Перейти к содержимому
Калькуляторы

#181. Разное.

Небольшое письмо от Romana Y. Bogdanova:

... Сегодня обнаружил интересную штуку для FreeBSD начиная с 4.10 (стабильная ветка). В ней появилась замечательная возможность настройки интерфейсов для homenet провайдеров. Режим, когда интерфейс отвечает только на те адреса, которые статически записаны в ARP таблицу машины.

 

Вот кусок из ifconfig:

 

staticarp If the Address Resolution Protocol is enabled, the host will only reply to requests for its addresses, and will never send any requests.

 

-staticarp If the Address Resolution Protocol is enabled, the host will per- form normally, sending out requests and listening for replies.

поподробнее можно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

подробнее -

vi /etc/rc.conf

ищете строчки типа ifconfig_xl0="inet 192.168.1.1 netmask 255.255.255.0" и добавляете в них staticarp. После этого создаете в каталоге /usr/local/etc/rc.d файл arp.sh с примерно следующим содержимым:

 

#!/bin/sh

 

arp -s 192.168.1.2 00:00:00:00:00:00 # Vasya

arp -s 192.168.1.3 11:11:11:11:11:11 # Petya

 

После этого перезагружаете маршрутизатор или если перезагружать не хочется, то запускаете просто файлик /usr/local/etc/rc.d/arp.sh и говорите ifconfig xl0 +staticarp.

В результате пользователь Vasya никогда в жизни не сможет себе назначить ip-адрес пользователя Petya, или если точнее - он не сможет с этип ip-адресом пройти дальше маршрутизатора. Клиенты довольны, кул хацкеры в унынии. Voila.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А MAC-адрес входящих пакетов при этом проверяется?

 

Схемка атаки очень простая, нужно только чтобы комп, чей IP будем красть, был выключен

1. Посылается ping с любым MAC'ом от имени нужного IP.

2. Маршрутизатор отвечает на записанный у него MAC.

3. Поскольку комп выключен и его МАС забыт свитчами, этот пакет пойдёт на все порты всех свитчей.

4. Тут мы и ловим указанный MAC, ставим его себе и воруем Инет!

 

Если же атакуемый комп включен, то ещё проще - берём его IP/MAC из таблицы ARP (по пингу эта таблица замечательно заполняется, даже если на него не отвечают), записываем, и как он выключается - воруем Инет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

UglyAdmin, боюсь от подмены mac-адреса еще не придумали защиты. по крайней мере, не встречал

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

UglyAdmin, боюсь от подмены mac-адреса еще не придумали защиты. по крайней мере, не встречал

ну почему-же?

вот например на порту старенького кошко-свича:

port security max-mac-count 1

port block unicast

port block multicast

 

замена абонентской карточки после этого конечно только

с уведомлением провайдера, но зато надежно как танк.

 

+ всякие шторм-контроли, рутгуарды.

+ приват влан эдж вкупе с локал-прокси-арп на рутере

много как можно извратиться над изначальным эзернетом,

до конца правда еще не все заткнули, но вполне близки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот например на порту старенького кошко-свича:

На управляемых свитчах - нехрен делать.

Речь идёт о том, чтобы на порту АКОРП-свитча за $15. Причём все свитчи в сети именно такие :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот например на порту старенького кошко-свича:

На управляемых свитчах - нехрен делать.

Речь идёт о том, чтобы на порту АКОРП-свитча за $15. Причём все свитчи в сети именно такие :)

так и я про то-же. халявы не бывает. вопрос был про принципиально.

впрочем про нехрен делать тож погорячились.

естественных дырок от технологии даже на кошках еще есть.

лечится только мультисервисностью от порта, подорого ес-нно - у кошки это конга, пока глюкавая весьма и со своими лимитами.

да, кстати тут наткнулся на телекомфоруме на статейку про фаствеб. оказываетца этот образцово-показательный эзер-провайдер на дсль повернул... :(

оправдание правда - жесткие стандарты телекома на абон-линии, что позволяет достичь хорошей скорости и стабильности на дсле...

а какой флаг был - еттх и волокно в кажный хоум. :((

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Horgi, прошу прощения - Вы правы :) я просто стормозил - сам примерно так и поступаю с клиентами :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.