Nag Опубликовано 15 июня, 2004 · Жалоба #181. Разное. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Larrikin Опубликовано 16 июня, 2004 · Жалоба Небольшое письмо от Romana Y. Bogdanova:... Сегодня обнаружил интересную штуку для FreeBSD начиная с 4.10 (стабильная ветка). В ней появилась замечательная возможность настройки интерфейсов для homenet провайдеров. Режим, когда интерфейс отвечает только на те адреса, которые статически записаны в ARP таблицу машины. Вот кусок из ifconfig: staticarp If the Address Resolution Protocol is enabled, the host will only reply to requests for its addresses, and will never send any requests. -staticarp If the Address Resolution Protocol is enabled, the host will per- form normally, sending out requests and listening for replies. поподробнее можно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andrewk Опубликовано 18 июня, 2004 · Жалоба подробнее - vi /etc/rc.conf ищете строчки типа ifconfig_xl0="inet 192.168.1.1 netmask 255.255.255.0" и добавляете в них staticarp. После этого создаете в каталоге /usr/local/etc/rc.d файл arp.sh с примерно следующим содержимым: #!/bin/sh arp -s 192.168.1.2 00:00:00:00:00:00 # Vasya arp -s 192.168.1.3 11:11:11:11:11:11 # Petya После этого перезагружаете маршрутизатор или если перезагружать не хочется, то запускаете просто файлик /usr/local/etc/rc.d/arp.sh и говорите ifconfig xl0 +staticarp. В результате пользователь Vasya никогда в жизни не сможет себе назначить ip-адрес пользователя Petya, или если точнее - он не сможет с этип ip-адресом пройти дальше маршрутизатора. Клиенты довольны, кул хацкеры в унынии. Voila. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 18 июня, 2004 · Жалоба А MAC-адрес входящих пакетов при этом проверяется? Схемка атаки очень простая, нужно только чтобы комп, чей IP будем красть, был выключен 1. Посылается ping с любым MAC'ом от имени нужного IP. 2. Маршрутизатор отвечает на записанный у него MAC. 3. Поскольку комп выключен и его МАС забыт свитчами, этот пакет пойдёт на все порты всех свитчей. 4. Тут мы и ловим указанный MAC, ставим его себе и воруем Инет! Если же атакуемый комп включен, то ещё проще - берём его IP/MAC из таблицы ARP (по пингу эта таблица замечательно заполняется, даже если на него не отвечают), записываем, и как он выключается - воруем Инет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andrewk Опубликовано 18 июня, 2004 · Жалоба UglyAdmin, боюсь от подмены mac-адреса еще не придумали защиты. по крайней мере, не встречал Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Horgi Опубликовано 19 июня, 2004 · Жалоба UglyAdmin, боюсь от подмены mac-адреса еще не придумали защиты. по крайней мере, не встречал ну почему-же? вот например на порту старенького кошко-свича: port security max-mac-count 1 port block unicast port block multicast замена абонентской карточки после этого конечно только с уведомлением провайдера, но зато надежно как танк. + всякие шторм-контроли, рутгуарды. + приват влан эдж вкупе с локал-прокси-арп на рутере много как можно извратиться над изначальным эзернетом, до конца правда еще не все заткнули, но вполне близки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 20 июня, 2004 · Жалоба вот например на порту старенького кошко-свича: На управляемых свитчах - нехрен делать. Речь идёт о том, чтобы на порту АКОРП-свитча за $15. Причём все свитчи в сети именно такие :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Horgi Опубликовано 20 июня, 2004 · Жалоба вот например на порту старенького кошко-свича: На управляемых свитчах - нехрен делать. Речь идёт о том, чтобы на порту АКОРП-свитча за $15. Причём все свитчи в сети именно такие :) так и я про то-же. халявы не бывает. вопрос был про принципиально. впрочем про нехрен делать тож погорячились. естественных дырок от технологии даже на кошках еще есть. лечится только мультисервисностью от порта, подорого ес-нно - у кошки это конга, пока глюкавая весьма и со своими лимитами. да, кстати тут наткнулся на телекомфоруме на статейку про фаствеб. оказываетца этот образцово-показательный эзер-провайдер на дсль повернул... :( оправдание правда - жесткие стандарты телекома на абон-линии, что позволяет достичь хорошей скорости и стабильности на дсле... а какой флаг был - еттх и волокно в кажный хоум. :(( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andrewk Опубликовано 21 июня, 2004 · Жалоба Horgi, прошу прощения - Вы правы :) я просто стормозил - сам примерно так и поступаю с клиентами :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...