Тема: Кражба на gw (Прочетена 3218 пъти)

revolta · « -: Sep 27, 2006, 17:12 »

Някакъв ламер си е сложил за IP адреса на шлюза от който получава интерента - така че се получава конфликт на айпитата и другите потребители не могат да ползват интернета ! Има ли някаква защита срещу такава кражба -шлюза който разпределя интернета е под линукс REDHAT. Засякох мак адреса на абоната но не знам на кой точно е ... ще съм благодарен за малко помощ ...

Bogo · « **Отговор #1 -:** Sep 27, 2006, 17:34 »

това което знам е да си направиш статичен запис за mac-а на гейта
arp -f /etc/ethers
в този файл пишеш ай-пи то на гейта и мац адреса му така:
192.168.1.254 FF:FF:FF:FF:FF:FF
а иначе имаше цяла статия тук на сайта но немога да я намеря
това "хакерче" явно я е чело

'>

revolta · « **Отговор #2 -:** Sep 27, 2006, 17:52 »

Мисля че е случайно - поне ситуацията ми изглежда такава - гетуея ми е 192.168.1.1 - предполагам че абоната е с някакъв рутер - до сега е имал зададен адрес, но се ресетва поради някаква причина - токов удар или нещо подобно и си слага адреса по подразбиране 192.168.1.1 !!!!

gat3way · « **Отговор #3 -:** Sep 27, 2006, 17:56 »

Ако:

$GW_ADDR ти е ип адреса на рутера:
$GW_MAC ти е мак адреса на рутера:

ip nei add to $GW_ADDR dev eth0 lladdr $GW_MAC nud perm

Bogo · « **Отговор #4 -:** Sep 27, 2006, 22:18 »

Еййй... сетих се

'> заразяване на ARP кеша беше името на статията . Спомням си че когато я четох много ми хареса

'>

VladSun · « **Отговор #5 -:** Sep 28, 2006, 02:38 »

Хм ...
Какво ще се оправи, ако се защити gateway-а със статична таблица?!?! Ефекта, който иска питащия, се постига точно наобратното - на клиентите трябва да им е статична ARP таблицата (поне за ИП-МАЦ чифта на gateway-a). Иначе - никакъв ефект в switching мрежа.

Проблемът преди при мен го разрешавах (по-скоро улеснявах разрешаването му) с използванет на arpwatch + база данни за потребителите включваща и техните MAC адреси + модифициран CGI за arpwatch, който използва тази база данни. По този начин много бързо разбирах кой end-user ( ама каква мръсна думичка е това понякога

'> ) е сложил ИП-то на gateway-а за свое.

Реално погледнато защита от такава ситуация няма, иначе нямаше да има и Man-in-the-Middle-Attacks в Ethernet среда.

laskov · « **Отговор #6 -:** Sep 28, 2006, 09:13 »

Освен ако в мрежата има DHCP и повечето клиенти го ползват да се смени адреса на GW

gat3way · « **Отговор #7 -:** Sep 28, 2006, 09:53 »

@Vladsun, тази команда е за клиента, няма как да добавиш в арп таблицата ентри с айпи/мак на някой локален интерфейс. Ядрото няма да даде това да влезе в арп таблицата (пробвай все пак, бих се учудил ако стане).

@laskov dhcp сървъра с нищо не помага, дори напротив, допринася броят на възможните атаки да нарасне

'>

VladSun · « **Отговор #8 -:** Sep 28, 2006, 22:34 »

Сега като поразгледах горните постове установих, че вероятността за предлагане на решение със "статична таблица на GW" и вероятността за решение със "статична таблица за *всеки* потребител" e 50/50. При първо четене обаче, логиката подсъзнателно подсказва, че няма голяма възможност администратора да мине по всички потребители и да им направи статична АРП таблица и поради това се отхвърля тази възможност.

Казано с други думи - решение със статични АРП таблици за потребителите, когато броят им е относително достатъчно голям не е решение.

gat3way · « **Отговор #9 -:** Sep 29, 2006, 10:13 »

Няма нужда от "статични" таблици, /etc/ethers блабла неща. Просто arp entry-то се добавя с флаг permament. За жалост това е възможно единствено при линукс с инсталиран iproute2 пакет.

VladSun: Много си прав, че не е решение това да се прави на всяка машина (а и не мисля че всички машини са на линукс). Отделно че никой не е казал че статичната таблица ще реши проблема ако някой реши да си spoof-не и МАК адреса с този на рутера, тогава дори клиентите да си пазят статично-набити арп данни, пак е възможно да го отнесат. Аз и затова се учудих как този хулиган не се е сетил да си смени и МАК адреса...после ако е по-голяма мрежата ходи го намери кой е

'>

Като желаете удобно и по-добро секюрити ммм вадите пари и си купувате суич-ове които имат port security...казвате на кой порт кой може да комуникира и нещата цъфват (поне по отношение на spoofing проблемите де)

divak · « **Отговор #10 -:** Oct 06, 2006, 23:06 »

revolta, как така си е сложил сложил за IP адреса на шлюза, и това да пречи на останалите?
Се си мисля че може и без това (доста съмнително деяние)да ти спре нета

'>

P.s. Прости скептицизма ми (доста измекяри се навъртат наоколо), ама не ти вярвам !
Или нямаш напредстава какво говориш, или решаваш нечий проблем без да знаеш как да зададеш въпроса си.

'>

gat3way · « **Отговор #11 -:** Oct 07, 2006, 00:31 »

Ако ти отговори преди "истинския" gw на АРП запитване, много лесно...

vnestorov · « **Отговор #12 -:** Oct 07, 2006, 02:05 »

При такива ситуации DHCP е още по-зле.
Имал съм случай и DHCP сървър да пускат.
Ако може да се изключват сегменти от мрежата пробвай да го локализираш.

gat3way · « **Отговор #13 -:** Oct 07, 2006, 11:21 »

Когато потребителите ползват DHCP можеш ако си лош да си пуснеш и ти едно dhcpd, тогава пак става забавно, ефектът е съпоставим че вероятно и по-лош отколкото ако си смениш ip адреса с този на gw. А и срещу това няма да те спасят статични пермаментни арп entries или пък таблици

'>

Автор Тема: Кражба на gw (Прочетена 3218 пъти)