Титла: Кражба на gw
Публикувано от: revolta в Sep 27, 2006, 17:12
Някакъв ламер си е сложил за IP адреса на шлюза от който получава интерента - така че се получава конфликт на айпитата и другите потребители не могат да ползват интернета ! Има ли някаква защита срещу такава кражба -шлюза който разпределя интернета е под линукс REDHAT. Засякох мак адреса на абоната но не знам на кой точно е ... ще съм благодарен за малко помощ ...
Титла: Кражба на gw
Публикувано от: Bogo в Sep 27, 2006, 17:34
това което знам е да си направиш статичен запис за mac-а на гейта
arp -f /etc/ethers
в този файл пишеш ай-пи то на гейта и мац адреса му така:
192.168.1.254 FF:FF:FF:FF:FF:FF
а иначе имаше цяла статия тук на сайта но немога да я намеря
това "хакерче" явно я е чело
arp -f /etc/ethers
в този файл пишеш ай-пи то на гейта и мац адреса му така:
192.168.1.254 FF:FF:FF:FF:FF:FF
а иначе имаше цяла статия тук на сайта но немога да я намеря
това "хакерче" явно я е чело
Титла: Кражба на gw
Публикувано от: revolta в Sep 27, 2006, 17:52
Мисля че е случайно - поне ситуацията ми изглежда такава - гетуея ми е 192.168.1.1 - предполагам че абоната е с някакъв рутер - до сега е имал зададен адрес, но се ресетва поради някаква причина - токов удар или нещо подобно и си слага адреса по подразбиране 192.168.1.1 !!!!
Титла: Кражба на gw
Публикувано от: gat3way в Sep 27, 2006, 17:56
Ако:
$GW_ADDR ти е ип адреса на рутера:
$GW_MAC ти е мак адреса на рутера:
ip nei add to $GW_ADDR dev eth0 lladdr $GW_MAC nud perm
$GW_ADDR ти е ип адреса на рутера:
$GW_MAC ти е мак адреса на рутера:
ip nei add to $GW_ADDR dev eth0 lladdr $GW_MAC nud perm
Титла: Кражба на gw
Публикувано от: Bogo в Sep 27, 2006, 22:18
Еййй... сетих се 
заразяване на ARP кеша беше името на статията . Спомням си че когато я четох много ми хареса
заразяване на ARP кеша беше името на статията . Спомням си че когато я четох много ми хареса Титла: Кражба на gw
Публикувано от: VladSun в Sep 28, 2006, 02:38
Хм ...
Какво ще се оправи, ако се защити gateway-а със статична таблица?!?! Ефекта, който иска питащия, се постига точно наобратното - на клиентите трябва да им е статична ARP таблицата (поне за ИП-МАЦ чифта на gateway-a). Иначе - никакъв ефект в switching мрежа.
Проблемът преди при мен го разрешавах (по-скоро улеснявах разрешаването му) с използванет на arpwatch + база данни за потребителите включваща и техните MAC адреси + модифициран CGI за arpwatch, който използва тази база данни. По този начин много бързо разбирах кой end-user ( ама каква мръсна думичка е това понякога ) е сложил ИП-то на gateway-а за свое.
Реално погледнато защита от такава ситуация няма, иначе нямаше да има и Man-in-the-Middle-Attacks в Ethernet среда.
Какво ще се оправи, ако се защити gateway-а със статична таблица?!?! Ефекта, който иска питащия, се постига точно наобратното - на клиентите трябва да им е статична ARP таблицата (поне за ИП-МАЦ чифта на gateway-a). Иначе - никакъв ефект в switching мрежа.
Проблемът преди при мен го разрешавах (по-скоро улеснявах разрешаването му) с използванет на arpwatch + база данни за потребителите включваща и техните MAC адреси + модифициран CGI за arpwatch, който използва тази база данни. По този начин много бързо разбирах кой end-user ( ама каква мръсна думичка е това понякога
) е сложил ИП-то на gateway-а за свое.Реално погледнато защита от такава ситуация няма, иначе нямаше да има и Man-in-the-Middle-Attacks в Ethernet среда.
Титла: Кражба на gw
Публикувано от: laskov в Sep 28, 2006, 09:13
Освен ако в мрежата има DHCP и повечето клиенти го ползват да се смени адреса на GW
Титла: Кражба на gw
Публикувано от: gat3way в Sep 28, 2006, 09:53
@Vladsun, тази команда е за клиента, няма как да добавиш в арп таблицата ентри с айпи/мак на някой локален интерфейс. Ядрото няма да даде това да влезе в арп таблицата (пробвай все пак, бих се учудил ако стане).
@laskov dhcp сървъра с нищо не помага, дори напротив, допринася броят на възможните атаки да нарасне
@laskov dhcp сървъра с нищо не помага, дори напротив, допринася броят на възможните атаки да нарасне
Титла: Кражба на gw
Публикувано от: VladSun в Sep 28, 2006, 22:34
Сега като поразгледах горните постове установих, че вероятността за предлагане на решение със "статична таблица на GW" и вероятността за решение със "статична таблица за *всеки* потребител" e 50/50. При първо четене обаче, логиката подсъзнателно подсказва, че няма голяма възможност администратора да мине по всички потребители и да им направи статична АРП таблица и поради това се отхвърля тази възможност.
Казано с други думи - решение със статични АРП таблици за потребителите, когато броят им е относително достатъчно голям не е решение.
Казано с други думи - решение със статични АРП таблици за потребителите, когато броят им е относително достатъчно голям не е решение.
Титла: Кражба на gw
Публикувано от: gat3way в Sep 29, 2006, 10:13
Няма нужда от "статични" таблици, /etc/ethers блабла неща. Просто arp entry-то се добавя с флаг permament. За жалост това е възможно единствено при линукс с инсталиран iproute2 пакет.
VladSun: Много си прав, че не е решение това да се прави на всяка машина (а и не мисля че всички машини са на линукс). Отделно че никой не е казал че статичната таблица ще реши проблема ако някой реши да си spoof-не и МАК адреса с този на рутера, тогава дори клиентите да си пазят статично-набити арп данни, пак е възможно да го отнесат. Аз и затова се учудих как този хулиган не се е сетил да си смени и МАК адреса...после ако е по-голяма мрежата ходи го намери кой е
Като желаете удобно и по-добро секюрити ммм вадите пари и си купувате суич-ове които имат port security...казвате на кой порт кой може да комуникира и нещата цъфват (поне по отношение на spoofing проблемите де)
VladSun: Много си прав, че не е решение това да се прави на всяка машина (а и не мисля че всички машини са на линукс). Отделно че никой не е казал че статичната таблица ще реши проблема ако някой реши да си spoof-не и МАК адреса с този на рутера, тогава дори клиентите да си пазят статично-набити арп данни, пак е възможно да го отнесат. Аз и затова се учудих как този хулиган не се е сетил да си смени и МАК адреса...после ако е по-голяма мрежата ходи го намери кой е
Като желаете удобно и по-добро секюрити ммм вадите пари и си купувате суич-ове които имат port security...казвате на кой порт кой може да комуникира и нещата цъфват (поне по отношение на spoofing проблемите де)
Титла: Кражба на gw
Публикувано от: divak в Oct 06, 2006, 23:06
revolta, как така си е сложил сложил за IP адреса на шлюза, и това да пречи на останалите?
Се си мисля че може и без това (доста съмнително деяние)да ти спре нета
P.s. Прости скептицизма ми (доста измекяри се навъртат наоколо), ама не ти вярвам !
Или нямаш напредстава какво говориш, или решаваш нечий проблем без да знаеш как да зададеш въпроса си.
Се си мисля че може и без това (доста съмнително деяние)да ти спре нета
P.s. Прости скептицизма ми (доста измекяри се навъртат наоколо), ама не ти вярвам !
Или нямаш напредстава какво говориш, или решаваш нечий проблем без да знаеш как да зададеш въпроса си.
Титла: Кражба на gw
Публикувано от: gat3way в Oct 07, 2006, 00:31
Ако ти отговори преди "истинския" gw на АРП запитване, много лесно...
Титла: Кражба на gw
Публикувано от: vnestorov в Oct 07, 2006, 02:05
При такива ситуации DHCP е още по-зле.
Имал съм случай и DHCP сървър да пускат.
Ако може да се изключват сегменти от мрежата пробвай да го локализираш.
Имал съм случай и DHCP сървър да пускат.
Ако може да се изключват сегменти от мрежата пробвай да го локализираш.
Титла: Кражба на gw
Публикувано от: gat3way в Oct 07, 2006, 11:21
Когато потребителите ползват DHCP можеш ако си лош да си пуснеш и ти едно dhcpd, тогава пак става забавно, ефектът е съпоставим че вероятно и по-лош отколкото ако си смениш ip адреса с този на gw. А и срещу това няма да те спасят статични пермаментни арп entries или пък таблици