paki Posted February 4, 2005 Posted February 4, 2005 Сеть состоит примерно из 100 хостов. Собрана на обычных свитчах Dlink. Обнаружилась следующая проблема. Самопроизвольно меняются мак-адреса хостов, айпишники при этом не меняются. Причём мак-адреса, если смотреть по таблице, совершенно случайные и каждый раз новые. Причём, если с одной машины, в арп-таблицу которой уже попали эти искаженные мак-адреса, попробовать пропинговать любой из айпи-адресов с этим искаженным маком, пинг проходит. Если со второй машины пингануть этот же айпи, и после этого посмотреть в таблицу арп на этой второй машине, то мак будет другой, правильный. Тем не менее, дело не в первой машине, так как искажение маков в таблице может произойти на любом компе. Все эти искажения пропадают, если отключить физически одну из веток сети, то есть причина кроется именно в ней. Но при включенной ветке искажение маков затрагивают не только ту ветку , а всю сеть. В чём может быть дело ? Глюк ли это какого-либо свитча, либо хоста, либо злонамеренная программа ? Вставить ник Quote
Alf Posted February 4, 2005 Posted February 4, 2005 Искать засранца... И как можно быстрее. Как найдёте руки откручивать. Сначала найдите свитч при отключении которого проблема исчезает, а затем вытыкайте из него по очереди юзеров. Вставить ник Quote
paki Posted February 4, 2005 Author Posted February 4, 2005 arp spoofing Дело в том, что у нас никак не ограничивается доступ посредством проверки МАК-адреса. И смысла его подбирать никакого. Похоже кто-то балуется просто... Вставить ник Quote
Roman Ivanov Posted February 4, 2005 Posted February 4, 2005 arp spoofing Дело в том, что у нас никак не ограничивается доступ посредством проверки МАК-адреса. И смысла его подбирать никакого. Похоже кто-то балуется просто... Через Arp spoofing можно сдлеать Man in the middle. И воровать пароли. Вставить ник Quote
paki Posted February 4, 2005 Author Posted February 4, 2005 arp spoofing Дело в том, что у нас никак не ограничивается доступ посредством проверки МАК-адреса. И смысла его подбирать никакого. Похоже кто-то балуется просто... Через Arp spoofing можно сдлеать Man in the middle. И воровать пароли. А можно по-подробнее? Что такое Man in the middle и как оно работает? Вставить ник Quote
Alf Posted February 4, 2005 Posted February 4, 2005 http://www.megalib.com/books/387/060/2.htm Вставить ник Quote
paki Posted February 5, 2005 Author Posted February 5, 2005 Спасибо!! С проблемой разобрался, урода нашел, отрубил нах.. Кстати, все советовали Сначала найдите свитч при отключении которого проблема исчезает, а затем вытыкайте из него по очереди юзеров., но это достаточно трудоёмкий процесс, беганье по крышам 10 домов и т.д. Как я решил задачу. На одном из серверов у нас давно крутился скриптик, который по очереди пингует машины в сети и записывает в базу соответствие МАК-ИП. Так мы боремся со сменой Ип-адресов. Логично предположить, что засранец, который спуфит сеть, свой адрес не трогает (видимо в проге у него не встроена защита от такого палева.. ). Смотрим, кто из юзеров за последний час НИ РАЗУ не сменил свой МАК и это будет 99% он. Как дополнительный козырь в этой игре - те, кто включены в один и тот же с ним свитч, больше всех подвержены атакам и чаще других меняют МАКи. Проанализировав полученые данные, выдергиваем этого юзера из свитча и все становиться ОК. Подлец найден. Методика скорее всего не дает 100% гарантии, но позволит достаточно точно определить спуфера. Еще раз всем спасибо за предоставленную инфу. Вставить ник Quote
Alf Posted February 5, 2005 Posted February 5, 2005 Можно и так. Просто у нас чел сначала выключал комп из сети, менял у себя mac и ip, включал фаервол и начинал хулиганить. Цепочка из свитчей у нас меньше (7 шт.), но на всех свитчах стоят лайткомовские нетпинги. Задавая на них время выключения питания равным 30 сек, был найден проблемный свитч... Так как хулиганил этот гад эпизодически, и две попытки прибежать к свитчу с ноутбуком не увенчались успехом было принято решение воткнуть в место неуправляемого свитча управляемый 3com 3300 лежавший без дела... После этого деваться новоиспечённому хакеру было некуда. Вставить ник Quote
paki Posted February 5, 2005 Author Posted February 5, 2005 Какие меры воздействия применили? Мы просто отрубили навсегда. Вставить ник Quote
Veskit Posted February 5, 2005 Posted February 5, 2005 http://www.megalib.com/books/387/060/2.htm Либо я дурак, либо читать не умею.. :( А под винды что-нить типа arpwatch есть? Вставить ник Quote
Snake2k Posted February 5, 2005 Posted February 5, 2005 На одном из серверов у нас давно крутился скриптик, который по очереди пингует машины в сети и записывает в базу соответствие МАК-ИП. Так мы боремся со сменой Ип-адресов. Если можно, мыльни этот скрипт на почту odiszapc@mail.ru, а ежели маленький, то можно и тут запостить. Заранее thx! Вставить ник Quote
Alf Posted February 5, 2005 Posted February 5, 2005 Какие меры воздействия применили? Мы просто отрубили навсегда. Поскольку юзер исправно пользуется инетом (приносит явную пользу :)) выключать не стали. Ограничились 4х дневным отключением. Он признал свои ошибки. К тому же там теперь стоит 3com 3300, который как что сразу гасит порт и всё. Вставить ник Quote
paki Posted February 6, 2005 Author Posted February 6, 2005 Какие меры воздействия применили? Мы просто отрубили навсегда. Поскольку юзер исправно пользуется инетом (приносит явную пользу :)) выключать не стали. Ограничились 4х дневным отключением. Он признал свои ошибки. К тому же там теперь стоит 3com 3300, который как что сразу гасит порт и всё. Проблема в том, что предупреждение в данном случае - это "разрешить воровать, пока не поймают". Слухи разползаются по сети быстро, другой желающий занятся подобными действиями 100 раз подумает, прежде чем делать, если знает что может лишиться сети. А если он услышит: "Вася Пупкин сетку ломанул, его на 4 дня вырубили и потом опять включили. Да я без сети тоже 4 дня посижу, зато если повезет!!!....". ИМХО, надо быть жестче и принципиальнее. Вставить ник Quote
terapeut Posted February 6, 2005 Posted February 6, 2005 А под винды что-нить типа arpwatch есть? http://hub.ru/modules.php?name=Forums&file...0168&highlight= Вставить ник Quote
Veskit Posted February 6, 2005 Posted February 6, 2005 А под винды что-нить типа arpwatch есть? http://hub.ru/modules.php?name=Forums&file...0168&highlight= Спасибо большое. Мне уже стыдно за мою лень :( Вставить ник Quote
paki Posted February 6, 2005 Author Posted February 6, 2005 Если можно, мыльни этот скрипт на почту odiszapc@mail.ru, а ежели маленький, то можно и тут запостить. Заранее thx! В самое ближайшее время Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.