Jump to content
Калькуляторы

Mikrotik VS ARP-spoofing (Kali Linux, Wireshark и т.д) Защита от ARP-спуфинга и прочего хакерского софта

Уважаемый Народ!

В виду того, что развилось полным полно различного софта по взлому сетей, и автор под ником DesignerMix выложивший на youtube инструктаж соответствующей публики материалами по ARP-атаке. (Первый же пойманный мной "Атакер" показал на видео именно от пользователя DesignerMix, и второй тоже).

Здесь же резонно поднять вопрос о конкретной защите наших маршрутизаторов от различного рода софта таких как Kali Linux, Wireshark и т.д.

Так как автор ограничился объяснением защиты конечных пользователей плагинами и анпроксями дабы бросить пыль в глаза, проблема на много обширна и бьет по репутации провайдеров перед пользователями, и если мы будим давать такие советы нашим клиентам, то грошь нам цена.

Атаки все-таки направлена в первую очередь на маршрутизатор, так как он несет всю ответственность за предоставление сети клиенту, а затем уже интернет. Так как сеть перед маршрутизатором наша, здесь имеет место максимально-полной защиты сегмента.

 

Я думаю, не один я, встретил в чудесной таблице ARP дублирования MAC-адреса гетвейя, и на DHCP- сервере стали пачкой появляться имена с кракозяблями или пустые хосты, а также Hotspot с нечего, перестал редиректить. Это все говорит о том что вас хакнули- нагло,бессовестности и малейшего дружелюбия.

 

Давайте вместе рассмотрим сеть построенную на маршрутизаторе Mikrotik. Так как, дефолтовые настройки не имеют защиты практически ни какой, будим наращивать защиту путем проб и ошибок, здесь и сейчас, пока не поздно. Делимся теорией, пишем свои примеры для практики. Начнем...

Share this post


Link to post
Share on other sites

Первое, что можно сделать, это на локальном(ных) интерфейсах включить reply-only, и вручную в ARP list привязывать mac-адреса и ip-адреса.

Но это не выход, в частности моей сети имеющей Hotspot (в закрытости, которой, отпадает вообще смысл Hotspota). Вопрос такой, может кто разлахмачивал фильтры на бридже.

Видел видео, но ничего конкретно не понял

 

ссылка на видео

 

разсусольте?

 

И еще один момент, кто атакует?

 

(специально в сети оставил трех подозрительных пользователей онлайн)

Mikrotik.png

 

вот, что подозрительное в логах, что делает 10.10.10.57 хост я вроде бы его заблокировал???

 

Oct/24/2014 09:47:39 dhcp,debug,state dhcp-client on ether4_internet_in entering <bound> state

Oct/24/2014 09:47:46 hotspot,debug server1: new host detected 48:5D:60:C2:DD:26/10.10.10.57 by UDP :60356 -> 10.239.0.1:53

Oct/24/2014 09:47:46 hotspot,debug server1: host 48:5D:60:C2:DD:26/10.10.10.57 is blocked

Oct/24/2014 09:48:30 dhcp,debug,packet dhcp1 received inform with id 1406207823 from 10.10.10.57

Oct/24/2014 09:48:30 dhcp,debug,packet ciaddr = 10.10.10.57

Oct/24/2014 09:48:30 dhcp,debug,packet chaddr = 48:5D:60:C2:DD:26

Oct/24/2014 09:48:30 dhcp,debug,packet Msg-Type = inform

Oct/24/2014 09:48:30 dhcp,debug,packet Client-Id = 01-48-5D-60-C2-DD-26

Oct/24/2014 09:48:30 dhcp,debug,packet Host-Name = 31-2D-8F-8A

Oct/24/2014 09:48:30 dhcp,debug,packet Class-Id = "MSFT 5.0"

Oct/24/2014 09:48:30 dhcp,debug,packet Parameter-List = Subnet-Mask,Domain-Name,Router,Domain-Server,NETBIOS-Name-Server,Unknown(46),Unknown(47),Unknown(31),Static-Route,Classless-Route,Unknown(249),Vendor-Specific,Unknown(252)

Oct/24/2014 09:48:30 dhcp,debug,packet dhcp1 sending ack with id 1406207823 to 10.10.10.57

Oct/24/2014 09:48:30 dhcp,debug,packet ciaddr = 10.10.10.57

Oct/24/2014 09:48:30 dhcp,debug,packet siaddr = 10.10.10.1

Oct/24/2014 09:48:30 dhcp,debug,packet chaddr = 48:5D:60:C2:DD:26

Oct/24/2014 09:48:30 dhcp,debug,packet Msg-Type = ack

Oct/24/2014 09:48:30 dhcp,debug,packet Server-Id = 10.10.10.1

Oct/24/2014 09:48:30 dhcp,debug,packet Subnet-Mask = 255.255.255.0

Oct/24/2014 09:48:30 dhcp,debug,packet Router = 10.10.10.1

Oct/24/2014 09:48:30 dhcp,debug,packet Domain-Server = 10.239.0.1

Oct/24/2014 09:48:39 dhcp,debug,state dhcp-client on ether4_internet_in entering <renewing...> state

Oct/24/2014 09:48:39 dhcp,debug,packet dhcp-client on ether4_internet_in sending request with id 727095736 to 10.239.0.1

Oct/24/2014 09:48:39 dhcp,debug,packet ciaddr = 10.239.7.49

Oct/24/2014 09:48:39 dhcp,debug,packet chaddr = 00:50:BF:12:0C:55

Oct/24/2014 09:48:39 dhcp,debug,packet Msg-Type = request

Oct/24/2014 09:48:39 dhcp,debug,packet Client-Id = 01-00-50-BF-12-0C-55

Oct/24/2014 09:48:39 dhcp,debug,packet Parameter-List = Subnet-Mask,Classless-Route,Router,Static-Route,Domain-Server,NTP-Server

Oct/24/2014 09:48:39 dhcp,debug,packet Host-Name = "MikroTik"

Oct/24/2014 09:48:39 dhcp,debug,packet dhcp-client on ether4_internet_in received ack with id 727095736 from 10.239.0.1

Oct/24/2014 09:48:39 dhcp,debug,packet ciaddr = 10.239.7.49

Oct/24/2014 09:48:39 dhcp,debug,packet yiaddr = 10.239.7.49

Oct/24/2014 09:48:39 dhcp,debug,packet siaddr = 10.239.0.1

Oct/24/2014 09:48:39 dhcp,debug,packet chaddr = 00:50:BF:12:0C:55

Oct/24/2014 09:48:39 dhcp,debug,packet Msg-Type = ack

Oct/24/2014 09:48:39 dhcp,debug,packet Server-Id = 10.239.0.1

Oct/24/2014 09:48:39 dhcp,debug,packet Address-Time = 120

Oct/24/2014 09:48:39 dhcp,debug,packet Renewal-Time = 55

Oct/24/2014 09:48:39 dhcp,debug,packet Unknown(59) = 00-00-00-64

Oct/24/2014 09:48:39 dhcp,debug,packet Subnet-Mask = 255.255.0.0

Oct/24/2014 09:48:39 dhcp,debug,packet Unknown(28) = 0A-EF-FF-FF

Oct/24/2014 09:48:39 dhcp,debug,packet Router = 10.239.0.1

Oct/24/2014 09:48:39 dhcp,debug,packet Domain-Server = 10.239.0.1

Oct/24/2014 09:48:39 dhcp,debug,packet NTP-Server = 10.239.0.1

Oct/24/2014 09:48:39 dhcp,debug,state dhcp-client on ether4_internet_in entering <bound> state

Oct/24/2014 09:49:39 dhcp,debug,state dhcp-client on ether4_internet_in entering <renewing...> state

Oct/24/2014 09:49:39 dhcp,debug,packet dhcp-client on ether4_internet_in sending request with id 727095736 to 10.239.0.1

Oct/24/2014 09:49:39 dhcp,debug,packet ciaddr = 10.239.7.49

Oct/24/2014 09:49:39 dhcp,debug,packet chaddr = 00:50:BF:12:0C:55

Oct/24/2014 09:49:39 dhcp,debug,packet Msg-Type = request

Oct/24/2014 09:49:39 dhcp,debug,packet Client-Id = 01-00-50-BF-12-0C-55

Oct/24/2014 09:49:39 dhcp,debug,packet Parameter-List = Subnet-Mask,Classless-Route,Router,Static-Route,Domain-Server,NTP-Server

Oct/24/2014 09:49:39 dhcp,debug,packet Host-Name = "MikroTik"

Oct/24/2014 09:49:39 dhcp,debug,packet dhcp-client on ether4_internet_in received ack with id 727095736 from 10.239.0.1

Oct/24/2014 09:49:39 dhcp,debug,packet ciaddr = 10.239.7.49

Oct/24/2014 09:49:39 dhcp,debug,packet yiaddr = 10.239.7.49

Oct/24/2014 09:49:39 dhcp,debug,packet siaddr = 10.239.0.1

Oct/24/2014 09:49:39 dhcp,debug,packet chaddr = 00:50:BF:12:0C:55

Oct/24/2014 09:49:39 dhcp,debug,packet Msg-Type = ack

Oct/24/2014 09:49:39 dhcp,debug,packet Server-Id = 10.239.0.1

Oct/24/2014 09:49:39 dhcp,debug,packet Address-Time = 120

Oct/24/2014 09:49:39 dhcp,debug,packet Renewal-Time = 53

Oct/24/2014 09:49:39 dhcp,debug,packet Unknown(59) = 00-00-00-62

Oct/24/2014 09:49:39 dhcp,debug,packet Subnet-Mask = 255.255.0.0

Oct/24/2014 09:49:39 dhcp,debug,packet Unknown(28) = 0A-EF-FF-FF

Oct/24/2014 09:49:39 dhcp,debug,packet Router = 10.239.0.1

Oct/24/2014 09:49:39 dhcp,debug,packet Domain-Server = 10.239.0.1

Oct/24/2014 09:49:39 dhcp,debug,packet NTP-Server = 10.239.0.1

Oct/24/2014 09:49:39 dhcp,debug,state dhcp-client on ether4_internet_in entering <bound> state

Oct/24/2014 09:50:20 hotspot,debug server1: new host detected 48:5D:60:C2:DD:26/10.10.10.57 by UDP :64908 -> 10.239.0.1:53

Edited by Efim

Share this post


Link to post
Share on other sites

Первое, что можно сделать, это на локальном(ных) интерфейсах включить reply-only, и вручную в ARP list привязывать mac-адреса и ip-адреса.

Но это не выход, в частности моей сети имеющей Hotspot (в закрытости, которой, отпадает вообще смысл Hotspota). Вопрос такой, может кто разлахмачивал фильтры на бридже.

 

Ну так у хотспота есть DHCP сервер, который выдает адреса, поставьте в нем галочку Add ARP for leases и готово, а на основном интерфейсе поставьте reply-only.

Share this post


Link to post
Share on other sites

Ну так у хотспота есть DHCP сервер, который выдает адреса, поставьте в нем галочку Add ARP for leases и готово, а на основном интерфейсе поставьте reply-only.

 

вот и удивляет, тот фак, что стоят настройки

 

вот скрин:

Mikrotik1.png

Share this post


Link to post
Share on other sites

У вас на скрине в верхнем левом углу просвечивает адрес 10.10.1 на 4 порту, а ниже 10.10.10 уже на бридже. Это разные подсети или одинаковые? В бридж точно все правильно добавлено?

Share this post


Link to post
Share on other sites

У вас на скрине в верхнем левом углу просвечивает адрес 10.10.1 на 4 порту, а ниже 10.10.10 уже на бридже. Это разные подсети или одинаковые? В бридж точно все правильно добавлено?

 

10.10.10.1 адреc Mikrotik, inter4_internet_in интерфейс на котором висит провайдер. Чтото не так? Подсетей других у меня пока нет.

Edited by Efim

Share this post


Link to post
Share on other sites

У вас одинаковая подсеть указана на разных интерфейсах? В этом не может быть причина вашей проблемы с ARP?

Share this post


Link to post
Share on other sites

У вас одинаковая подсеть указана на разных интерфейсах? В этом не может быть причина вашей проблемы с ARP?

 

Спасибо за поддержку!

Да я уже по всякому пробовал, это на скрине уже намешал. Так-то конечно 10.10.10.1 Mikrotik на бридже (у меня это most). 10.239.0.1 это подсетка провайдера. Не понимаю почему со стороны провайдера, переодически в ARP высвечивается 10.239.11.17 с темже МАКом на томже интерфейсе. И почему у меня пачками валят IPы с одинаковыми МАКами.

А в хотспоте в Hosts вообще смотреть страшно. Я уже любой хост подозреваю. Доходит до паранои. Себя отрубить легче, чем обыграть этот неготив. Может что то в Firewall придумать можно, правила NAT, Filters на бриджи реализовать (я только не знаю как) скриптами помахать, есть же какойто выход!?

 

Да, и почему данные хотспота (Hosts) в частности МАК-адреса в привязки IP, не совпадает с данными DHCP Server Маки разные, в Adress Pool хотспота стоит "none"?

Edited by Efim

Share this post


Link to post
Share on other sites

Снес все по дефолту. Настроил заново. Скорее пока рыл окопы где-то накасячил.

 

1. В конфигурации “IP -> DHCP Server” поставить галочку “Add ARP For Leases”. При выборе этой опции DHCP сервер будет автоматически добавлять записи в ARP-таблицу маршрутизатора;

2. В настройки интерфейса (бриджа) необходимо для ARP выставить reply-only. Эта опция переведет таблицу ARP на выбранном интерфейсе (бридже) в режим “только чтение” и не будет принимать ARP-запросы.

 

Не забыть: включить в настройках бриджа - Use IP Firewall, что бы правила работали на бридже.

Если используем хотспот с DHCP, что бы хотспот не менял адреса выданые DHCP в настройках хотспота: IP->Hotspot->Address Pool = none.

 

Пока вроде бы отлегло. Есть еще какие-нибудь придложения?

Share this post


Link to post
Share on other sites

Не забыть: включить в настройках бриджа - Use IP Firewall, что бы правила работали на бридже.

 

Это еще зачем? Такая настройка требуется, когда хотите работать файрволом с данными, проходящими через бридж. В вашем случае эта настройка не нужна.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.