Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Дрон
Зарегистрирован: 18.05.2002 Сообщения: 57 Откуда: Москва
|
Добавлено: Чт Дек 13 2001 23:11 Заголовок сообщения: Защита от атаки |
|
|
Если в локалке какой-то юзер целеноправленно занимается рассылкой широковещательных пакетов (тем самым создавая кучу коллизий), подменяя свой обратный mac-адрес. Есть ли возможность от этого защититься? В принципе можно поставить управляемый свитч и запретить рассылку широковещательных пакетов, но это наверное дорого. |
|
Вернуться к началу |
|
|
Andrey A. Pestresov
Зарегистрирован: 14.12.2001 Сообщения: 6 Откуда: Mirny
|
Добавлено: Пт Дек 14 2001 07:00 Заголовок сообщения: Re: Защита от атаки |
|
|
По-моему легче набить морду, чем тратить время/деньги на решение этой проблемы. |
|
Вернуться к началу |
|
|
Dmitry.Karpov Гость
|
Добавлено: Пт Дек 14 2001 11:51 Заголовок сообщения: Re: Защита от атаки |
|
|
Вычислить злодея можно путем последовательного отключения машин от сетИ. И не факт, что он злодей - может, машина или провод барахлит.
И не факт, что это широковещательные пакеты - коллизии на хабах создаются и обычг=ными, и даже порченными пакетами.
А если запретить широковещательные пакеты, то перестанет работать такое количество служб (ARP, DHCP, NetBIOS), что лучше так делать не надо! |
|
Вернуться к началу |
|
|
Дрон
Зарегистрирован: 18.05.2002 Сообщения: 57 Откуда: Москва
|
Добавлено: Пт Дек 14 2001 12:49 Заголовок сообщения: скорее всего это все-таки злодей |
|
|
Так как есть лог снифера, показывающий кучу пакетов с кадром ethernet_II, длиной 1510, где в поле адреса назначения шесть байт FF(мак-адрес), соответственно в поле source - несуществующий адрес. А если запретить широковещательные пакеты, то без netbios можно обойти, dhcp - не используется, а с помощью arp вообще можно организовать более страшную атаку, так что эту службу тоже советуют отключать, и все соответствия мас и ip заносить в статический arp-кэш. Но все это, конечно, сложно реализуемо -((. |
|
Вернуться к началу |
|
|
Andrey A. Pestresov
Зарегистрирован: 14.12.2001 Сообщения: 6 Откуда: Mirny
|
Добавлено: Пт Дек 14 2001 14:29 Заголовок сообщения: Re: скорее всего это все-таки злодей |
|
|
А, так надо было найти злоумышленника! Я подумал, что он уже найден, но не желает прекращать делать падлы.
Тогда ты не мог бы подробнее расписать конфигурацию сети (есть ли сервер, его платформа и тп.) |
|
Вернуться к началу |
|
|
Дрон
Зарегистрирован: 18.05.2002 Сообщения: 57 Откуда: Москва
|
Добавлено: Пт Дек 14 2001 18:25 Заголовок сообщения: конфигурация: |
|
|
Проблема на самом деле у моего провайдера, в сети к которой присоеденен я, орудует "злостный хакер", конфигурация самая обычная: куча компов, с одним шлюзом по умолчанию. Так как все компы в данной подсети находятся в разных подъездах и домах поиск злоумышленника усложняеться. Вот я хотел посоветать провайдеру какой-нибудь способ определения злодея, так как сам заинтересован в улучшении скорости сети -)), но к сожалению ничего не придумал. В итоге кроме поочередного отрубания проводов пользователей ничего не остаеться. Может посоветуете чего-нибудь. |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://www. Гость
|
Добавлено: Пт Дек 14 2001 19:47 Заголовок сообщения: О правильном построении сетИ |
|
|
Отошлю-ка я Вас с Вашим провайдером на http://www.pi2.ru/prof почитать про отличия локальных и глобальных сетей. Собственно, источник проблемы в том, что сеть провайдера - территориальная, а в ней используется технология локальной сетИ Ethernet. Правильный способ борьбы - вставить в сервер, через который юзеры выходят в Internet, как можно больше сетевых карт, разделив тем самым сеть на IP-сегменты: опИсанная Вами атака будет затрагивать только один сегмент, так что эффект от нее уменьшится в соответствующее число раз. Кстати, пропорционально уменьшается роль ARP...
Поиск злоумышленника кроме поочередного отключения юзеров можно вести: - по отслеживанию активности на разных портах хаба/коммутатора (смотреть на лампочки); - по отслеживанию корреляции между атаками и наличием машин в сетИ (Алиби) - рекомендую программу arpwatch. Но еще не доказано, что источник проблем - злостная атака, а не поломка оборудования. |
|
Вернуться к началу |
|
|
sui245 Гость
|
Добавлено: Чт Дек 20 2001 17:58 Заголовок сообщения: Re: О правильном построении сетИ |
|
|
К-хее, Господа к сожалению как не прискорбно это видимо атака, большинство сниферофф при определении активных машин посылают шир. запрос и по откликам выуживают всю нужную инфу а если вы посмотрите на мак карты снифера в этот момент то вы увидите что это и есть FFFFFFFF или их комбинация. а по поводу отлова думать надо. И ещё если бы провайдер был бы поумнее и не экономил бы деньги он поставил вам свитч с возмодностью работать по заранее созданной карте мак адресов, удовольствие не такое дорогое 500 уе за 16 портов и своё спокойствие. |
|
Вернуться к началу |
|
|
Dmitry.Karpov http://www. Гость
|
Добавлено: Чт Дек 20 2001 19:01 Заголовок сообщения: Правильный снифер ничего не посылает, он только слушает, |
|
|
Правильный снифер ничего не посылает, он только слушает, а если программа пытается выяснить что-то, посылая запросы, то это уже не снифер, а скорее сканер. |
|
Вернуться к началу |
|
|
|