Efim Posted October 24, 2014 · Report post Уважаемый Народ! В виду того, что развилось полным полно различного софта по взлому сетей, и автор под ником DesignerMix выложивший на youtube инструктаж соответствующей публики материалами по ARP-атаке. (Первый же пойманный мной "Атакер" показал на видео именно от пользователя DesignerMix, и второй тоже). Здесь же резонно поднять вопрос о конкретной защите наших маршрутизаторов от различного рода софта таких как Kali Linux, Wireshark и т.д. Так как автор ограничился объяснением защиты конечных пользователей плагинами и анпроксями дабы бросить пыль в глаза, проблема на много обширна и бьет по репутации провайдеров перед пользователями, и если мы будим давать такие советы нашим клиентам, то грошь нам цена. Атаки все-таки направлена в первую очередь на маршрутизатор, так как он несет всю ответственность за предоставление сети клиенту, а затем уже интернет. Так как сеть перед маршрутизатором наша, здесь имеет место максимально-полной защиты сегмента. Я думаю, не один я, встретил в чудесной таблице ARP дублирования MAC-адреса гетвейя, и на DHCP- сервере стали пачкой появляться имена с кракозяблями или пустые хосты, а также Hotspot с нечего, перестал редиректить. Это все говорит о том что вас хакнули- нагло,бессовестности и малейшего дружелюбия. Давайте вместе рассмотрим сеть построенную на маршрутизаторе Mikrotik. Так как, дефолтовые настройки не имеют защиты практически ни какой, будим наращивать защиту путем проб и ошибок, здесь и сейчас, пока не поздно. Делимся теорией, пишем свои примеры для практики. Начнем... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Efim Posted October 24, 2014 (edited) · Report post Первое, что можно сделать, это на локальном(ных) интерфейсах включить reply-only, и вручную в ARP list привязывать mac-адреса и ip-адреса. Но это не выход, в частности моей сети имеющей Hotspot (в закрытости, которой, отпадает вообще смысл Hotspota). Вопрос такой, может кто разлахмачивал фильтры на бридже. Видел видео, но ничего конкретно не понял ссылка на видео разсусольте? И еще один момент, кто атакует? (специально в сети оставил трех подозрительных пользователей онлайн) вот, что подозрительное в логах, что делает 10.10.10.57 хост я вроде бы его заблокировал??? Oct/24/2014 09:47:39 dhcp,debug,state dhcp-client on ether4_internet_in entering <bound> state Oct/24/2014 09:47:46 hotspot,debug server1: new host detected 48:5D:60:C2:DD:26/10.10.10.57 by UDP :60356 -> 10.239.0.1:53 Oct/24/2014 09:47:46 hotspot,debug server1: host 48:5D:60:C2:DD:26/10.10.10.57 is blocked Oct/24/2014 09:48:30 dhcp,debug,packet dhcp1 received inform with id 1406207823 from 10.10.10.57 Oct/24/2014 09:48:30 dhcp,debug,packet ciaddr = 10.10.10.57 Oct/24/2014 09:48:30 dhcp,debug,packet chaddr = 48:5D:60:C2:DD:26 Oct/24/2014 09:48:30 dhcp,debug,packet Msg-Type = inform Oct/24/2014 09:48:30 dhcp,debug,packet Client-Id = 01-48-5D-60-C2-DD-26 Oct/24/2014 09:48:30 dhcp,debug,packet Host-Name = 31-2D-8F-8A Oct/24/2014 09:48:30 dhcp,debug,packet Class-Id = "MSFT 5.0" Oct/24/2014 09:48:30 dhcp,debug,packet Parameter-List = Subnet-Mask,Domain-Name,Router,Domain-Server,NETBIOS-Name-Server,Unknown(46),Unknown(47),Unknown(31),Static-Route,Classless-Route,Unknown(249),Vendor-Specific,Unknown(252) Oct/24/2014 09:48:30 dhcp,debug,packet dhcp1 sending ack with id 1406207823 to 10.10.10.57 Oct/24/2014 09:48:30 dhcp,debug,packet ciaddr = 10.10.10.57 Oct/24/2014 09:48:30 dhcp,debug,packet siaddr = 10.10.10.1 Oct/24/2014 09:48:30 dhcp,debug,packet chaddr = 48:5D:60:C2:DD:26 Oct/24/2014 09:48:30 dhcp,debug,packet Msg-Type = ack Oct/24/2014 09:48:30 dhcp,debug,packet Server-Id = 10.10.10.1 Oct/24/2014 09:48:30 dhcp,debug,packet Subnet-Mask = 255.255.255.0 Oct/24/2014 09:48:30 dhcp,debug,packet Router = 10.10.10.1 Oct/24/2014 09:48:30 dhcp,debug,packet Domain-Server = 10.239.0.1 Oct/24/2014 09:48:39 dhcp,debug,state dhcp-client on ether4_internet_in entering <renewing...> state Oct/24/2014 09:48:39 dhcp,debug,packet dhcp-client on ether4_internet_in sending request with id 727095736 to 10.239.0.1 Oct/24/2014 09:48:39 dhcp,debug,packet ciaddr = 10.239.7.49 Oct/24/2014 09:48:39 dhcp,debug,packet chaddr = 00:50:BF:12:0C:55 Oct/24/2014 09:48:39 dhcp,debug,packet Msg-Type = request Oct/24/2014 09:48:39 dhcp,debug,packet Client-Id = 01-00-50-BF-12-0C-55 Oct/24/2014 09:48:39 dhcp,debug,packet Parameter-List = Subnet-Mask,Classless-Route,Router,Static-Route,Domain-Server,NTP-Server Oct/24/2014 09:48:39 dhcp,debug,packet Host-Name = "MikroTik" Oct/24/2014 09:48:39 dhcp,debug,packet dhcp-client on ether4_internet_in received ack with id 727095736 from 10.239.0.1 Oct/24/2014 09:48:39 dhcp,debug,packet ciaddr = 10.239.7.49 Oct/24/2014 09:48:39 dhcp,debug,packet yiaddr = 10.239.7.49 Oct/24/2014 09:48:39 dhcp,debug,packet siaddr = 10.239.0.1 Oct/24/2014 09:48:39 dhcp,debug,packet chaddr = 00:50:BF:12:0C:55 Oct/24/2014 09:48:39 dhcp,debug,packet Msg-Type = ack Oct/24/2014 09:48:39 dhcp,debug,packet Server-Id = 10.239.0.1 Oct/24/2014 09:48:39 dhcp,debug,packet Address-Time = 120 Oct/24/2014 09:48:39 dhcp,debug,packet Renewal-Time = 55 Oct/24/2014 09:48:39 dhcp,debug,packet Unknown(59) = 00-00-00-64 Oct/24/2014 09:48:39 dhcp,debug,packet Subnet-Mask = 255.255.0.0 Oct/24/2014 09:48:39 dhcp,debug,packet Unknown(28) = 0A-EF-FF-FF Oct/24/2014 09:48:39 dhcp,debug,packet Router = 10.239.0.1 Oct/24/2014 09:48:39 dhcp,debug,packet Domain-Server = 10.239.0.1 Oct/24/2014 09:48:39 dhcp,debug,packet NTP-Server = 10.239.0.1 Oct/24/2014 09:48:39 dhcp,debug,state dhcp-client on ether4_internet_in entering <bound> state Oct/24/2014 09:49:39 dhcp,debug,state dhcp-client on ether4_internet_in entering <renewing...> state Oct/24/2014 09:49:39 dhcp,debug,packet dhcp-client on ether4_internet_in sending request with id 727095736 to 10.239.0.1 Oct/24/2014 09:49:39 dhcp,debug,packet ciaddr = 10.239.7.49 Oct/24/2014 09:49:39 dhcp,debug,packet chaddr = 00:50:BF:12:0C:55 Oct/24/2014 09:49:39 dhcp,debug,packet Msg-Type = request Oct/24/2014 09:49:39 dhcp,debug,packet Client-Id = 01-00-50-BF-12-0C-55 Oct/24/2014 09:49:39 dhcp,debug,packet Parameter-List = Subnet-Mask,Classless-Route,Router,Static-Route,Domain-Server,NTP-Server Oct/24/2014 09:49:39 dhcp,debug,packet Host-Name = "MikroTik" Oct/24/2014 09:49:39 dhcp,debug,packet dhcp-client on ether4_internet_in received ack with id 727095736 from 10.239.0.1 Oct/24/2014 09:49:39 dhcp,debug,packet ciaddr = 10.239.7.49 Oct/24/2014 09:49:39 dhcp,debug,packet yiaddr = 10.239.7.49 Oct/24/2014 09:49:39 dhcp,debug,packet siaddr = 10.239.0.1 Oct/24/2014 09:49:39 dhcp,debug,packet chaddr = 00:50:BF:12:0C:55 Oct/24/2014 09:49:39 dhcp,debug,packet Msg-Type = ack Oct/24/2014 09:49:39 dhcp,debug,packet Server-Id = 10.239.0.1 Oct/24/2014 09:49:39 dhcp,debug,packet Address-Time = 120 Oct/24/2014 09:49:39 dhcp,debug,packet Renewal-Time = 53 Oct/24/2014 09:49:39 dhcp,debug,packet Unknown(59) = 00-00-00-62 Oct/24/2014 09:49:39 dhcp,debug,packet Subnet-Mask = 255.255.0.0 Oct/24/2014 09:49:39 dhcp,debug,packet Unknown(28) = 0A-EF-FF-FF Oct/24/2014 09:49:39 dhcp,debug,packet Router = 10.239.0.1 Oct/24/2014 09:49:39 dhcp,debug,packet Domain-Server = 10.239.0.1 Oct/24/2014 09:49:39 dhcp,debug,packet NTP-Server = 10.239.0.1 Oct/24/2014 09:49:39 dhcp,debug,state dhcp-client on ether4_internet_in entering <bound> state Oct/24/2014 09:50:20 hotspot,debug server1: new host detected 48:5D:60:C2:DD:26/10.10.10.57 by UDP :64908 -> 10.239.0.1:53 Edited October 24, 2014 by Efim Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 24, 2014 · Report post Первое, что можно сделать, это на локальном(ных) интерфейсах включить reply-only, и вручную в ARP list привязывать mac-адреса и ip-адреса. Но это не выход, в частности моей сети имеющей Hotspot (в закрытости, которой, отпадает вообще смысл Hotspota). Вопрос такой, может кто разлахмачивал фильтры на бридже. Ну так у хотспота есть DHCP сервер, который выдает адреса, поставьте в нем галочку Add ARP for leases и готово, а на основном интерфейсе поставьте reply-only. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Efim Posted October 24, 2014 · Report post Ну так у хотспота есть DHCP сервер, который выдает адреса, поставьте в нем галочку Add ARP for leases и готово, а на основном интерфейсе поставьте reply-only. вот и удивляет, тот фак, что стоят настройки вот скрин: Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 24, 2014 · Report post У вас на скрине в верхнем левом углу просвечивает адрес 10.10.1 на 4 порту, а ниже 10.10.10 уже на бридже. Это разные подсети или одинаковые? В бридж точно все правильно добавлено? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Efim Posted October 26, 2014 (edited) · Report post У вас на скрине в верхнем левом углу просвечивает адрес 10.10.1 на 4 порту, а ниже 10.10.10 уже на бридже. Это разные подсети или одинаковые? В бридж точно все правильно добавлено? 10.10.10.1 адреc Mikrotik, inter4_internet_in интерфейс на котором висит провайдер. Чтото не так? Подсетей других у меня пока нет. Edited October 26, 2014 by Efim Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 26, 2014 · Report post У вас одинаковая подсеть указана на разных интерфейсах? В этом не может быть причина вашей проблемы с ARP? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Efim Posted October 27, 2014 (edited) · Report post У вас одинаковая подсеть указана на разных интерфейсах? В этом не может быть причина вашей проблемы с ARP? Спасибо за поддержку! Да я уже по всякому пробовал, это на скрине уже намешал. Так-то конечно 10.10.10.1 Mikrotik на бридже (у меня это most). 10.239.0.1 это подсетка провайдера. Не понимаю почему со стороны провайдера, переодически в ARP высвечивается 10.239.11.17 с темже МАКом на томже интерфейсе. И почему у меня пачками валят IPы с одинаковыми МАКами. А в хотспоте в Hosts вообще смотреть страшно. Я уже любой хост подозреваю. Доходит до паранои. Себя отрубить легче, чем обыграть этот неготив. Может что то в Firewall придумать можно, правила NAT, Filters на бриджи реализовать (я только не знаю как) скриптами помахать, есть же какойто выход!? Да, и почему данные хотспота (Hosts) в частности МАК-адреса в привязки IP, не совпадает с данными DHCP Server Маки разные, в Adress Pool хотспота стоит "none"? Edited October 28, 2014 by Efim Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Efim Posted October 31, 2014 · Report post Снес все по дефолту. Настроил заново. Скорее пока рыл окопы где-то накасячил. 1. В конфигурации “IP -> DHCP Server” поставить галочку “Add ARP For Leases”. При выборе этой опции DHCP сервер будет автоматически добавлять записи в ARP-таблицу маршрутизатора; 2. В настройки интерфейса (бриджа) необходимо для ARP выставить reply-only. Эта опция переведет таблицу ARP на выбранном интерфейсе (бридже) в режим “только чтение” и не будет принимать ARP-запросы. Не забыть: включить в настройках бриджа - Use IP Firewall, что бы правила работали на бридже. Если используем хотспот с DHCP, что бы хотспот не менял адреса выданые DHCP в настройках хотспота: IP->Hotspot->Address Pool = none. Пока вроде бы отлегло. Есть еще какие-нибудь придложения? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 31, 2014 · Report post Не забыть: включить в настройках бриджа - Use IP Firewall, что бы правила работали на бридже. Это еще зачем? Такая настройка требуется, когда хотите работать файрволом с данными, проходящими через бридж. В вашем случае эта настройка не нужна. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...