Автор Тема: Attack and ruter  (Прочетена 3769 пъти)

flipz

  • Напреднали
  • *****
  • Публикации: 87
    • Профил
Attack and ruter
« -: Oct 12, 2008, 22:22 »
Напоследък има някакъв много смотан вирус, който сменя ип-то на компютъра с GW-а. Има ли начин да се защити по някакъв начин самият рутер.
Схема:

ruter
|slack12-eth0| ---lan---|pc|
и какво става в един момент пц-то излиза с ип-то на рутера.
аз лично го откривам с 'arping ruter-ip' след няколко req. излиза мак-а на машинката която е с променен адрес.
Активен

plamen_f

  • Напреднали
  • *****
  • Публикации: 1246
    • Профил
Attack and ruter
« Отговор #1 -: Oct 13, 2008, 09:56 »
Много гадно ми звучи, дай име и нещо в повече?
Активен

sverdlov

  • Напреднали
  • *****
  • Публикации: 351
    • Профил
Attack and ruter
« Отговор #2 -: Oct 13, 2008, 10:23 »
Не е ли по-лесно да защитиш пц-то?

http://www.securityguy.org - там има едни 2 видеа как се защитава уин. За рутерчето - има начин да се защитиш от арп атака, като инсталираш решение мониториращо мак адресите за всяко ип и ако детектне промяна да оправя нещата, но не мисля че има смисъл ако имаш само едно пц, да се занимаваш с това. По-добре оправи бозата



Активен

neter

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
Attack and ruter
« Отговор #3 -: Oct 13, 2008, 11:37 »
Аз не съм много вещ по дълбоко мрежови въпроси, но... как единствено със смяна на IP-то на Windows-ката машина, рутерът ти ще се предаде? Ако рутерът ти заема в момента някакво IP и дадена друга машина в мрежата опита да си го зададе, то ще се получи IP конфликт и втората машина няма да може да използва това IP, докато рутерът ще продължи да си функционира нормално. Това е, което съм видял, при наблюдение на подобни ситуации. Интересно ми е да разбера какво точно се е случило в случая '<img'> Възможно е при възникването на такава ситуация аз да съм имал някаква защита на системата, за която не съм знаел (странно). Ако все пак е нужна някаква защита за това, то не съм съгласен, че само Windows-ката машина трябва да се защити. Трябва да се защитят и двете системи.
Активен

"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти

sverdlov

  • Напреднали
  • *****
  • Публикации: 351
    • Профил
Attack and ruter
« Отговор #4 -: Oct 13, 2008, 17:29 »
Предполага се че ако слагаш линукс за рутер, си го защитил доста добре... ако не си... е време да го направиш - затваряне на всички портове отвън, слагане на fwknop, аутентикация само със сертификати за ссхаша, и тн. Не мога да си представя как ще сложиш линукс за рутер без всичко (най-малкото) това. Иначе си има едни малки кутийчици за по 40 лв които вършат същата и по-добра работа за хора на които им трябва само рутерче.
Активен

neter

  • Global Moderator
  • Напреднали
  • *****
  • Публикации: 3408
  • Distribution: Debian, SailfishOS, CentOS
  • Window Manager: LXDE, Lipstick
    • Профил
    • WWW
Attack and ruter
« Отговор #5 -: Oct 13, 2008, 18:19 »
Е, това е ясно. Аз в момента въобще не се занимавам с рутери и мрежи (на миналата работа имах сериозна работа с мрежи), но защитите, които изброи плюс "т.н." си ги слагам и на другите видове сървъри, това са си златни правила. Въпросът е, че преди малко тествах и дали моята десктоп система ще се предаде (която въобще не е защитена, що се касае до мои действия за защита, понеже така и така си играя с какво ли не, стандартен sidux) като наслагах същото IP на всички машини в офиса (хехе) и резултатът беше нулев - единствено моята машина остана с връзка към света. Та... затова ми е интересно да разбера какво още прави този вирус. Интересът ми е информативен, искам да науча, не се заяждам '<img'>
Активен

"Да си добре приспособен към болно общество не е признак за добро здраве" - Джиду Кришнамурти

flipz

  • Напреднали
  • *****
  • Публикации: 87
    • Профил
Attack and ruter
« Отговор #6 -: Oct 13, 2008, 22:09 »
значи не става въпрос за 1 пц а да кажем повече .. не мисля, че е толкова необходимо да оточнявам бройката, за да се реализира или да ме посъветвате за нещо. случва се следното, когато някои си вдигне на своето пц, адресът който е на сървъра и е GW за мрежата.
започват да се увеличават пинговете + че интернета спира.
а този вирус, който не знам дори кои е точно .. се хваща прекалено лесно .. повечето пц-та който са имали този проблем са биле без антивирусна или такава с доста стари деф. проблема се решава с pppoe + layer 3 switch, но мен ме интерисува в случея, когато е по следният начин който описах по горе.

ruter eth0-if ----accport switch accport--- homepc-if
ip:1                                                       ip2

когато на homepc-if се сложи ip:1
и започва цяла тъпотия .. пробвал съм разни варианти, като perm -arp и тн .. но явно това нещо върти мрежата по някакъв начин .. може да вдига ип-та примерно ььь.ььь.ььь.ььь/24 или /21 не го знам ... просто горе долу така изглежда проблема.

а за тези следящи промяната на макове програмчета, нещо не можах да подкарам някое читаво.

интерисува ме реално предложение за конкретният случей ..
Активен