forum.opennet.ru - "Arp спуфинг" (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Arp спуфинг"

Форум Информационная безопасность (Авторизация и аутентификация / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Arp спуфинг"	+/–
Сообщение от vov12 (ok) on 10-Фев-11, 13:22
на шлюзе поднял статичный арп, отключил отправку АРП запроса, оставил тока ответ - провел атаку с машины мака которой нет в табличке шлюза - атака успешная!!!проверил АРП табличку на шлюзе - тока статичные правила.... посмотрел АРП таблицы на жертве - там вместо мака шлюза злой хакерский программ подставил свой мак, на самом шлюзе табличка не изменилась!!! Тое сть комп хакер встал между жертвой и шлюзом не подделывая мак на шлюзе!? Пипец! и как с этим бороться? всю сеть переводить на статичный АРП? staticarp - себя не оправдал...
Ответить \| Правка \| Cообщить модератору

Оглавление

Arp спуфинг, skeletor, 14:51 , 10-Фев-11, (1)

Arp спуфинг, vov12, 06:06 , 11-Фев-11, (2)

Arp спуфинг, Дядя_Федор, 11:56 , 11-Фев-11, (3)

Arp спуфинг, vov12, 06:15 , 17-Фев-11, (4)

Arp спуфинг, tux2002, 14:07 , 03-Мрт-11, (5)

Arp спуфинг, Aleks305, 13:02 , 07-Мрт-11, (6)

Arp спуфинг, akagi, 02:26 , 10-Окт-11, (8)

Сообщения по теме [Сортировка по времени | RSS]

1. "Arp спуфинг" +/–

Сообщение от skeletor (ok) on 10-Фев-11, 14:51

Если эти 3 компа (шлюз, хакер, жертва) в приделах одной сети, то никак. Ибо они общаются без участия шлюза :)
Настрой на жертве static arp и попробуй "хакнуть". Ничего не выйдет у тебя.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Arp спуфинг" +/–

Сообщение от vov12 (ok) on 11-Фев-11, 06:06

> Если эти 3 компа (шлюз, хакер, жертва) в приделах одной сети, то
> никак. Ибо они общаются без участия шлюза :)
> Настрой на жертве static arp и попробуй "хакнуть". Ничего не выйдет у
> тебя.
да именно так и есть, все в одной сетке. Первый мой опыт был проведён без staticarpа я увидел, что подмена  маков была произведена в таблицах жертвы и шлюза, ну и подумал грешным делом, что после установки статичной таблички на шлюзе атакуищий обломиться, так-как на шлюзе подменить ему АРПу не удасться! Однако ettercap(хакерская програмуля) оказался хитрее!
Блин а что, других способов борьбы с ентим злом не найдено? Интересно - можно как-то организовать на ipfw проверку соответствия  мак - ip ?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Arp спуфинг" +/–

Сообщение от Дядя_Федор on 11-Фев-11, 11:56

> Блин а что, других способов борьбы с ентим злом не найдено? Интересно
> - можно как-то организовать на ipfw проверку соответствия  мак -
> ip ?
Посмотрите в сторону arpwatch.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Arp спуфинг" +/–

Сообщение от vov12 (ok) on 17-Фев-11, 06:15

>> Блин а что, других способов борьбы с ентим злом не найдено? Интересно
>> - можно как-то организовать на ipfw проверку соответствия  мак -
>> ip ?
>  Посмотрите в сторону arpwatch.
спасибо конечно, но arpwatch единственное что сделает это зафиксирует атаку, мол на прошлой неделе вас отимели, а мне этого как-то мало. Прописал на шлюзе статический арп(благо там unix), на виндовых машинах в сети прописал статически  адрес шлюза - вроде ettercap обломался. Но обломался только на отрезке  виндовая машина - шлюз, а вот как заставить виндовые машины загружать список с АРП записями я не нашел. в виндовом хелпе ARP /? нету ни слова про  -f и гугель молчит...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Arp спуфинг" +/–

Сообщение от tux2002 (ok) on 03-Мрт-11, 14:07

Если у шлюза статическая arp таблица, то до клиента соединение однозначно. Хакер получит только одно направление траффика.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Arp спуфинг" +/–

Сообщение от Aleks305 (ok) on 07-Мрт-11, 13:02

> Если у шлюза статическая arp таблица, то до клиента соединение однозначно. Хакер
> получит только одно направление траффика.
В пределах одной сети может помочь Dynamic Arp Inspection,но эта функция есть только на комутаторах cisco, HP(это проверено). Свитч имеет собственную базу mac-ip с которой сравнивает все пакеты, поступающие через интерфейсы, тоже самое касается arp-запросов/ответов. То есть к вашей сети атакующий уже не сможет подключиться.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Arp спуфинг" +/–

Сообщение от akagi on 10-Окт-11, 02:26

> на шлюзе поднял статичный арп, отключил отправку АРП запроса, оставил тока ответ
> - провел атаку с машины мака которой нет в табличке шлюза
> - атака успешная!!!проверил АРП табличку на шлюзе - тока статичные правила....
> посмотрел  АРП таблицы на жертве - там вместо мака шлюза злой
> хакерский программ подставил свой мак, на самом шлюзе табличка не изменилась!!!
> Тое сть комп хакер встал между  жертвой и шлюзом не
> подделывая мак на шлюзе!? Пипец! и как с этим бороться? всю
> сеть переводить на статичный АРП? staticarp - себя не оправдал...
Если на шлюзе стоит linux, то вам поможет ip-sentinel он помимо блокировки пирадов ещё умеет восcтанавливать кэш клиентов на правильные соотвествия ip-mac

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Arp спуфинг"	+/–
Сообщение от skeletor (ok) on 10-Фев-11, 14:51
Если эти 3 компа (шлюз, хакер, жертва) в приделах одной сети, то никак. Ибо они общаются без участия шлюза :) Настрой на жертве static arp и попробуй "хакнуть". Ничего не выйдет у тебя.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Arp спуфинг"	+/–
	Сообщение от vov12 (ok) on 11-Фев-11, 06:06
	> Если эти 3 компа (шлюз, хакер, жертва) в приделах одной сети, то > никак. Ибо они общаются без участия шлюза :) > Настрой на жертве static arp и попробуй "хакнуть". Ничего не выйдет у > тебя. да именно так и есть, все в одной сетке. Первый мой опыт был проведён без staticarpа я увидел, что подмена маков была произведена в таблицах жертвы и шлюза, ну и подумал грешным делом, что после установки статичной таблички на шлюзе атакуищий обломиться, так-как на шлюзе подменить ему АРПу не удасться! Однако ettercap(хакерская програмуля) оказался хитрее! Блин а что, других способов борьбы с ентим злом не найдено? Интересно - можно как-то организовать на ipfw проверку соответствия мак - ip ?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Arp спуфинг"	+/–
	Сообщение от Дядя_Федор on 11-Фев-11, 11:56
	> Блин а что, других способов борьбы с ентим злом не найдено? Интересно > - можно как-то организовать на ipfw проверку соответствия мак - > ip ? Посмотрите в сторону arpwatch.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Arp спуфинг"	+/–
	Сообщение от vov12 (ok) on 17-Фев-11, 06:15
	>> Блин а что, других способов борьбы с ентим злом не найдено? Интересно >> - можно как-то организовать на ipfw проверку соответствия мак - >> ip ? > Посмотрите в сторону arpwatch. спасибо конечно, но arpwatch единственное что сделает это зафиксирует атаку, мол на прошлой неделе вас отимели, а мне этого как-то мало. Прописал на шлюзе статический арп(благо там unix), на виндовых машинах в сети прописал статически адрес шлюза - вроде ettercap обломался. Но обломался только на отрезке виндовая машина - шлюз, а вот как заставить виндовые машины загружать список с АРП записями я не нашел. в виндовом хелпе ARP /? нету ни слова про -f и гугель молчит...
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Arp спуфинг"	+/–
	Сообщение от tux2002 (ok) on 03-Мрт-11, 14:07
	Если у шлюза статическая arp таблица, то до клиента соединение однозначно. Хакер получит только одно направление траффика.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Arp спуфинг"	+/–
	Сообщение от Aleks305 (ok) on 07-Мрт-11, 13:02
	> Если у шлюза статическая arp таблица, то до клиента соединение однозначно. Хакер > получит только одно направление траффика. В пределах одной сети может помочь Dynamic Arp Inspection,но эта функция есть только на комутаторах cisco, HP(это проверено). Свитч имеет собственную базу mac-ip с которой сравнивает все пакеты, поступающие через интерфейсы, тоже самое касается arp-запросов/ответов. То есть к вашей сети атакующий уже не сможет подключиться.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору

8. "Arp спуфинг"	+/–
Сообщение от akagi on 10-Окт-11, 02:26
> на шлюзе поднял статичный арп, отключил отправку АРП запроса, оставил тока ответ > - провел атаку с машины мака которой нет в табличке шлюза > - атака успешная!!!проверил АРП табличку на шлюзе - тока статичные правила.... > посмотрел АРП таблицы на жертве - там вместо мака шлюза злой > хакерский программ подставил свой мак, на самом шлюзе табличка не изменилась!!! > Тое сть комп хакер встал между жертвой и шлюзом не > подделывая мак на шлюзе!? Пипец! и как с этим бороться? всю > сеть переводить на статичный АРП? staticarp - себя не оправдал... Если на шлюзе стоит linux, то вам поможет ip-sentinel он помимо блокировки пирадов ещё умеет восcтанавливать кэш клиентов на правильные соотвествия ip-mac
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору