форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Воровство с одними и теми же IP и MAC адресами."
Сообщение от AVA on 12-Мрт-02, 18:22  (MSK)
Кто-нибудь сталкивался с вороством в виде подставления айпи и мака "жертвы" и параллельной работы их обоих. Как с этим бороться?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Воровство с одними и теми же IP и MAC адресами."
Сообщение от Zergling on 12-Мрт-02, 19:20  (MSK)
>Кто-нибудь сталкивался с вороством в виде >подставления айпи и мака "жертвы" >и параллельной работы их обоих. >Как с этим бороться? статическая привязка ip<->mac может осуществляться с помощью arp -f <имя файла> но сам понмаешь это неудобно при использовании dhcp
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: Воровство с одними и теми же IP и MAC адресами."
	Сообщение от dukie on 12-Мрт-02, 20:00  (MSK)
	А при чем тут статистическая привязка ip<->mac если вор меняет оба параметра подстраиваясь под жертву? Может какие свитчи умеют привязывать к порту мак адрес ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: Воровство с одними и теми же IP и MAC адресами."
	Сообщение от Igor on 12-Мрт-02, 22:18  (MSK)
	>А при чем тут статистическая привязка ip<->mac если вор меняет оба параметра подстраиваясь под жертву? >Может какие свитчи умеют привязывать к >порту мак адрес ? могут (модели не помню)..  привяжи IP к определенному порту и все будет ладушки..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: Воровство с одними и теми же IP и MAC адресами."
	Сообщение от dukie on 13-Мрт-02, 13:37  (MSK)
	Может еще как вариант защиты организовывыть vpn от жертвы до гейтвея в инет ? Или меня не туда занесло ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: Воровство с одними и теми же IP и MAC адресами."
	Сообщение от r7mka on 13-Мрт-02, 19:44  (MSK)
	>Может еще как вариант защиты организовывыть >vpn от жертвы до гейтвея >в инет ? Или меня >не туда занесло ? Народ, вы о чем? Ваще-то как я помню MAC - это некий уникалный АДРЕС. Он ПРОШИТ в сетевухе насмерть. Иначе бы у ВАС в сетке эти 2-а компа одновременно работать бы не смогли. Так что ни о какой подмене речи идти не может. Почитайте тут : http://www.citforum.ru/nets/ip/glava_3.shtml
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "RE: Воровство с одними и теми же IP и MAC адресами."
	Сообщение от dukie on 13-Мрт-02, 19:53  (MSK)
	Высказываю мнение, что во FreeBSD MAC очень ловко ifconfig-ом меняется .. В том по моему и суть вопросса была, что 2 карточки с одинаковыми маками легко в сети уживаются.. получается одна невидимка(вор трафика) -  и как это безобразие предотвратить :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "RE: Воровство с одними и теми же IP и MAC адресами."
	Сообщение от asd on 13-Мрт-02, 20:34  (MSK)
	>Народ, вы о чем? Ваще-то как >я помню MAC - это >некий уникалный АДРЕС. Он ПРОШИТ >в сетевухе насмерть. Как бы большинство современных карточек позволяет менять mac-address. man ifconfig
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "RE: Воровство с одними и теми же IP и MAC адресами."
	Сообщение от schtazen on 14-Мрт-02, 16:26  (MSK)
	>>Народ, вы о чем? Ваще-то как >>я помню MAC - это >>некий уникалный АДРЕС. Он ПРОШИТ >>в сетевухе насмерть. > >Как бы большинство современных карточек позволяет >менять mac-address. >man ifconfig Единственный действенный способ бороться с подменой IP и MAC адреса на одном сегменте сети - это свичи со жесткой привязкой маков к портам... дороговато, однако....
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "RE: Воровство с одними и теми же IP и MAC адресами."
	Сообщение от dukie on 14-Мрт-02, 21:45  (MSK)
	Не - а если от жертвы до провайдера в локалке тунель поставить - вор туда же не сможет влезть или как ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "RE: Воровство с одними и теми же IP и MAC адресами."
	Сообщение от vladka on 15-Мрт-02, 14:01  (MSK)
	два выхода, на мой взгляд: 1. либо хороший свич с поддержкой VLAN и привязкой MAC к порту (у нас так сделано и работает!) в качестве вариантов - Intel 460T либо Allied Telesyn 8124 и старше... правда, добро не сертифицировано... 2. настраиваешь VPN между собой и клиентом - тоже неплохо, но мороки больше...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "RE: Воровство с одними и теми же IP и MAC адресами."
	Сообщение от r7mka on 16-Мрт-02, 13:47  (MSK)
	Народ, прощу прощения.. я ошибался.. тут давича вспомнил статью: Ложный ARP-сервер в сети Internet(хотя Intranet это тоже касается) http://bugtraq.ru/library/books/attack/chapter04/02.html Почитайте, занятно :)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "RE: Воровство с одними и теми же IP и MAC адресами."
	Сообщение от Dmitriy on 20-Мрт-02, 13:19  (MSK)
	А чем в этом случае может помочь VPN ? Что-то я не допонял... Можно пару слов подробнее.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "RE: Воровство с одними и теми же IP и MAC адресами."
	Сообщение от Kristo on 20-Мрт-02, 13:35  (MSK)
	PPPoE вам поможет, делается авторизация по логину и паролю, и никаких привязок к IP
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "RE: Воровство с одними и теми же IP и MAC адресами."
	Сообщение от r7mka on 20-Мрт-02, 19:37  (MSK)
	>А чем в этом случае может >помочь VPN ? >Что-то я не допонял... >Можно пару слов подробнее. Ответ тут же рядом http://bugtraq.ru/library/books/attack/chapter08/01.html Коротко напомним, что в главе 4 рассматривалась удаленная атака, использующая недостатки в механизме удаленного поиска на базе протокола ARP. В том случае, если у сетевой ОС отсутствует информация о соответствии IP- и Ethernet-адресов хостов внутри одного сегмента IP-сети, данный протокол позволяет посылать широковещательный ARP-запрос на поиск необходимого Ethernet-адреса, на который атакующий может прислать ложный ответ, и в дальнейшем весь трафик на канальном уровне окажется перехваченным атакующим и пройдет через ложный ARP-cepвер. Очевидно, что для ликвидации данной атаки необходимо устранить причину ее возможного осуществления, которая заключается в отсутствии у ОС каждого хоста необходимой информации о соответствующих IР-и Ethernet-адресах всех остальных хостов внутри данного сегмента сети. Таким образом, самое простое решение - создать сетевым администратором статическую ARP-таблицу в виде файла (в ОС UNIX обычно /etc/ethers), куда внести необходимую информацию об адресах. Данный файл устанавливается на каждый хост внутри сегмента, и, следовательно, у сетевой ОС отпадает необходимость в использовании удаленного ARP-поиска. Правда, отметим, что ОС Windows 95 это не помогает. -------------------- Проще говоря, тебя надо привязать MAC и IP. Либо как вариант пользовать /etc/ethers либо что-то подобное. Второй выход - SWITCH (не HUB), в нем ты можешь явным образом прописать всю таблицу связей, что позволит при данной атаке просто блокировать хост.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "RE: Воровство с одними и теми же IP и MAC адресами."
	Сообщение от r7mka on 20-Мрт-02, 19:43  (MSK)
	Что касается /etc/ethers - "man arp" (там где -f filename, --file filename) И еще "man ethers" Удачи!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "RE: Воровство с одними и теми же IP и MAC адресами."
	Сообщение от ftp on 20-Мрт-02, 20:28  (MSK)
	>>А чем в этом случае может >>помочь VPN ? >>Что-то я не допонял... >>Можно пару слов подробнее. > >Ответ тут же рядом >http://bugtraq.ru/library/books/attack/chapter08/01.html > >Коротко напомним, что в главе 4 >рассматривалась удаленная атака, использующая недостатки >в механизме удаленного поиска на >базе протокола ARP. В том >случае, если у сетевой ОС >отсутствует информация о соответствии IP- >и Ethernet-адресов хостов внутри одного >сегмента IP-сети, данный протокол позволяет >посылать широковещательный ARP-запрос на поиск >необходимого Ethernet-адреса, на который атакующий >может прислать ложный ответ, и >в дальнейшем весь трафик на >канальном уровне окажется перехваченным атакующим >и пройдет через ложный ARP-cepвер. >Очевидно, что для ликвидации данной >атаки необходимо устранить причину ее >возможного осуществления, которая заключается в >отсутствии у ОС каждого хоста >необходимой информации о соответствующих IР-и >Ethernet-адресах всех остальных хостов внутри >данного сегмента сети. Таким образом, >самое простое решение - создать >сетевым администратором статическую ARP-таблицу в >виде файла (в ОС UNIX >обычно /etc/ethers), куда внести необходимую >информацию об адресах. Данный файл >устанавливается на каждый хост внутри >сегмента, и, следовательно, у сетевой >ОС отпадает необходимость в использовании >удаленного ARP-поиска. Правда, отметим, что >ОС Windows 95 это не >помогает. > >-------------------- >Проще говоря, тебя надо привязать MAC >и IP. Либо как вариант >пользовать /etc/ethers либо что-то подобное. >Второй выход - SWITCH (не >HUB), в нем ты можешь >явным образом прописать всю таблицу >связей, что позволит при данной >атаке просто блокировать хост. А по моему тебя не туда занесло - ты говоришь про защиту от arp пойзонинга, а топик совсем про другое - про смену пары тсп/мак котороя не отслеживается.  А vpn поможет наличием ключа для шифрования, которого вор не знает и соответственно не может влезть в канал и скачать твой трафик.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "RE: Воровство с одними и теми же IP и MAC адресами."
	Сообщение от Kir on 22-Мрт-02, 20:44  (MSK)
	часто эта тема обсуждается на www.nag.ru Две машины похоже могут работать в одном сегменте даже если mac+IP совпадают. Решения или свичи с VLAN, они дороги, или VPN (ssh, IPSec) ....
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "RE: Воровство с одними и теми же IP и MAC адресами."
	Сообщение от stranger on 25-Мрт-02, 11:04  (MSK)
	>часто эта тема обсуждается на www.nag.ru > >Две машины похоже могут работать в >одном сегменте даже если mac+IP >совпадают. Решения или свичи с >VLAN, они дороги, или VPN >(ssh, IPSec) .... http://www.nag.ru/2002/0403/3m2.shtml
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	19. "RE: Воровство с одними и теми же IP и MAC адресами."
	Сообщение от error on 27-Мрт-03, 15:20  (MSK)
	1 вариант - выдергивая провода из свитча находишь злоумышленника 2 вариант - ставишь прокси, обязательно авторизацию с паролем, прямую маршрутизацию режешь. А жертве обьясняешь, что если он пароль поведает кому-нибудь или разрешит ставить прокси на своей машине то и платить будет сам. ЗЫ. таких специалистов запросто меняющих Ай-пи и Маки наверняка 1 - 2 не больше на всю контору. Можно и просто наехать
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.