| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
Shef
Зарегистрирован: 27.12.2001
Сообщения: 34
|
 Добавлено: Пт Янв 11 2002 00:37 Заголовок сообщения: Атака на ARP |
 |
|
Надеюсь все слышали о данном типе атак. Она заключается в том, что на к.-л. хост (А) посылается ложный ARP пакет от имени другого хоста(Б) по идее это должно приводить к тому, что хост на который был отправлен ложный ARP, т.е А должен секунд на 40 потерять связь с хостом Б.
Итак в чём проблема: я отсылаю на комп в локалке такой ARP пакет в котором меняю свой МАК на левый, то есть теоретически пакеты отправленные с того компа на мой не должны доходить.
!! Происходит следующее: при открытии сетевого окружении мой компьютер не видно, но если в эксплорере(в адресной строке) прописать что-то вроде \\1\С
то он выведет содержание моего диска С (хотя не должен). 0К смотрю таблицы arp -a и вижу что в них мой ИП соответствует левому МАКу. Неужели мой комп принимает пакеты с чужими МАКами (т.е. фильтрует их на уровне ИП) или отправитель перед отправкой делает ARP-запрос (замечу что в таблицах уже есть запись для меня)?
Если кто-то знает или сам сталкивался с этим объясните пожалуйста. |
|
| Вернуться к началу |
|
 |
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Пт Янв 11 2002 08:54 Заголовок сообщения: Re: Атака на ARP |
|
|
Вы сами ответили на свой вопрос.
Отправитель прежде чем послать ответ выясняет аппартный адрес получателя. Для этого и существует протокол ARP.
Атаку вы произвели неверно.
Например есть сервер и есть клиент.
Вы хотите уложить клиента. Вы меняете свой MAC на MAC клиента и посылаете несколько пакетов серверу.
Несколько - понятие растяжимое. Дело в том, что ARP хранится в кэше некоторое время. Вы должны бомбить сервак запросами до тех пор, пока время жизни ARP в кеше не истечет и сервер пошлет еще один ARP-запрос в сеть.
Вот тут начинается самое интересное. Сервак запрос пошлет. Ваша машина и машина атакуемого клиента ответят. А вот какой ответ сервак поймает первым - большой вопрос. И он еще более усугубляется, если в сети используются коммутаторы.
Если сервер поймает ваш ответ, то соединение с удаленным клиентом теоретически должно нарушится. А если поймает первым ответ с тем же клиентом - то фиг вам, а не атака.
И это еще не все. Операционная система сервера может более гибко управлять кэшем ARP. Да и админ может жестко прописать ARP-адреса клиентов и ваша атака не получится вообще.
А уж если вся сеть на коммутаторах и пременены VLAN, то все ваши изыски в 99% случаев потерпят неудачу. |
|
| Вернуться к началу |
|
|
Shef
Зарегистрирован: 27.12.2001
Сообщения: 34
|
| Добавлено: Пт Янв 11 2002 23:01 Заголовок сообщения: Чтобы хост добавил запись в ARP-кэш ему не обязательно посылать запрос |
|
|
| На обоих компьютерах стоит Вин98 которая, как известно, может принимать ARP ответы даже в том случае когда она сама не посылала запрос. И ещё, при просмотре кэша ARP в нём записаны данные которые я отсылал, т.е не настоящие. Не может же винда посылать ARP запрос когда в кэшэ для данного адреса IP МАК уже есть? Вначале пробовал увеличивать частоту отправки (1с, 100мс), но эффект тот же. Да и ещё, сетка одноранговая и используется обычный хаб. |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
