогами.

Только прогой тут не обойдешься. Как она будет отделять зерна от плевел?
Разве что ты составишь список правильных MAC-адресов. И в случае появления неправильных звенит Alarm!

Кажется такие проги есть. arp_spoof или что-то в этом стиле. Думаю народ подскажет.
Прога эта входит в состав FreeBsd и последних версий Линукса. Не помню как ее зовут.

Беда в том, что ты сможешь обнаружить только факт атаки. Но не сможешь точно определить кто сие затеял. А на свиче все быстренько видно. С какого порта больше всех пришло MAC-адресов, там "хитрый" парень и сидит.

[Andy_user]

Поиск по
arpwatch

[and3008]

Точно. Она.

Еще один довод в пользу управляемого свича.
На нем можно принудительно указать список разрешенных MAC-адресов. Это в корне исключит атаку на свичи по подложным MAC-адресам.
Правда добавится гемороя с администрированием. Т.к. при каждой замене сетевухи прийдется править MAC-адреса на свиче.
Ну тут уж выбирайте. Либо надежность, либо простота эксплуатации.

[Astaroth]

Спасибо всем за помощь. Если на софтварном уровне проблему действительно не решить, то Будем думать об управляемом свиче.
_________________
Не очеловечивайте компы - они этого не любят!

[and3008]

Еще.

Бывают дохлые сетевые карты, которые наводняют сеть битыми пакетами. Так что вы уж по-осторожней общайтесь с юзверями, когда обнаружите такое безобразие. Не все траблы бывают из-за них.

[Astaroth]

Это как - карта битая, но позволяет нормально работать с сетью, не считая того что попутно плодит море левых пакетов? Мне казалось, что если карта накрылась, то полноценная работа невозможна.
_________________
Не очеловечивайте компы - они этого не любят!

[and3008]

Все бывает.
И жук свистит и бык летает.

Прошлым летом меня вызвали в отделение. Акурат после грозы.
У них грозой вышибло антену (Радио-Ethernet). Сдох только модуль, непосредственно подключенный к антене.
НО!
Сервак стал вести себя странно. ping туда/сюда ходит, nslookup отвечает, но почта не ходит.
Попытка законнектится туда телнетом не удается.

Приехал. Перелопатил всю систему в поисках ошибки в настройки сети. Не нашел. Открыли комп. Плата целая. Ничего откровенно паленого нет.
Опытным путем было установлено, что карта чудно передает UDP-пакеты, но абсолютно не хочет передавать TCP.
Заменили карту и ничего более не трогали. Все пошло на ура.

Сиди вот и думай отчего и почему такие чудесатые чудеса бывают...

Теперь они с мая по август в грозу антену в будку на крыше убирают. Просто так, на всякий случай.