Jump to content

Подмена MAC-адреса

alexpro
 Share

Recommended Posts

alexpro

alexpro

Posted
Posted

Прочитал тему о проблемах в неуправляемых сетях, и решил, что мой вопрос несколько выходит за рамки упомянутой темы... Посему решил отрыть отдельную.

 

У нас молодая, но уже достаточно внушительная Ethernet сеть (построена кабелем П-296 и обычными неуправляемыми свитчами). 300 юзеров, покрытие примерно 2 на 3 км, 80 свитчей. Никакого дополнительного ПО на комп юзера не устанавливается. Я понимаю, что подобная организация не выдерживает никакой критики и т.д., и надеюсь, что обсуждаться это не будет :)

 

Завелся у нас один нехороший товарищ, который занимается подменой MAC-адреса. При таком огромном сегменте вычислить конкретного деятеля весьма сложно. Вот хотелось бы спросить более опытных ethernet провайдеров, не приходилось ли кому-либо решать подобные задачи? Буду очень благодарен за помощь.

ush

ush

Posted
Posted

делить сеть на сегменты, если нужно искать товарища. ну или поочередно выключать свичи. но это лечение последствий.

 

а способы решения проблемы уже обговаривались. pppoe, vpn, свичи с привязкой на порту.

alcool

alcool

Posted
Posted

бюджетный вариант - поднятие пптп сервера.

хотя если хотите брать абонентку, а не только деньги за инет - надо двигаться в сторону управляемости.

Nallien

Nallien

Posted
Posted

хм.... да... ловить такое - что иголку в стоге... как вариант - можно настрахать всех. возможно и этого спугнет... или заставить поставить файрволы... поголовно всех :) и закрыть пинги... тогда злоумышленник не сможет определить, что в сети нету жертвы... и попадется... а уж если винда не скажет нужных данных, тогда - какую-нить другу прогу... а вообще - биоинженеринг. сьест кучу времени, но более точный результат.

 

тобишь - следить куда какой пользователь ходит. тут пользователь жалуется, что у него "украли", идем и смотрим куда ходил и что делал вор... ищем аналогичное у других товарищей... определение по контенту, стилю музыки... вариантов много. но вывод один - управляемые свитчи или ppoe.

Rewop

Rewop

Posted
Posted
хм.... да... ловить такое - что иголку в стоге... как вариант - можно настрахать всех. возможно и этого спугнет... или заставить поставить файрволы... поголовно всех :) и закрыть пинги... тогда злоумышленник не сможет определить, что в сети нету жертвы... и попадется...

Фантастика какая-то.

arp -d IP

ping IP

arp -an | grep IP

 

если запись есть, жертва в сети.

фаер не блочит arp протокол (иначе и сеть не будет работать), а очень уязвим практически во всех система (за исключением наверно солярки).

Nallien

Nallien

Posted
Posted

да ну бростье :) под окошками скорее всего да, но мы же и предполагаем что злоумышленник оконного уровня ? в таком случае жертва тоже на пингвине и ifconfig eth0 -arp :))) в целом работать конечно будет весело :))) повторяюсь - тунелирование или примязка мака на порт.

 

ну а поповоду

 

arp -d IP

ping IP

arp -an | grep IP

 

что же это даст на свитче ? ну устроим к томуже арп флуд - ладно, а если не на однгом свитче ? тогда без контакта на машину злоумышленника пользователь ему арп не даст... нк понятно, что он его сможет получить инициализировав коннект, но вот для этого и нужны логи файрвола (на потом)... собственно - люди ошибаются. всегда. просто подождать ошибки.

Rewop

Rewop

Posted
Posted
да ну бростье :) под окошками скорее всего да, но мы же и предполагаем что злоумышленник оконного уровня ? в таком случае жертва тоже на пингвине и ifconfig eth0 -arp :))) в целом работать конечно будет весело :))) повторяюсь - тунелирование или примязка мака на порт.

 

С -arp уж врядли что-то будет вообще работать. На шлюзе и статических записей достаточно, только не об этом сейчас.

 

ну а поповоду  

 

arp -d IP  

ping IP  

arp -an | grep IP

 

что же это даст на свитче ? ну устроим к томуже арп флуд - ладно, а если не на однгом свитче ? тогда без контакта на машину злоумышленника пользователь ему арп не даст... нк понятно, что он его сможет получить инициализировав коннект, но вот для этого и  нужны логи файрвола (на потом)... собственно - люди ошибаются. всегда. просто подождать ошибки.

 

Причём тут свитч. просто будет известен физический адрес жертвы и присутствие.

По arp протоколу подсеть можно завалить за 1 минуту, на свитчах без привязки мака к порту вычислить вредителя будет сложно. Тут уже не столько в краже инета дело, сколько в работоспособности сегмента или целой сети, если она одноранговая.

И что покажет фаервол ? я ставлю тотже ип и тот же мак.

Nallien

Nallien

Posted
Posted

я так и не понял момент с тем каким именно образом, злоумышленник узнает мак жертвы, при выключеном компутере. ну скажем если на пинги отвечать не будет - то можно тысячу и другим способом узнать НО для этого - насколько подсказывают мне мои скромные знания - должени инициироваться запрос, пусть даже самый простой. так вот, некоторый фарволы (вообще-то я думаю что сейчас уже многие) - логинят ВСЕ что происходит с машиной, в особенности новые соединения. если у пользователя жертвы нет ресурсов к которым он предоставляет доступ - такое соединение должно вызвать вопрос. ну и само собою - послужит лишним следом после какого-то неприятного проишествия. тобишья хочу сказать - что плохой_парень не подозревает что его жертва на самом деле в сети (обычно это проверяют пингом на ай-пи жертвы, который у нас как раз заблокирован). ну и после включения плохого_парня с новыми ай-пи и маком - на машине-жертве останется след, ну или если подстроить - запустится нужное приложение.

 

это конечно если он не отключит бродкасты с арп рассылками и еще пару-троку исходящих соединений...

 

короче - харош флеймить мне :) человеку вроде все варианты подсказали. если есть желания продолжить разговор - велькам на мыло.

Mancubus

Mancubus

Posted
Posted

Внему свои 5 копеек

Подменный МАКIP можно найти с помощью утилиты ARPING будут приходить 2-е ответы. А искать дейтсвительно сложно =(

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.