[paki]

Сеть состоит примерно из 100 хостов.

Собрана на обычных свитчах Dlink.

Обнаружилась следующая проблема.

 

Самопроизвольно меняются мак-адреса хостов, айпишники при этом не меняются.

Причём мак-адреса, если смотреть по таблице, совершенно случайные и каждый

раз новые.

Причём, если с одной машины, в арп-таблицу которой уже попали

эти искаженные мак-адреса, попробовать пропинговать любой из айпи-адресов с этим

искаженным маком, пинг проходит.

Если со второй машины пингануть этот же айпи, и после этого посмотреть в таблицу арп

на этой второй машине, то мак будет другой, правильный.

Тем не менее, дело не в первой машине, так как искажение маков в

таблице может произойти на любом компе. Все эти искажения пропадают, если отключить

физически одну из веток сети, то есть причина кроется именно в ней. Но при включенной ветке

искажение маков затрагивают не только ту ветку , а всю сеть.

В чём может быть дело ?

Глюк ли это какого-либо свитча, либо хоста, либо злонамеренная программа ?

[Roman Ivanov]

arp spoofing

[Alf]

Искать засранца... И как можно быстрее. Как найдёте руки откручивать.

Сначала найдите свитч при отключении которого проблема исчезает, а затем вытыкайте из него по очереди юзеров.

[paki]

arp spoofing

 

Дело в том, что у нас никак не ограничивается доступ посредством проверки МАК-адреса. И смысла его подбирать никакого. Похоже кто-то балуется просто...

[Roman Ivanov]

arp spoofing

 

Дело в том, что у нас никак не ограничивается доступ посредством проверки МАК-адреса. И смысла его подбирать никакого. Похоже кто-то балуется просто...

 

Через Arp spoofing можно сдлеать Man in the middle.

И воровать пароли.

[paki]

arp spoofing

 

Дело в том, что у нас никак не ограничивается доступ посредством проверки МАК-адреса. И смысла его подбирать никакого. Похоже кто-то балуется просто...

 

Через Arp spoofing можно сдлеать Man in the middle.

И воровать пароли.

 

А можно по-подробнее? Что такое Man in the middle и как оно работает?

[Alf]

http://www.megalib.com/books/387/060/2.htm

[paki]

Спасибо!! С проблемой разобрался, урода нашел, отрубил нах..

Кстати, все советовали

Сначала найдите свитч при отключении которого проблема исчезает, а затем вытыкайте из него по очереди юзеров.

,

но это достаточно трудоёмкий процесс, беганье по крышам 10 домов и т.д.

Как я решил задачу.

На одном из серверов у нас давно крутился скриптик, который по очереди пингует машины в сети и записывает в базу соответствие МАК-ИП. Так мы боремся со сменой Ип-адресов.

Логично предположить, что засранец, который спуфит сеть, свой адрес не трогает (видимо в проге у него не встроена защита от такого палева.. ). Смотрим, кто из юзеров за последний час НИ РАЗУ не сменил свой МАК и это будет 99% он. Как дополнительный козырь в этой игре - те, кто включены в один и тот же с ним свитч, больше всех подвержены атакам и чаще других меняют МАКи.

Проанализировав полученые данные, выдергиваем этого юзера из свитча и все становиться ОК. Подлец найден.

 

Методика скорее всего не дает 100% гарантии, но позволит достаточно точно определить спуфера.

 

Еще раз всем спасибо за предоставленную инфу.

[Alf]

Можно и так.

Просто у нас чел сначала выключал комп из сети, менял у себя mac и ip, включал фаервол и начинал хулиганить. Цепочка из свитчей у нас меньше (7 шт.), но на всех свитчах стоят лайткомовские нетпинги. Задавая на них время выключения питания равным 30 сек, был найден проблемный свитч... Так как хулиганил этот гад эпизодически, и две попытки прибежать к свитчу с ноутбуком не увенчались успехом было принято решение воткнуть в место неуправляемого свитча управляемый 3com 3300 лежавший без дела... После этого деваться новоиспечённому хакеру было некуда.

[paki]

Какие меры воздействия применили? Мы просто отрубили навсегда.

[Veskit]

http://www.megalib.com/books/387/060/2.htm

 

Либо я дурак, либо читать не умею.. :( А под винды что-нить типа arpwatch есть?

[Snake2k]

На одном из серверов у нас давно крутился скриптик, который по очереди пингует машины в сети и записывает в базу соответствие МАК-ИП. Так мы боремся со сменой Ип-адресов.

Если можно, мыльни этот скрипт на почту odiszapc@mail.ru, а ежели маленький, то можно и тут запостить. Заранее thx!

[Alf]

Какие меры воздействия применили? Мы просто отрубили навсегда.

Поскольку юзер исправно пользуется инетом (приносит явную пользу :)) выключать не стали. Ограничились 4х дневным отключением. Он признал свои ошибки. К тому же там теперь стоит 3com 3300, который как что сразу гасит порт и всё.

[paki]

Какие меры воздействия применили? Мы просто отрубили навсегда.

Поскольку юзер исправно пользуется инетом (приносит явную пользу :)) выключать не стали. Ограничились 4х дневным отключением. Он признал свои ошибки. К тому же там теперь стоит 3com 3300, который как что сразу гасит порт и всё.

 

Проблема в том, что предупреждение в данном случае - это "разрешить воровать, пока не поймают". Слухи разползаются по сети быстро, другой желающий занятся подобными действиями 100 раз подумает, прежде чем делать, если знает что может лишиться сети. А если он услышит: "Вася Пупкин сетку ломанул, его на 4 дня вырубили и потом опять включили. Да я без сети тоже 4 дня посижу, зато если повезет!!!....".

ИМХО, надо быть жестче и принципиальнее.

[terapeut]

А под винды что-нить типа arpwatch есть?

 

http://hub.ru/modules.php?name=Forums&file...0168&highlight=

[Veskit]

А под винды что-нить типа arpwatch есть?

http://hub.ru/modules.php?name=Forums&file...0168&highlight=

 

Спасибо большое. Мне уже стыдно за мою лень :(

[paki]

Если можно, мыльни этот скрипт на почту odiszapc@mail.ru, а ежели маленький, то можно и тут запостить. Заранее thx!

 

В самое ближайшее время