Voltsifer Posted January 15, 2004 Posted January 15, 2004 Беру генератор ARP. И шлю левый ARP-пакет: IP реальный (IP1), а МАС левый. Поскольку сеть построена на свитчах - свитч на котором сидел IP1 забывает е его сущестовании и некоторое мвремя не шлет ему вообще ничего. Если IP1 - серв (у меня Win 2000 Server) - отрубается на 5-20 минут. В условиях домашней сети (200 чел) если кто узнает об этолм способе - серв будет постоянно отрубаться... :( Как можно бороться? Вставить ник Quote
Roman Ivanov Posted January 15, 2004 Posted January 15, 2004 фильтрация на switch'ах по MAC Вставить ник Quote
Voltsifer Posted January 15, 2004 Author Posted January 15, 2004 Логично конечно... Но должны же быть и программые варианты.... Вставить ник Quote
Atomic Posted January 16, 2004 Posted January 16, 2004 IP-sentinel На ложный ARP пакет отвечает правильным арпом. Вставить ник Quote
Alba Posted January 16, 2004 Posted January 16, 2004 практически та-же проблема... домашняя сеть, роутер на линуксе... если кто-то из клиентов вписывает себе ip-шник сервера, то, линукс молча отдаёт свой адрес... винда-то хоть ругается, а вот линух молчит :( ip-sentinel меня спасёт, или это немного не то? ;) Вставить ник Quote
Atomic Posted January 16, 2004 Posted January 16, 2004 IP-sentinel+arpwatch+независимость от IP (vpn или pppoe) Спасут обязательно. Вставить ник Quote
Alba Posted January 16, 2004 Posted January 16, 2004 независимость от IP (vpn или pppoe) гм... это как? инет-то понятно... но, проблема даже не в падении инета, а в доступе к самому серверу (самба (файл сервер) + ещё всякие разные сервисы)... опять же, речь идёт не о выявлении нарушителя (его и так будет видно, если посмотреть с любой клиентской машины mac-"серверного" айпишника... речь идёт о том,чтоб на винде "кривого клиента", вписавшего по ошибке серверный айпи, банально выскакивало окошко "айпишник который вы ввели занят другой машиной" (или как там оно по-русски выглядит ;)) Вставить ник Quote
Atomic Posted January 16, 2004 Posted January 16, 2004 Если у вас сеть офиса - давать по ушам нарушителям со штрафами. Нефиг лазить в настройки сети. Если это домовая сеть - нафиг самбу, поставить vpn+ftp+разные другие сервисы Или вы еще со сниффингом не сталкивались??? Вставить ник Quote
Atomic Posted January 16, 2004 Posted January 16, 2004 опять же, речь идёт не о выявлении нарушителя (его и так будет видно, если посмотреть с любой клиентской машины mac-"серверного" айпишника... Это у вас нарушители глупые. А если предварительно поменять MAC адрес своей карты? Да еще и на MAC одного из клиентов, которого сейчас нет в сети??? А потом пакостить. Отключать всех подряд? Так он каждый раз под другого клиента косит. Так всех отключить можно. Это реальная ситуация, размышляю над ее решением уже давненько. Выход - vpn или pppoe. Они не перехватывается по MAC адресу. И все ресурсы заточить под IP, никаких самб. Вставить ник Quote
Alba Posted January 16, 2004 Posted January 16, 2004 блин, ну вы смешные... или, я неправильно объясняю (скорее - второе :) ладно... забыли про самбу... подняли VPN... кто-то по тупости в настройках сети пишет шлюз/днс/свой_айпи - айпишник сервера... всё... все ваши vpn-ы, pppoe, pptp, ftp, разные другие сервисы будут недоступны... (а клиенты vpn-а будут пытаться ломиться на машину тупого юзера...)... как избежать этого? как заставить линукс "не бросать" просто так свой айпишник? (так, как не отдаёт его винда)... Вставить ник Quote
Atomic Posted January 16, 2004 Posted January 16, 2004 Стоп-стоп. Не скажу насчет vpn, но вот pppoe кладет на все настройки IP. Он по своему собственному протоколу работает. На сервере даже адрес на интерфейсе поднимать не надо, только сам интерфейс. А вообще - вопрос действительно интересный. Вставить ник Quote
tester Posted January 16, 2004 Posted January 16, 2004 pppoe кладет на все настройки IP. Он по своему собственному протоколу работает. Что, правда? Вы про модель OSI когда-нибудь слышали? Почитайте раздел о канальном уровне. Тогда поймете, что pppoe, никоим образом не поможет против arp-poisoning Вставить ник Quote
Alba Posted January 17, 2004 Posted January 17, 2004 pppoe кладет на все настройки IP гы... а как тогда он (ppрoe client) поступит, если в одном сегменте сети два pppoe сервера? ;) Вставить ник Quote
Atomic Posted January 17, 2004 Posted January 17, 2004 ага, или три-четыре-пять. он мервера по имени сервиса различает. Если у вас узеры настолько обнаглели, что сервера доступа запускают - отключать... Вставить ник Quote
tester Posted January 17, 2004 Posted January 17, 2004 ага, или три-четыре-пять.он мервера по имени сервиса различает. Если у вас узеры настолько обнаглели, что сервера доступа запускают - отключать... Хватити вводить в заблуждение народ, если ты сам еще не понял что неправ, тогда опиши передачу одного пакето от сервера pppoe к клиенту, опускаясь все ниже и ниже по подели OSI. А pppoe сервер вполне может быть нужем самим юзерам в полне объяснимых целях. У нас к сети подключены организации, а также некоторе люди в них работающие, почему бы им не поднять у себя vpn, для более безопасной передачи данных по сети? Вставить ник Quote
Vladislav Posted January 18, 2004 Posted January 18, 2004 Как вариант - использование свичей(layer2 to 4?) что бы все ARP-запросы типа "Who has ip1 tell to mac2" заворачивались на сервер(рутер) который бы и посылал правильные ARP-ответы... Вопрос - какая железка это умеет делать? Вставить ник Quote
AlexPan Posted January 22, 2004 Posted January 22, 2004 Я смотрю тут собрались большие специалисты по PPPoE... Кстати в расшифровке означает PPP over Ethernet. Для тупых перевожу: организация PPP тунеля поверх Ethernet. В ethernet нет IP и даже ARP. Клиент PPPoE кидает в ethernet сегмент бродкаст пакет "кто тут даст мне сервис, мое имя Пупкин". Если сервер знает "Пупкина", то дает ответ и дальше идет подключение. Авторизация может идти по chap, т.е. пароли шифруются. Вернее там не пароли шифруются, а немногу по другому происходит. Мне не хочется тут всю теорию описывать... Так что можно иметь в сети несколько PPPoE серверов и все будет хорошо. Вставить ник Quote
UglyAdmin Posted January 23, 2004 Posted January 23, 2004 pppoe кладет на все настройки IP гы... а как тогда он (ppрoe client) поступит, если в одном сегменте сети два pppoe сервера? ;) Есть такое понятие в PPPoE, как имя сервиса. Прописывается в клиенте, как номер телефона. Клиент получает ответы от всех серверов и по имени выбирает нужный. Уязвимости тут никакой нет - пароль можно согласовывать по CHAP, так что злоумышленник, поставивший свой сервер, пароля не узнает. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.