Jump to content

как сделать, чтобы win2k ни посылал, ни принимал ARP?

Larrikin
 Share

Recommended Posts

Larrikin

Larrikin

Posted
Posted

мой мак жестко прописан на роутере (собственно, туда можно вписать любой)

мак роутера я могу вписать жестко через arp -s

вопрос - как запретить моей машине посылать и отвечать на любые ARP запросы, что мой мак оставался, грубо говоря, тайной между мной и роутером?

 

таким образом надеюсь затруднить использование атак на меня ARP SPOOFING и ARP POISONING (если не спутал названия), то есть когда в сети работает мой дубликат с моим маком и ip, или когда мне отравляют кеш arp и переводят трафик с роутера на хакера...

 

я понимаю, что это можно обойти при желании, просто не хочется, чтобы это было так просто, как набрать ping и arp -a

Larrikin

Larrikin

Posted
  • Author
Posted
Мак-адрес содержится в любом tcp пакете, так что внутри сети твой мак узнать не составит проблем. И это никак не запретить.

это если сеть на хабах - у меня на свичах... к тому же, чтобы выдрать мак надо уметь заставить свичи становиться хабами и уметь пользоваться снифером... это уже гораздо более сложно, чем уметь набрать ping

 

так что вопрос остается в силе - как убить посылку и получение arp на win2k?

mr.Scamp

mr.Scamp

Posted
Posted

Firewall фунциклирует на более высоком уровне сетевой модели OSI.

По крайней мере, большинство виндовых файрволов работают именно так.

Nallien

Nallien

Posted
Posted

хабы или свитчи - это не имеет значения В КАЖДОМ пакете есть мак твоей машине. единственный способ не дать его узнать никому - заблокировать ВСЕ внешние соединения, кроме как с серваком. но даже в таком случае - можно зафлудить свитч, который возле сервака, притвориться серваком - и узнать твой мак... а вообще - бред. зачем вдруг мак свой прятать ? привязка по нему на ссш или еще что ?

 

как говориться - сто бед - один ответ: управляемые комутаторы.

Shiva

Shiva

Posted
Posted

mr.Scamp,

Firewall фунциклирует на более высоком уровне сетевой модели OSI

Не правельный у вас фаервол :)

Programmer

Programmer

Posted
Posted
хабы или свитчи - это не имеет значения В КАЖДОМ пакете есть мак твоей машине

свитч устанавливает "виртуальное соединение" между двумя портами - источника и назначения, и, если пакет идет к маршрутизатору, то на другие порты он не попадет. Так что это, все-таки, имеет значение. Про закрыть все локальные соединения, кроме как с серваком - это да, но вот ARP-запросы запретить файрволом... Про виндовые файрволы ничего не скажу (не имел с ними дело), но вот юниксовый iptables, например, этого не умеет. Как раз из-за разных уровней модели osi. В юниксах это делается на этапе настройки интерфейса (командой ifconfig). Что-то мне подсказывает, что запрещать ответы на ARP-запросы должен уметь в первую очередь драйвер сетевой карты.

Programmer

Programmer

Posted
Posted
Larrikin, нет, примера нету. Это лишь мои предположения. Раз ARP на одном уровне с мак адресом, то и устанавливаться это свойство должно там, где устанавливается мак адрес - в свойствах сетевой карты. Еще раз повторяю, что это только предположение.
LostSoul

LostSoul

Posted
Posted
Про виндовые файрволы ничего не скажу (не имел с ними дело), но вот юниксовый iptables, например, этого не умеет. Как раз из-за разных уровней модели osi. В юниксах это делается на этапе настройки интерфейса (командой ifconfig). Что-то мне подсказывает, что запрещать ответы на ARP-запросы должен уметь в первую очередь драйвер сетевой карты.

 

В iptables есть множество модулей, работающих с MAC-адресами.

например модуль проверки mac -источника и mac - получателя пакетов, а так-же соответствия пары mac/ip.

Модулей для фильтрации arp действительно к iptables не встречал.

Использую для этой цели ebtables.

 

Драйвер сетевой карты совсем никак к arp не относиться.

Единственное что зависит от драйвера - это аппаратный "захват" мультикаст-пидов, задействование аппаратной проверки контрольных сумм и аппаратного IPSEC в навороченных дорогих адаптерах.

 

Например для intel-адаптеров навороченных драйвера нынче не поддерживают под линукс многие вкусности.

Barsick

Barsick

Posted
Posted
вопрос - как запретить моей машине посылать и отвечать на любые ARP запросы, что мой мак оставался, грубо говоря, тайной между мной и роутером?

Зарезать все бродкасты аппаратно, свичем, умеющим это делать. Самый дешевый вариант - PS2216, или, м.б. SCH500W

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.