[sapienr]

Господа сетестроители и админы, не поймите меня неправильно, я просто интересуюсь без цели злого умысла таким вопросом - как побороть следующие преднамеренные действия.

А именно: с помощью некоего программного обеспечения в локальной сети включённым машинам рассылаются ложные ARP-ответы в которых содержится поддельная информация о какой либо другой машине, пусть например это будет общий часто используемый всеми сервер (ftp, Wins, DNS, web, чат - да мало ли что на нём может быть). Т.е. например как злодей я сообщаю всем что мак-адрес сервера будет теперь мой, а лучше не мой а вообще несуществующий в сети, например из одних единиц. Пользовательские машины по протоколу ARP верят этому, что вобщем то проверено и на Windows и на Linux и изменяют свою arp таблицу новыми данными - данная технология известна как arp-poisoning. Что происходит дальше ? А дальше все так как и должно быть - пакеты формируемые машинами пользователей попадают в коммутатор, который ни сном не духом о таком мак-адресе назначения не слышал (потому что его вообще нет в природе) и широковещательно рассылает его куда только можно в надежде получить откуда нибудь ответ, другие коммутаторы в сети делают также, образуется лавина, генерируют её сами же пользователи которым подменили мак-адрес сервера, соответственно сеть лагает не по детски сама по себе, не говоря уж о том что пользователи ни куда не могут достучаться, а свитчи занимаются бесполезной на 100% работой. Разослать поддельные пакеты дело 10 секунд, после этого сеть будет приходить в себя в течение нескольких минут, или даже десятков минут.

Вобщем то я бы не стал этого писать если бы не видел как это работает - куча пакетов с левым мак-адресом ломится от всех пользователей сети ко всем же пользователям сети в надежде что это он.

Вопрос в следующем - как быть против ? :-) Может кто-нибудь знает ?

[sasha]

быть против можно 2-мя способами:
1. ставить умные маршрутизаторы, у которых ip-таблицу можно заморозить, тогда левые пакеты они никуда посылать не будут.
2. отловить откуда идёт arp флуд, и надавать поушам.

Чем отличаются дети от взрослых? Взрослые знают насколько всё хрупко, и как легко всё сломать, но пытаются напротив починить, а дети не знают как починить, но пытаются сломать.

а хотите я ещё скажу как убить dns?
Кому будет лучше от этих шалостей???

Ясно дело, что бегать за одним придурком вся компания не будет, его просто отключат и все будут знать своих героев...

А вообще таким дебилам, которые так будут делать надо побыстрее вырасти и самоутверждаться где-нибудь в другом месте...

[Hummer]

Цитата: (sasha ) А вообще таким дебилам, которые так будут делать надо побыстрее вырасти и самоутверждаться где-нибудь в другом месте...

Полностью поддерживаю.

[sapienr]

Цитата: (sasha ) быть против можно 2-мя способами: 1. ставить умные маршрутизаторы, у которых ip-таблицу можно заморозить, тогда левые пакеты они никуда посылать не будут.

Маршрутизаторов на всех не напасёшься, просто сеть будет колбасить сегментами, а если сегменты по 150-200 пользователей, то проблема остаётся.

Цитата: 2. отловить откуда идёт arp флуд, и надавать поушам.

Надавать по ушам реально. Отловить кого то малореально. Дебилы есть и буду всегда, они вечный и восполняемый ресурс, на смену одним приходят другие.

[sasha]

Цитата: (Saper ) Маршрутизаторов на всех не напасёшься

Я же сказал, что за одним дебилом никто бегать не будет.

Цитата: (Saper ) Отловить кого то малореально.

Да ну? в bsd через bpf писать все apr ответы в лог. Потом посмотреть кто х**ню прислал и всё.

Цитата: (Saper ) Дебилы есть и буду всегда, они вечный и восполняемый ресурс, на смену одним приходят другие.

Главное чтобы их было мало, а отключали их быстро.

[sapienr]

Цитата: (sasha ) Да ну? в bsd через bpf писать все apr ответы в лог. Потом посмотреть кто х**ню прислал и всё.

Ну во первых именно вам или мне этот arp могут и не прислать, а прислать только тем кого точно знают что им слать можно - это не сложно находясь в сети выбрать, например, 10-15 машин простых домашних юзеров, а не админов, а если и пришлют то когда вы их собираетесь ждать ? Круглосуточно ? День, два, неделю ? Ну а во вторых получим мы, например, информацию типа пары ай-пи и мак которых не выдавали и никогда ранее не регистрировали - дальнейшие действия ?

[sasha]

Цитата: (Saper ) когда вы их собираетесь ждать ? Круглосуточно ? День, два, неделю?

"в bsd через bpf писать ВСЕ apr ответы в ЛОГ"
конечно круглосуточно, да хоть год, жалко что ли...

Разговор зашёл не туда, я же говорю, нагадить в сети очень легко!!! очень!!! но зачем??? В хакеров играют тока малыши, настоящие давно легально (или нет) деньги зарабатывают.

А вообще, мне лень думать, но я щас прикинул и не понял механизма, атаки? может мне лично объяснишь в icq? arp ответ говорит mac по ip, только если он в твоей подсети... Какой надо неправильный arp ответ прислать???

[sasha]

Вот мы послали arp ответ с неправильным mac, мой комп посылает ему окно пакетов и ждёт подтверждения, если его нет, посылает повтор, по tcp протоколу, первый повтор быстро, потом через 1,5 сек, потом через 5, потом через 40 минут. И что, неужели это положит сеть? Просто один и тот же пакет пошлётся почти сразу 2жды, а потом ещё несколько раз, но с большим интервалом...
Например тот же vypress чат посылает сразу десятки одинаковых пакетов :)))

[sapienr]

Цитата: (sasha ) Вот мы послали arp ответ с неправильным mac, мой комп посылает ему окно пакетов и ждёт подтверждения, если его нет, посылает повтор, по tcp протоколу, первый повтор быстро, потом через 1,5 сек, потом через 5, потом через 40 минут. И что, неужели это положит сеть? Просто один и тот же пакет пошлётся почти сразу 2жды, а потом ещё несколько раз, но с большим интервалом... Например тот же vypress чат посылает сразу десятки одинаковых пакетов :)))

Ну вы же потеряете связь, это раз. А если на этой машине стоит сервер без которого вы не можете работать в сети ? DNS, Wins. Кроме того пользователей много. ПО сетевого у них много, чаты и пр. Коммутаторы рассылают эти пакеты по всей сети. Лагать будет - проверено. Кроме того есть ли для вас разница, будет ли оно лагать, или вы просто не получите ни одного ответа - превышено время ожидания. Это вобщем то один большой лаг со 100% потерь :-)

[sasha]

Цитата: (Saper ) Ну вы же потеряете связь, это раз. А если на этой машине стоит сервер без которого вы не можете работать в сети ? DNS, Wins.  Кроме того пользователей много. ПО сетевого у них много, чаты и пр. Коммутаторы рассылают эти пакеты по всей сети. Лагать будет - проверено. Кроме того есть ли для вас разница, будет ли оно лагать, или вы просто не получите ни одного ответа - превышено время ожидания. Это вобщем то один большой лаг со 100% потерь :-)

Ну и не соединится один раз, ну отключатся все коннекты, неприятно, но ничего ужасного, а если уж сервак такой нужный, запиши в arp таблицу статическую запись и наплевать станет на подобных хулиганив. (для windows это вроде apr -s)
Фигня это, я думаю, если и будут так баловаться, то не часто и не долго и никто не заметит, а заметит найдём и ... :) Я помогу.. :)

[sapienr]

Цитата: (sasha ) а если уж сервак такой нужный, запиши в arp таблицу статическую запись и наплевать станет на подобных хулиганив. (для windows это вроде apr -s)

Пробовал - не работает. Как будто динамические имеют приоритет.

[sasha]

Цитата: (Saper ) Пробовал - не работает. Как будто динамические имеют приоритет.

пробовал???
странно, если у тебя есть статическая запись, то динамические на этот ip уже не запишутся в arp таблицу!

[sasha]

попробовал... если есть статическая запись на какой-то ip то она уже не изменяется и новых на этот ip, не добавляется.

[sapienr]

Цитата: (sasha ) попробовал... если есть статическая запись на какой-то ip то она уже не изменяется и новых на этот ip, не добавляется.

Какие винды ? Пробовал 98 и 2000 - в обоих статические записи изменяются. Кроме того всех статически не пропишешь.

Вобщем ребяты это просто ужас какой то, а совсем не баловство скажу я вам. При наличии желания и свободного времени можно любую сеть в том числе и вашу держать почти полностью неработоспособной в течении нужного промежутка времени.

[sasha]

Да я же сказал, что есть ещё 100 способов забить каналы, просто тех кто такими вещами балуются надо 1-раз предупреждать, а 2-ой раз отключать, найти их не сложно, т.к. если сеть просадят на короткий срок, то ничего страшного не будет, а если на длительный - то найти его легко!
в моём институте (МАИ) в общаге 400 компов и НИКТО такой ху*** не занимался, а если и занимался, то раз в год и никто не заметил - факт!

у меня win2k advanced server и arp таблица у меня не изменилась, хотя может я и грязно проверил... но это маразм! статические записи никогда не изменяются! в чём тогда их смысл!

подскажи как легче послать неправильный арп самому себе, посмотрю чё можно сделать...

а забить сеть можно просто посылая пакеты на левые ip адреса, с левых ip адресов, таким образом мы загадим ip/mac таблицу свича и он будет посылать все пакеты всем! (опять же если эта таблица не прописана статически, но такие свичи оч. дорогие...)
это, кстати, забьёт её гораздо сильнее...

[sasha]

Цитата: (Saper ) Вобщем ребяты это просто ужас какой то, а совсем не баловство скажу я вам.

Это баловство!!! А ужас, это если бы от постоянной работы этой сети ваша жизнь зависела.

Цитата: (Saper ) ...можно любую сеть в том числе и вашу держать почти полностью неработоспособной в течении нужного промежутка времени.

почти полностью это сильно натянуто!
нужного промежутка? нужного для чего???

Цитата: (Saper ) При наличии желания и свободного времени...

Ты до сих пор не понял, что это занятие для детей, которым негде самоутверждаться! У остальных нету ни желания ни тем более(!) свободного времени на такую ху***! Какой в ней смысл??? Что ты или кто-то другой от этого получит если так сделает?

[sapienr]

У вас не занимается, а у других занимаются и ещё как, до вас наверное просто это не дошло в силу слабой грамотности юзеров или их добропорядочности, а кое-где это уже чуть ли не спорт и стало популярно для малолетних хакеров. Послать такой пакет проще простого, поищи в инете слова типа arp spoof (или слитно arpspoof).

Поймать в ethernet сети такого человека невозможно, я по крайней мере не знаю такого способа без специального оборудования редко встречающегося в простых сетях, если всё что от него приходит является поддельным.

Для наглядности картинка о том что я писал в первом посте.



И комментарий к ней, слово в слово о том что я писал.

Attackers can also use ARP packet manipulation to quiet TCP ACK storms. Session hijacking tools such as Hunt accomplish this by sending unsolicited ARP replies. Most systems will accept these packets and update their ARP tables with whatever information is provided. In our Host A/Host B example, an attacker could send Host A a spoofed ARP reply indicating that Host B's MAC address is something nonexistent (like C0:C0:C0: C0:C0:C0), and send Host B another spoofed ARP reply indicating that Host A's MAC address is also something nonexistent (such as D0:D0:D0:D0:D0:D0). Any ACK packets between Host A and Host B that could cause a TCP ACK storm during a network-level session hijacking attack are sent to invalid MAC addresses and lost.

[sapienr]

Цитата: (sasha ) Ты до сих пор не понял, что это занятие для детей, которым негде самоутверждаться! У остальных нету ни желания ни тем более(!) свободного времени на такую ху***! Какой в ней смысл??? Что ты или кто-то другой от этого получит если так сделает?

Мдя, тяжело с тобой. Может уже хватит про детей, а ? Просто надоело читать эти переводы стрелок с чисто технической проблемы в психологические аспекты связанные с возрастной категорией.

Может быть просто поставишь себя на место админа домашней сети в 700 пользователей, в которой присутствуют ТАКИЕ ВОТ ДЕТИ, которые делают ТАКИЕ ВОТ ШТУКИ от которых страдают 200-300 пользователей которые звонят тебе ЛИЧНО на телефон и скажешь наконец пару слов по существу ? Если есть что сказать конечно.

P.S. Меня совершенно не интересуют ИХ мотивы, ИХ возраст, ИХ свободное время, ИХ цели и чего они хотят достигнуть. Меня интересует КАК можно это прекратить.

[sasha]

Лады про детей больше не буду, просто эти самоутверждения меня злят, а насчёт психологического аспекта, так если всех грузануть, что это всё ламерство, то они и прекратят :)))

лады, подумаю, что можно сделать...
интересный вопрос, жаль времени у меня вообще нет, я на 2х работах....

[sasha]

теперь серьёзно, винда - отстой!
я спросил у знакомого админа и он сказал, что в windows действительно СТАТИЧЕСКИЕ(!) arp записи заменяются!!! честное слово я даже предаоложить не мог, что это так, и не понимаю почему так до сих пор, надо узнать...

в linux / unix такого нет, статические записи там статические!

боюсь это решение не для тебя, да и не решение вообще-то, т.к. можно не толька серверные mac подставлять, хотя уже что-то, т.ч. думаем дальше...

если найдётся способ их поймать, это будет считаться выходом?
поддельные mac'и никто, кроме намеренного случая, не кидает, т.ч. можно написать прогу (или найти) которая бы при каждом arp ответе проверяла rarp'ом его валидность, и если не так, то записывала ip отправителя, хотя если и ip не то, то это тоже лажа...
можно написать такую, чтобы она сразу удаляла запись, если rarp'ом не получилось ip найти... правда это снимет половину проблеммы...
но это всё сложно, стоит поискать в инете решения, думаю вы не первый кто с такой проблеммой столкнулся...