Arp-spoofing? как с ним бороться

Вопросы безопасности и защиты
Аватара пользователя
Шинкевич Владимир

 
Сообщения: 1628
Зарегистрирован:
28 дек 2004, 17:36
Откуда: Киштаун

Arp-spoofing? как с ним бороться

Сообщение Шинкевич Владимир 29 авг 2007, 15:50

в логи сыпется следующее
Код: Выделить всё
Aug 28 15:59:57 gateway kernel: arp: 00:20:08:a3:4c:92 attempts to modify permanent entry for 192.168.0.12 on local0
Aug 28 15:59:57 gateway kernel: arp: 00:8b:88:e2:4c:59 attempts to modify permanent entry for 192.168.0.44 on local0
Aug 28 15:59:57 gateway kernel: arp: 00:71:97:26:20:31 attempts to modify permanent entry for 192.168.0.191 on local0
Aug 28 15:59:57 gateway kernel: arp: 00:c7:bd:a6:7c:79 attempts to modify permanent entry for 192.168.0.33 on local0
Aug 28 15:59:57 gateway kernel: arp: 00:71:97:26:20:31 attempts to modify permanent entry for 192.168.0.3 on local0
Aug 28 15:59:57 gateway kernel: arp: 00:d3:a7:32:aa:6c attempts to modify permanent entry for 192.168.0.73 on local0
Aug 28 15:59:57 gateway kernel: arp: 00:9e:32:db:a4:27 attempts to modify permanent entry for 192.168.0.78 on local0
Aug 28 15:59:57 gateway kernel: arp: 00:52:fd:c8:f7:e5 attempts to modify permanent entry for 192.168.0.13 on local0
Aug 28 15:59:57 gateway kernel: arp: 00:71:97:26:20:31 attempts to modify permanent entry for 192.168.0.60 on local0
Aug 28 15:59:57 gateway kernel: arp: 00:71:97:26:20:31 attempts to modify permanent entry for 192.168.0.128 on local0
Aug 28 15:59:57 gateway kernel: arp: 00:71:97:26:20:31 attempts to modify permanent entry for 192.168.0.130 on local0

На серваке (фря 6,2) сделана привязка всей 192,168,0,0/24. Таких маков штатно замечено не было.
Такое уже было, но был один мак (клиент вычислен, отключен).
Сейчас есть примерное направление поисков, но такие атаки - неожиданны, и продолжаются от нескольких секунд до 2-3 минут.
Сеть построена на неуправляемом оборудовании, но скоро будет закуплен д-линк 2112 (26) для колец. (есть выбор между 2112 (26) и 3526).

Какие есть варианты решения, кроме сидеть круглые сутки на серваке, а при наступлении атаки отключать сегменты?
Возвратно-поступательные движения неэффективны.

Аватара пользователя
Igoras
Moderator
Moderator
 
Сообщения: 3248
Зарегистрирован:
22 окт 2003, 20:27
Откуда: Кишинев, Starushka.net

Сообщение Igoras 30 авг 2007, 00:06

типичный арп-спуфинг... скорее кто-то скачал какой-то перехватчик сообщений аськи, а у него есть галка "работать в среде свитчей" и он просто перегружает таблицу адресов свитчей чтобы они работали как хабы...

как бороться?? если будет смарт свитч (2126 мне самому понравился ценой и возможностями) можно ему привязать маки на его порты, я так понимаю он возле сервака будет стоять... тогда враг не дойдет ни до сервака ни до других сегментов включенных в этот свитч... то есть его атака сдохнет в его подсегменте... другие варианты - хз... привязка эта мало чем помогает, ну не получит другой инет, но если кто-то занимает ип твой, винда его отдает...

Аватара пользователя
Шинкевич Владимир

 
Сообщения: 1628
Зарегистрирован:
28 дек 2004, 17:36
Откуда: Киштаун

Сообщение Шинкевич Владимир 30 авг 2007, 15:30

Понятненько.
Буду потихоньку обозначивать его сегмент.
Возвратно-поступательные движения неэффективны.

Аватара пользователя
Igoras
Moderator
Moderator
 
Сообщения: 3248
Зарегистрирован:
22 окт 2003, 20:27
Откуда: Кишинев, Starushka.net

Сообщение Igoras 30 авг 2007, 17:35

Ты можешь существующих юзеров привязать к портам на которых они висят и отключить функцию арп-обучения, после этого неопознанные маки просто не пробъются через этот свитч ;)

Аватара пользователя
Mistakila

 
Сообщения: 597
Зарегистрирован:
28 апр 2005, 10:40
Откуда: местный

Сообщение Mistakila 31 авг 2007, 19:02

а если в сети несколько гейтов то и на каждом привязка по макам
эти гейты не мешают друг-другу?

Аватара пользователя
Шинкевич Владимир

 
Сообщения: 1628
Зарегистрирован:
28 дек 2004, 17:36
Откуда: Киштаун

Сообщение Шинкевич Владимир 31 авг 2007, 20:37

гм. зачем на каждом делать привязку?
если привязаны одинаковые маки - то все будет в норме.
Возвратно-поступательные движения неэффективны.


Вернуться в Безопасность компьютерных сетей

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron