Jump to content

Блокрировка по MAC

Popsodav
 Share

Recommended Posts

Popsodav

Popsodav

Posted
Posted

Слышал, что можно применить такой механизм для блокировки в сети не нужных пользователей (если нет управляемых свитчей):

При ARP запросе на возможность занять какой-то айпи адрес, одна машина в сети будет некоторым MAC'ам (которые как раз нам не нужны) всегда отвечать, что этот адрес занят.

Собственно интересует, есть ли уже готовая софтовая реализация такого механизма и есть ли в ней смысл вообще? :-)

GateKeeper

GateKeeper

Posted
Posted

1. механизм есть (FreeBSD kernel)

2. смысл до поры до времени только будет

 

Вообще, было бы неплохо заиметь мышеловку для ARP. Представьте: у него есть список всех запрещенных IP и список разрешенных. Во время работы периодически сканирует присутствие разрешенных. В момент запроса на запрещенный IP включается скан этого адреса. Через некоторое время - если скан не прошёл снова прекращать. Далее можно статистически выловить уродца: был валидный ип такой-то, он исчез, но появился невалидный такой-то, он потом тоже исчез, но вернулся валидный.

 

Техника не 100%, но киддисов отловить можно. А "сурьезных" ребят и так будет практически невозможно выловить, только железку кним на кабель сажать.

EvilShadow

EvilShadow

Posted
Posted

Вообще, было бы неплохо заиметь мышеловку для ARP. Представьте: у него есть список всех запрещенных IP и список разрешенных. Во время работы периодически сканирует присутствие разрешенных. В момент запроса на запрещенный IP включается скан этого адреса. Через некоторое время - если скан не прошёл снова прекращать. Далее можно статистически выловить уродца: был валидный ип такой-то, он исчез, но появился невалидный такой-то, он потом тоже исчез, но вернулся валидный.

Практически такой же механизм работы arpwatch. Блокировать не блокирует, но выловить несложно.

v-m-k

v-m-k

Posted
Posted

Я написал на C, под Unix свою версию ipprotect. При загрузке может брать базу из файла или из mysql, затем ловит все ff:ff:ff:ff:ff:ff, далее сравнивает правильность пришедшего и если чо не нравится аттакует. Пока только говорит аля адрес занят, в планах полное порченье mac таблицы злодею, т.к. всяким nixam что занято что нет по барабану :) А вот второй случай им будет очень не нравится...

 

Вроде работает уже месяца 2... Если оч надо могу вывалить, только очень сырая собирается сложно, или бинарик могу дать :)

v-m-k

v-m-k

Posted
Posted

Ни ipsentinel ни ipguard не понравились... (как то странно оно работало) и не делало нужный функционал.

1. Моя смотрит и пишет в базу кто online (по приходу пакета ff:ff:ff:ff:ff:ff)

2. Находит новичков (если раньше их не знал)

3. Противодействует преступникам.

v-m-k

v-m-k

Posted
Posted (edited)

Сеть грузит, моя то отвечает тогда когда спрашивают.

P.S. Выбивает тоже хорошо, но подмену mac-ip к сожалению никто не отменял :(

Edited by v-m-k
АртемКа

АртемКа

Posted
Posted (edited)

Таблицу же все-равно надо держать хотя бы на раздающем шлюзе. У меня например крендели меняли себе IP, перелогинились в чате, писали всякие слова нехорошие, ловил на системной консоли, ругал. Теперь просто не пишут- не могут :)

Edited by АртемКа
v-m-k

v-m-k

Posted
Posted

Можно всё пропускать через мост, у которого и будет таблица правильная... Соответственно подмена IP им не поможет, единственное если сетка большая, это будет очень серьёзный мост...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.