Страница 1 из 1

Arp-spoofing? как с ним бороться

СообщениеДобавлено: 29 авг 2007, 15:50
Шинкевич Владимир
в логи сыпется следующее
Код: Выделить всё
Aug 28 15:59:57 gateway kernel: arp: 00:20:08:a3:4c:92 attempts to modify permanent entry for 192.168.0.12 on local0
Aug 28 15:59:57 gateway kernel: arp: 00:8b:88:e2:4c:59 attempts to modify permanent entry for 192.168.0.44 on local0
Aug 28 15:59:57 gateway kernel: arp: 00:71:97:26:20:31 attempts to modify permanent entry for 192.168.0.191 on local0
Aug 28 15:59:57 gateway kernel: arp: 00:c7:bd:a6:7c:79 attempts to modify permanent entry for 192.168.0.33 on local0
Aug 28 15:59:57 gateway kernel: arp: 00:71:97:26:20:31 attempts to modify permanent entry for 192.168.0.3 on local0
Aug 28 15:59:57 gateway kernel: arp: 00:d3:a7:32:aa:6c attempts to modify permanent entry for 192.168.0.73 on local0
Aug 28 15:59:57 gateway kernel: arp: 00:9e:32:db:a4:27 attempts to modify permanent entry for 192.168.0.78 on local0
Aug 28 15:59:57 gateway kernel: arp: 00:52:fd:c8:f7:e5 attempts to modify permanent entry for 192.168.0.13 on local0
Aug 28 15:59:57 gateway kernel: arp: 00:71:97:26:20:31 attempts to modify permanent entry for 192.168.0.60 on local0
Aug 28 15:59:57 gateway kernel: arp: 00:71:97:26:20:31 attempts to modify permanent entry for 192.168.0.128 on local0
Aug 28 15:59:57 gateway kernel: arp: 00:71:97:26:20:31 attempts to modify permanent entry for 192.168.0.130 on local0

На серваке (фря 6,2) сделана привязка всей 192,168,0,0/24. Таких маков штатно замечено не было.
Такое уже было, но был один мак (клиент вычислен, отключен).
Сейчас есть примерное направление поисков, но такие атаки - неожиданны, и продолжаются от нескольких секунд до 2-3 минут.
Сеть построена на неуправляемом оборудовании, но скоро будет закуплен д-линк 2112 (26) для колец. (есть выбор между 2112 (26) и 3526).

Какие есть варианты решения, кроме сидеть круглые сутки на серваке, а при наступлении атаки отключать сегменты?

СообщениеДобавлено: 30 авг 2007, 00:06
Igoras
типичный арп-спуфинг... скорее кто-то скачал какой-то перехватчик сообщений аськи, а у него есть галка "работать в среде свитчей" и он просто перегружает таблицу адресов свитчей чтобы они работали как хабы...

как бороться?? если будет смарт свитч (2126 мне самому понравился ценой и возможностями) можно ему привязать маки на его порты, я так понимаю он возле сервака будет стоять... тогда враг не дойдет ни до сервака ни до других сегментов включенных в этот свитч... то есть его атака сдохнет в его подсегменте... другие варианты - хз... привязка эта мало чем помогает, ну не получит другой инет, но если кто-то занимает ип твой, винда его отдает...

СообщениеДобавлено: 30 авг 2007, 15:30
Шинкевич Владимир
Понятненько.
Буду потихоньку обозначивать его сегмент.

СообщениеДобавлено: 30 авг 2007, 17:35
Igoras
Ты можешь существующих юзеров привязать к портам на которых они висят и отключить функцию арп-обучения, после этого неопознанные маки просто не пробъются через этот свитч ;)

СообщениеДобавлено: 31 авг 2007, 19:02
Mistakila
а если в сети несколько гейтов то и на каждом привязка по макам
эти гейты не мешают друг-другу?

СообщениеДобавлено: 31 авг 2007, 20:37
Шинкевич Владимир
гм. зачем на каждом делать привязку?
если привязаны одинаковые маки - то все будет в норме.