Изпечатай

[stdout]

Здравейте.

Зачудих се дали има начин някак да кажа на компютъра ми 'отговаряй на arp заявките само ако идват от това, това и това айпи а другите ги игнорирай'? Търся информация от известно време по този въпрос, но съм в задънена улица, и оставам с впечатлението че нямам тази възможност...

Ако някой има информация по този въпрос, нека ме насочи на къде да чета...

Благодарско.

[sdr]

http://www.google.com/search?....=Search

http://arpstar.sourceforge.net/

[gat3way]

arpstar е базирано на NF hooks, ляляля...

...знаех си аз че тия неща позволяват доста хубости '>

[stdout]

arpstar наистина е доста интересно туул-че, жалко че ползвам ядро от 2.4 линията... нямам възможност да го пробвам  '>
нещо подобно за 2.4 дали ще се намери...

[gat3way]

Хм, обаче като се замисля това с repoisoning-a не е особено добра идея. Представям си една мрежа от 10 хоста с arpstar, в която като пусна няколко фалшиви ARP replies...10 хоста ще се засилят да пращат arp repoisoning "контраатаки", което дава добра възможност за DoS на цялата мрежа, колкото по-голяма и с повече хостове с тва чудо, толкова по-зле '>

Освен което това все пак няма как да спре проста mac/ip spoofing атака..там всичко ще опре все пак до суич-а.

[stdout]

Имаш право '> Ефекта е много приятен... Аз се опитвам да скрия компютъра ми в локалната мрежа при разните му сканирания като разреша обмяната на арп пакети само между мен и няколко айпи-та. Ясно ми е, че със sniffer пак ще може да се вижда трафика, но ей така за експеримента се опитвам да го направя.

[George Andonov]

Цитат (stdout @ Окт. 04 2006,11:53)

... Аз се опитвам да скрия компютъра ми в локалната мрежа ... като разреша обмяната на арп пакети само между мен и няколко айпи-та. ...

Мисля, че е по-добра идея да забраниш ARP на тази машина.
И да добавиш статични ARP записи само за машините с които искаш да си комуникираш.

[gat3way]

В рамките на един етернет сегмент да.

Ммм обаче ако рутерът ти е навързан и към други събнети от провайдъра ти не му пречи да те достъпват. Съответно тогава се налага и ip filtering.

[George Andonov]

Цитат (gat3way @ Окт. 04 2006,12:53)

В рамките на един етернет сегмент да. Ммм обаче ако рутерът ти е навързан и към други събнети от провайдъра ти не му пречи да те достъпват. Съответно тогава се налага и ip filtering.

Какви събнети? Какъв IP филтър? К'ви 5 лева?

ARP се отнася замо за IP устройствата включени в твоя етернет сегмент!
След първият маршрутизатор, въобще не те интересува какво става.

Я си прочети отново как работи ARP.

[gat3way]

Оф!

Да речем че си в етернет сегмент с ip allocation 192.168.1.0/24. gateway-a на тази мрежа е машина на която "имаш доверие". Същия рутер е навързан и към друг събнет, нека да речем от съседния квартал където имат ip адреси от 192.168.2.0/24. Понеже можеш да си комуникираш с рутера, съответно всичките машини от мрежа 192.168.2.0/24 могат да си комуникират с теб поради простата причина че нещата протичат на layer3 ниво. Следователно ти трябват ip filtering правила за да им забраниш да комуникират с теб.

По абсолютно същата причина, дори в рамките на един етернет сегмент ако изолираш машините в отделни VLAN-ове и имаш един рутер, член на всички vlan-и, за когото нямаш никакви ip filtering правила, кел файда от тази "изолация", защото ще можеш да си комуникираш с всички машини от други VLAN-ове без никакъв проблем. Защото може и да не комуникираш пряко по layer2, но на layer3 ниво (IP) има начин машините да си комуникират.

ARP иначе ще прочета как работи, щом си ми наредил, нямам какво да правя '>

[Bogo]

Става въпрос че машина от друг съб-нет неможе да ти изпрати манипулирана ARP заявка

[George Andonov]

Цитат (gat3way @ Окт. 04 2006,17:18)

... Да речем че си в етернет сегмент с ip allocation 192.168.1.0/24. gateway-a на тази мрежа е машина на която "имаш доверие". Същия рутер е навързан и към друг събнет, нека да речем от съседния квартал където имат ip адреси от 192.168.2.0/24. Понеже можеш да си комуникираш с рутера, съответно всичките машини от мрежа 192.168.2.0/24 могат да си комуникират с теб поради простата причина че нещата протичат на layer3 ниво. Следователно ти трябват ip filtering правила за да им забраниш да комуникират с теб. ...

@gat3way: Човека ти го е обяснил.

Цитат (Bogo @ Окт. 04 2006,18:02)

Става въпрос че машина от друг съб-нет неможе да ти изпрати манипулирана ARP заявка

Защото ARP работи на layer 2 т.е. в рамките на един етернет сегмент.
А маршрутизаторите не препредават ARP пакети.

[gat3way]

// режим "заяждане" включен '>

ARP протоколът НЕ е протокол от слой 2, а от слой 3 (network layer-a). Това е често правена грешка. ARP работи точно толкова върху layer2 колкото и IP протокола. Това че винаги един АРП пакет успява да се вмести в рамките на MTU-то от 1500 байта и няма фрагментация, не означава че АРП е протоколът е от data link слоя '>

А, рутерите между другото  при дадени обстоятелства могат да "препредават" layer2 фреймове, пренаписвайки ARP заявки on-the-fly, подобно на това което става при NAT.

Това става ако го играят proxyarp. С тази разлика че при това положение нямаш възможност да "цапаш" АРП таблицата на жертвата си, която се намира в другия сегмент.

[zeridon]

насочи се към iptables & sysctl

$SCTL net.ipv4.conf.default.proxy_arp=0
$SCTL net.ipv4.conf.default.arp_filter=1
$SCTL net.ipv4.conf.default.arp_announce=2
$SCTL net.ipv4.conf.default.arp_ignore=2

има доста хубава документация какво правят тези работи и как точно влияят на мрежовата комуникация.
Но все пак първата идея дето беше дадена (Забранен арп и статично конфигурирани арпове) е най добрата

[stdout]

Идеално... Благодаря Ви много.