Титла: Arp
Публикувано от: stdout в Oct 04, 2006, 08:46
Здравейте.
Зачудих се дали има начин някак да кажа на компютъра ми 'отговаряй на arp заявките само ако идват от това, това и това айпи а другите ги игнорирай'? Търся информация от известно време по този въпрос, но съм в задънена улица, и оставам с впечатлението че нямам тази възможност...
Ако някой има информация по този въпрос, нека ме насочи на къде да чета...
Благодарско.
Зачудих се дали има начин някак да кажа на компютъра ми 'отговаряй на arp заявките само ако идват от това, това и това айпи а другите ги игнорирай'? Търся информация от известно време по този въпрос, но съм в задънена улица, и оставам с впечатлението че нямам тази възможност...
Ако някой има информация по този въпрос, нека ме насочи на къде да чета...
Благодарско.
Титла: Arp
Публикувано от: sdr в Oct 04, 2006, 09:25
Титла: Arp
Публикувано от: gat3way в Oct 04, 2006, 09:48
arpstar е базирано на NF hooks, ляляля...
...знаех си аз че тия неща позволяват доста хубости
...знаех си аз че тия неща позволяват доста хубости
Титла: Arp
Публикувано от: stdout в Oct 04, 2006, 10:05
arpstar наистина е доста интересно туул-че, жалко че ползвам ядро от 2.4 линията... нямам възможност да го пробвам 
нещо подобно за 2.4 дали ще се намери...
нещо подобно за 2.4 дали ще се намери...
Титла: Arp
Публикувано от: gat3way в Oct 04, 2006, 10:19
Хм, обаче като се замисля това с repoisoning-a не е особено добра идея. Представям си една мрежа от 10 хоста с arpstar, в която като пусна няколко фалшиви ARP replies...10 хоста ще се засилят да пращат arp repoisoning "контраатаки", което дава добра възможност за DoS на цялата мрежа, колкото по-голяма и с повече хостове с тва чудо, толкова по-зле
Освен което това все пак няма как да спре проста mac/ip spoofing атака..там всичко ще опре все пак до суич-а.
Освен което това все пак няма как да спре проста mac/ip spoofing атака..там всичко ще опре все пак до суич-а.
Титла: Arp
Публикувано от: stdout в Oct 04, 2006, 10:53
Имаш право 
Ефекта е много приятен... Аз се опитвам да скрия компютъра ми в локалната мрежа при разните му сканирания като разреша обмяната на арп пакети само между мен и няколко айпи-та. Ясно ми е, че със sniffer пак ще може да се вижда трафика, но ей така за експеримента се опитвам да го направя.
Ефекта е много приятен... Аз се опитвам да скрия компютъра ми в локалната мрежа при разните му сканирания като разреша обмяната на арп пакети само между мен и няколко айпи-та. Ясно ми е, че със sniffer пак ще може да се вижда трафика, но ей така за експеримента се опитвам да го направя.Титла: Arp
Публикувано от: George Andonov в Oct 04, 2006, 11:28
| Цитат (stdout @ Окт. 04 2006,11:53) |
| ... Аз се опитвам да скрия компютъра ми в локалната мрежа ... като разреша обмяната на арп пакети само между мен и няколко айпи-та. ... |
Мисля, че е по-добра идея да забраниш ARP на тази машина.
И да добавиш статични ARP записи само за машините с които искаш да си комуникираш.
Титла: Arp
Публикувано от: gat3way в Oct 04, 2006, 11:53
В рамките на един етернет сегмент да.
Ммм обаче ако рутерът ти е навързан и към други събнети от провайдъра ти не му пречи да те достъпват. Съответно тогава се налага и ip filtering.
Ммм обаче ако рутерът ти е навързан и към други събнети от провайдъра ти не му пречи да те достъпват. Съответно тогава се налага и ip filtering.
Титла: Arp
Публикувано от: George Andonov в Oct 04, 2006, 13:42
| Цитат (gat3way @ Окт. 04 2006,12:53) |
| В рамките на един етернет сегмент да. Ммм обаче ако рутерът ти е навързан и към други събнети от провайдъра ти не му пречи да те достъпват. Съответно тогава се налага и ip filtering. |
Какви събнети? Какъв IP филтър? К'ви 5 лева?
ARP се отнася замо за IP устройствата включени в твоя етернет сегмент!
След първият маршрутизатор, въобще не те интересува какво става.
Я си прочети отново как работи ARP.
Титла: Arp
Публикувано от: gat3way в Oct 04, 2006, 16:18
Оф!
Да речем че си в етернет сегмент с ip allocation 192.168.1.0/24. gateway-a на тази мрежа е машина на която "имаш доверие". Същия рутер е навързан и към друг събнет, нека да речем от съседния квартал където имат ip адреси от 192.168.2.0/24. Понеже можеш да си комуникираш с рутера, съответно всичките машини от мрежа 192.168.2.0/24 могат да си комуникират с теб поради простата причина че нещата протичат на layer3 ниво. Следователно ти трябват ip filtering правила за да им забраниш да комуникират с теб.
По абсолютно същата причина, дори в рамките на един етернет сегмент ако изолираш машините в отделни VLAN-ове и имаш един рутер, член на всички vlan-и, за когото нямаш никакви ip filtering правила, кел файда от тази "изолация", защото ще можеш да си комуникираш с всички машини от други VLAN-ове без никакъв проблем. Защото може и да не комуникираш пряко по layer2, но на layer3 ниво (IP) има начин машините да си комуникират.
ARP иначе ще прочета как работи, щом си ми наредил, нямам какво да правя
Да речем че си в етернет сегмент с ip allocation 192.168.1.0/24. gateway-a на тази мрежа е машина на която "имаш доверие". Същия рутер е навързан и към друг събнет, нека да речем от съседния квартал където имат ip адреси от 192.168.2.0/24. Понеже можеш да си комуникираш с рутера, съответно всичките машини от мрежа 192.168.2.0/24 могат да си комуникират с теб поради простата причина че нещата протичат на layer3 ниво. Следователно ти трябват ip filtering правила за да им забраниш да комуникират с теб.
По абсолютно същата причина, дори в рамките на един етернет сегмент ако изолираш машините в отделни VLAN-ове и имаш един рутер, член на всички vlan-и, за когото нямаш никакви ip filtering правила, кел файда от тази "изолация", защото ще можеш да си комуникираш с всички машини от други VLAN-ове без никакъв проблем. Защото може и да не комуникираш пряко по layer2, но на layer3 ниво (IP) има начин машините да си комуникират.
ARP иначе ще прочета как работи, щом си ми наредил, нямам какво да правя
Титла: Arp
Публикувано от: Bogo в Oct 04, 2006, 17:02
Става въпрос че машина от друг съб-нет неможе да ти изпрати манипулирана ARP заявка
Титла: Arp
Публикувано от: George Andonov в Oct 04, 2006, 17:11
| Цитат (gat3way @ Окт. 04 2006,17:18) |
| ... Да речем че си в етернет сегмент с ip allocation 192.168.1.0/24. gateway-a на тази мрежа е машина на която "имаш доверие". Същия рутер е навързан и към друг събнет, нека да речем от съседния квартал където имат ip адреси от 192.168.2.0/24. Понеже можеш да си комуникираш с рутера, съответно всичките машини от мрежа 192.168.2.0/24 могат да си комуникират с теб поради простата причина че нещата протичат на layer3 ниво. Следователно ти трябват ip filtering правила за да им забраниш да комуникират с теб. ... |
@gat3way: Човека ти го е обяснил.
| Цитат (Bogo @ Окт. 04 2006,18:02) |
| Става въпрос че машина от друг съб-нет неможе да ти изпрати манипулирана ARP заявка |
Защото ARP работи на layer 2 т.е. в рамките на един етернет сегмент.
А маршрутизаторите не препредават ARP пакети.
Титла: Arp
Публикувано от: gat3way в Oct 04, 2006, 17:45
// режим "заяждане" включен
ARP протоколът НЕ е протокол от слой 2, а от слой 3 (network layer-a). Това е често правена грешка. ARP работи точно толкова върху layer2 колкото и IP протокола. Това че винаги един АРП пакет успява да се вмести в рамките на MTU-то от 1500 байта и няма фрагментация, не означава че АРП е протоколът е от data link слоя
А, рутерите между другото при дадени обстоятелства могат да "препредават" layer2 фреймове, пренаписвайки ARP заявки on-the-fly, подобно на това което става при NAT.
Това става ако го играят proxyarp. С тази разлика че при това положение нямаш възможност да "цапаш" АРП таблицата на жертвата си, която се намира в другия сегмент.
ARP протоколът НЕ е протокол от слой 2, а от слой 3 (network layer-a). Това е често правена грешка. ARP работи точно толкова върху layer2 колкото и IP протокола. Това че винаги един АРП пакет успява да се вмести в рамките на MTU-то от 1500 байта и няма фрагментация, не означава че АРП е протоколът е от data link слоя
А, рутерите между другото при дадени обстоятелства могат да "препредават" layer2 фреймове, пренаписвайки ARP заявки on-the-fly, подобно на това което става при NAT.
Това става ако го играят proxyarp. С тази разлика че при това положение нямаш възможност да "цапаш" АРП таблицата на жертвата си, която се намира в другия сегмент.
Титла: Arp
Публикувано от: zeridon в Oct 04, 2006, 19:00
насочи се към iptables & sysctl
$SCTL net.ipv4.conf.default.proxy_arp=0
$SCTL net.ipv4.conf.default.arp_filter=1
$SCTL net.ipv4.conf.default.arp_announce=2
$SCTL net.ipv4.conf.default.arp_ignore=2
има доста хубава документация какво правят тези работи и как точно влияят на мрежовата комуникация.
Но все пак първата идея дето беше дадена (Забранен арп и статично конфигурирани арпове) е най добрата
$SCTL net.ipv4.conf.default.proxy_arp=0
$SCTL net.ipv4.conf.default.arp_filter=1
$SCTL net.ipv4.conf.default.arp_announce=2
$SCTL net.ipv4.conf.default.arp_ignore=2
има доста хубава документация какво правят тези работи и как точно влияят на мрежовата комуникация.
Но все пак първата идея дето беше дадена (Забранен арп и статично конфигурирани арпове) е най добрата
Титла: Arp
Публикувано от: stdout в Oct 09, 2006, 19:20
Идеално... Благодаря Ви много.