[buggzy]

Кто тут хотел сабдж? Он таки рождается.

 

Если кто не в курсе - arp poison - технология, позволяющая перехватывать чужой трафик, даже если машины соединены управляемыми свитчами, перехватывать пароли на ssh и много других ужасов, в возможность которых некоторые не верят, пока не увидят своими глазами :) в сети до маршрутизатора все могут слушать всех (особый привет Олимпусу, у которых, как я понял, маршрутизатор один на всех, и никакой защитой от этого не пахнет).

 

Пока что нынешняя версия программы умеет только кричать "IP такой-то переехал оттуда-то туда-то, лови хакера!!", функции типа "жаловаться админу на мыло" или "опускать интерфейс, ибо нефиг" будут в случае, если общественность сильно захочет. Так что, дорогая общественность, кто хочет - не стесняйтесь.

 

Программа задумывается как freeware или незначительно дороже, чтобы только окупить пару дней, которые на нее будут потрачены.

[Bushi]

Кто тут хотел сабдж? Он таки рождается.

 

Если кто не в курсе - arp poison - технология, позволяющая перехватывать чужой трафик, даже если машины соединены управляемыми свитчами, перехватывать пароли на ssh и много других ужасов, в возможность которых некоторые не верят, пока не увидят своими глазами :) в сети до маршрутизатора все могут слушать всех (особый привет Олимпусу, у которых, как я понял, маршрутизатор один на всех, и никакой защитой от этого не пахнет).

 

Пока что нынешняя версия программы умеет только кричать "IP такой-то переехал оттуда-то туда-то, лови хакера!!", функции типа "жаловаться админу на мыло" или "опускать интерфейс, ибо нефиг" будут в случае, если общественность сильно захочет. Так что, дорогая общественность, кто хочет - не стесняйтесь.

 

Программа задумывается как freeware или незначительно дороже, чтобы только окупить пару дней, которые на нее будут потрачены.

У нас используется привязка mac к ip на unix-сервере и привязка mac к портам на коммутаторе. Между сервером (роутером) и рабочей станцией с виндой трафик уже не перехватить, а вот между двумя машинами с виндой без проблем :(

[buggzy]

> У нас используется привязка mac к ip на unix-сервере

 

для провайдеров с юниксовой сетью проблема действительно неактуальна - им хватает arp -s

 

основная проблема возникает в локалках и у виндабазирующихся провайдеров. расскажу про одного местного, например. клиентам выданы статические адреса 10.0/16, с них они логинятся в домен НТ, а в инет ходят через pppoe. роутеров вообще нет (не считая гейта в инет), все на коммутаторах.

 

итог печален: любой с использованием arp poison (скажем, утилитой cain&abel) может снифать любого в их локалке, перехватить хеш пароля на домен, за денек его расшифровать (недавно появился новый инструмент атаки на ntlm хеши) и спокойно юзать чужой интернет. и это несмотря на свитчи с port security. и даже arp -s на этой ихней винде :) не поможет, потому что у винды совсем иное мнение насчет того, что такое статические записи.

 

впрочем, какой еще arp poison? главное - это "серьезные деловые отношения" (читай: чтобы админ не взбрыкивал, если его пошлют дорожку перед офисом подметать). isp мля :(

[Filin]

Ну насчет арп в винде не согласен. Винда не держит статических арп при перезагрузке это да. Но в остальном то если при работе прописываешь статические арп то он и становитсся статическим.

 

А недержание при перезагрузке лечится обычным батником.

[MS]

Фиг то. По крайней мере на вин2к со всеми мыслимыми и не мыслимыми последними паками и фиксами. Прописываешь кого нить например так

arp -s xxx.xxx.xxx.xxx 0:0:0:0:0:0

И что ты думаешь, тот xxx до тебя не достучится? нифига подобного. Похоже как только от него придет хоть один пакет где есть пара "его МАС"-"его IP" - винда тут же переписывает эту статическую запись, причем дура оставляет ее теперь статической.

[Filin]

Надо будет проверить

[Bushi]

Ну насчет арп в винде не согласен. Винда не держит статических арп при перезагрузке это да. Но в остальном то если при работе прописываешь статические арп то он и становитсся статическим.

 

А недержание при перезагрузке лечится обычным батником.

 

Нифига подобного. Static arp по-микрософтовски - это означает, что если прописан статический адрес, то он статичен до тех пор, пока машина не перезагрузится, администратор не поменяет адрес или не придет arp ответ. То есть если есть статическая запись, то винда не применяет arp для поиска mac-адреса, но меняет запись по первому arp-ответу (даже если сама не спрашивала). Можешь проверить.

[stb]

2Bushi MS дело сказал. Обпроверялись уж.

 

по теме

 

"Пока что нынешняя версия программы умеет только кричать "IP такой-то переехал оттуда-то туда-то, лови хакера!!""

 

Существует множество версий arpwatch под win32, и opensource тоже.

Более того, кто мне расскажет как "кричать" может осуществить "защита от arp poisoning под win32" звучит конечно же предельно громко, особенно топик.

[unrealvladisla]

> перехватить хеш пароля на домен, за денек его расшифровать (недавно появился новый инструмент атаки на ntlm хеши) и спокойно юзать чужой интернет.

 

ntlm и раньше за сутки вскрывался. Ты вот керберос за денёк вскрой :))