paki Опубликовано 4 февраля, 2005 · Жалоба Сеть состоит примерно из 100 хостов. Собрана на обычных свитчах Dlink. Обнаружилась следующая проблема. Самопроизвольно меняются мак-адреса хостов, айпишники при этом не меняются. Причём мак-адреса, если смотреть по таблице, совершенно случайные и каждый раз новые. Причём, если с одной машины, в арп-таблицу которой уже попали эти искаженные мак-адреса, попробовать пропинговать любой из айпи-адресов с этим искаженным маком, пинг проходит. Если со второй машины пингануть этот же айпи, и после этого посмотреть в таблицу арп на этой второй машине, то мак будет другой, правильный. Тем не менее, дело не в первой машине, так как искажение маков в таблице может произойти на любом компе. Все эти искажения пропадают, если отключить физически одну из веток сети, то есть причина кроется именно в ней. Но при включенной ветке искажение маков затрагивают не только ту ветку , а всю сеть. В чём может быть дело ? Глюк ли это какого-либо свитча, либо хоста, либо злонамеренная программа ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roman Ivanov Опубликовано 4 февраля, 2005 · Жалоба arp spoofing Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alf Опубликовано 4 февраля, 2005 · Жалоба Искать засранца... И как можно быстрее. Как найдёте руки откручивать. Сначала найдите свитч при отключении которого проблема исчезает, а затем вытыкайте из него по очереди юзеров. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
paki Опубликовано 4 февраля, 2005 · Жалоба arp spoofing Дело в том, что у нас никак не ограничивается доступ посредством проверки МАК-адреса. И смысла его подбирать никакого. Похоже кто-то балуется просто... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Roman Ivanov Опубликовано 4 февраля, 2005 · Жалоба arp spoofing Дело в том, что у нас никак не ограничивается доступ посредством проверки МАК-адреса. И смысла его подбирать никакого. Похоже кто-то балуется просто... Через Arp spoofing можно сдлеать Man in the middle. И воровать пароли. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
paki Опубликовано 4 февраля, 2005 · Жалоба arp spoofing Дело в том, что у нас никак не ограничивается доступ посредством проверки МАК-адреса. И смысла его подбирать никакого. Похоже кто-то балуется просто... Через Arp spoofing можно сдлеать Man in the middle. И воровать пароли. А можно по-подробнее? Что такое Man in the middle и как оно работает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alf Опубликовано 4 февраля, 2005 · Жалоба http://www.megalib.com/books/387/060/2.htm Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
paki Опубликовано 5 февраля, 2005 · Жалоба Спасибо!! С проблемой разобрался, урода нашел, отрубил нах.. Кстати, все советовали Сначала найдите свитч при отключении которого проблема исчезает, а затем вытыкайте из него по очереди юзеров., но это достаточно трудоёмкий процесс, беганье по крышам 10 домов и т.д. Как я решил задачу. На одном из серверов у нас давно крутился скриптик, который по очереди пингует машины в сети и записывает в базу соответствие МАК-ИП. Так мы боремся со сменой Ип-адресов. Логично предположить, что засранец, который спуфит сеть, свой адрес не трогает (видимо в проге у него не встроена защита от такого палева.. ). Смотрим, кто из юзеров за последний час НИ РАЗУ не сменил свой МАК и это будет 99% он. Как дополнительный козырь в этой игре - те, кто включены в один и тот же с ним свитч, больше всех подвержены атакам и чаще других меняют МАКи. Проанализировав полученые данные, выдергиваем этого юзера из свитча и все становиться ОК. Подлец найден. Методика скорее всего не дает 100% гарантии, но позволит достаточно точно определить спуфера. Еще раз всем спасибо за предоставленную инфу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alf Опубликовано 5 февраля, 2005 · Жалоба Можно и так. Просто у нас чел сначала выключал комп из сети, менял у себя mac и ip, включал фаервол и начинал хулиганить. Цепочка из свитчей у нас меньше (7 шт.), но на всех свитчах стоят лайткомовские нетпинги. Задавая на них время выключения питания равным 30 сек, был найден проблемный свитч... Так как хулиганил этот гад эпизодически, и две попытки прибежать к свитчу с ноутбуком не увенчались успехом было принято решение воткнуть в место неуправляемого свитча управляемый 3com 3300 лежавший без дела... После этого деваться новоиспечённому хакеру было некуда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
paki Опубликовано 5 февраля, 2005 · Жалоба Какие меры воздействия применили? Мы просто отрубили навсегда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Veskit Опубликовано 5 февраля, 2005 · Жалоба http://www.megalib.com/books/387/060/2.htm Либо я дурак, либо читать не умею.. :( А под винды что-нить типа arpwatch есть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Snake2k Опубликовано 5 февраля, 2005 · Жалоба На одном из серверов у нас давно крутился скриптик, который по очереди пингует машины в сети и записывает в базу соответствие МАК-ИП. Так мы боремся со сменой Ип-адресов. Если можно, мыльни этот скрипт на почту odiszapc@mail.ru, а ежели маленький, то можно и тут запостить. Заранее thx! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alf Опубликовано 5 февраля, 2005 · Жалоба Какие меры воздействия применили? Мы просто отрубили навсегда. Поскольку юзер исправно пользуется инетом (приносит явную пользу :)) выключать не стали. Ограничились 4х дневным отключением. Он признал свои ошибки. К тому же там теперь стоит 3com 3300, который как что сразу гасит порт и всё. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
paki Опубликовано 6 февраля, 2005 · Жалоба Какие меры воздействия применили? Мы просто отрубили навсегда. Поскольку юзер исправно пользуется инетом (приносит явную пользу :)) выключать не стали. Ограничились 4х дневным отключением. Он признал свои ошибки. К тому же там теперь стоит 3com 3300, который как что сразу гасит порт и всё. Проблема в том, что предупреждение в данном случае - это "разрешить воровать, пока не поймают". Слухи разползаются по сети быстро, другой желающий занятся подобными действиями 100 раз подумает, прежде чем делать, если знает что может лишиться сети. А если он услышит: "Вася Пупкин сетку ломанул, его на 4 дня вырубили и потом опять включили. Да я без сети тоже 4 дня посижу, зато если повезет!!!....". ИМХО, надо быть жестче и принципиальнее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terapeut Опубликовано 6 февраля, 2005 · Жалоба А под винды что-нить типа arpwatch есть? http://hub.ru/modules.php?name=Forums&file...0168&highlight= Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Veskit Опубликовано 6 февраля, 2005 · Жалоба А под винды что-нить типа arpwatch есть? http://hub.ru/modules.php?name=Forums&file...0168&highlight= Спасибо большое. Мне уже стыдно за мою лень :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
paki Опубликовано 6 февраля, 2005 · Жалоба Если можно, мыльни этот скрипт на почту odiszapc@mail.ru, а ежели маленький, то можно и тут запостить. Заранее thx! В самое ближайшее время Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...