Архив форумов ЦИТФорума

[Дрон]

Если в локалке какой-то юзер целеноправленно занимается рассылкой широковещательных пакетов (тем самым создавая кучу коллизий), подменяя свой обратный mac-адрес. Есть ли возможность от этого защититься? В принципе можно поставить управляемый свитч и запретить рассылку широковещательных пакетов, но это наверное дорого.

[Andrey A. Pestresov]

По-моему легче набить морду, чем тратить время/деньги на решение этой проблемы.

[Dmitry.Karpov]

Вычислить злодея можно путем последовательного отключения машин от сетИ. И не факт, что он злодей - может, машина или провод барахлит.

И не факт, что это широковещательные пакеты - коллизии на хабах создаются и обычг=ными, и даже порченными пакетами.

А если запретить широковещательные пакеты, то перестанет работать такое количество служб (ARP, DHCP, NetBIOS), что лучше так делать не надо!

[Дрон]

Так как есть лог снифера, показывающий кучу пакетов с кадром ethernet_II, длиной 1510, где в поле адреса назначения шесть байт FF(мак-адрес), соответственно в поле source - несуществующий адрес. А если запретить широковещательные пакеты, то без netbios можно обойти, dhcp - не используется, а с помощью arp вообще можно организовать более страшную атаку, так что эту службу тоже советуют отключать, и все соответствия мас и ip заносить в статический arp-кэш. Но все это, конечно, сложно реализуемо -((.

[Andrey A. Pestresov]

А, так надо было найти злоумышленника! Я подумал, что он уже найден, но не желает прекращать делать падлы.

Тогда ты не мог бы подробнее расписать конфигурацию сети (есть ли сервер, его платформа и тп.)

[Дрон]

Проблема на самом деле у моего провайдера, в сети к которой присоеденен я, орудует "злостный хакер", конфигурация самая обычная: куча компов, с одним шлюзом по умолчанию. Так как все компы в данной подсети находятся в разных подъездах и домах поиск злоумышленника усложняеться. Вот я хотел посоветать провайдеру какой-нибудь способ определения злодея, так как сам заинтересован в улучшении скорости сети -)), но к сожалению ничего не придумал. В итоге кроме поочередного отрубания проводов пользователей ничего не остаеться. Может посоветуете чего-нибудь.

[Dmitry.Karpov http://www.]

Отошлю-ка я Вас с Вашим провайдером на http://www.pi2.ru/prof почитать про отличия локальных и глобальных сетей. Собственно, источник проблемы в том, что сеть провайдера - территориальная, а в ней используется технология локальной сетИ Ethernet. Правильный способ борьбы - вставить в сервер, через который юзеры выходят в Internet, как можно больше сетевых карт, разделив тем самым сеть на IP-сегменты: опИсанная Вами атака будет затрагивать только один сегмент, так что эффект от нее уменьшится в соответствующее число раз. Кстати, пропорционально уменьшается роль ARP...

Поиск злоумышленника кроме поочередного отключения юзеров можно вести:
- по отслеживанию активности на разных портах хаба/коммутатора (смотреть на лампочки);
- по отслеживанию корреляции между атаками и наличием машин в сетИ (Алиби) - рекомендую программу arpwatch.
Но еще не доказано, что источник проблем - злостная атака, а не поломка оборудования.

[sui245]

К-хее, Господа к сожалению как не прискорбно это видимо атака, большинство сниферофф при определении активных машин посылают шир. запрос и по откликам выуживают всю нужную инфу а если вы посмотрите на мак карты снифера в этот момент то вы увидите что это и есть FFFFFFFF или их комбинация. а по поводу отлова думать надо. И ещё если бы провайдер был бы поумнее и не экономил бы деньги он поставил вам свитч с возмодностью работать по заранее созданной карте мак адресов, удовольствие не такое дорогое 500 уе за 16 портов и своё спокойствие.

[Dmitry.Karpov http://www.]

Правильный снифер ничего не посылает, он только слушает, а если программа пытается выяснить что-то, посылая запросы, то это уже не снифер, а скорее сканер.