[sapienr]

Цитата: (sasha ) теперь серьёзно, винда - отстой! я спросил у знакомого админа и он сказал, что в windows действительно СТАТИЧЕСКИЕ(!) arp записи заменяются!!!

Везде до XP SP2 и Win2003Server - в этих уже всё ок.

Цитата: боюсь это решение не для тебя, т.ч. думаем дальше... если найдётся способ их поймать, это будет считаться выходом?

Да.

[sasha]

Я выше постинг менял немного пока ты писал :)

Цитата: (Saper ) Везде до XP SP2 и Win2003Server - в этих уже всё ок.

В XP SP2 и Win2003Server всё ок?
т.е. проблемма скончалась?
ура!

p.s.
хотя жаль, я почти уже решил писать проги... :)

[sasha]

А в win2k sp4 как не в курсе?

[admin]

Никак не хватает времени почитать этот топик внимательно и включиться в разговор ... тема-то актуальна и для нас :(

[sapienr]

Цитата: (sasha ) Я выше постинг менял немного пока ты писал :) В XP SP2 и Win2003Server всё ок? т.е. проблемма скончалась? ура! p.s. хотя жаль, я почти уже решил писать проги... :)

Ничего не скончалось, не у всех пользователей стоят эти версии. Win2003Server вообще ни у кого, а второй сервис пак пока у немногих. Так что подавляющее большинство сети подвержено таким атакам. Кроме того, как мы говорили подделка невозможна только если сделать в этих версиях статические записи машин с которыми мы хотим быть уверенными в связи, а если их 100 ? Да и кто из домашних пользователей, кроме нас с вами знает что такое arp -s .... и кто из них этим будет заморачиваться, писать статические записи, искать нужные маки, отслеживать изменения, если например сосед с которым ты играл поменял сетевую карту ? Т.е. тут приходится говорить почти о 99.9% сети подверженной таким выходкам.

P.S. Выход один: поймал бы - убил бы, скажите как поймать.

[sasha]

Честно говоря на месте программистов которые отвечают за содержание arp таблиц я бы дал возможность (по умолчанию отключённую, т.к. притормаживать будет) включать режим проверки адресов, т.е. на каждый arp ответ проверять rarp'ом, реальность отправителя (кстати так делается больба с рассылками от нереальных адресов). Либо просто без запросов игнорировал ответы, т.е. если я не запрашивал mac этого ip на который пришёл arp ответ, то и забить на ответ...
странно, что так не сделано ещё, хотя может где-то такое уже есть...

[sapienr]

Цитата: (sasha ) Либо просто без запросов игнорировал ответы, т.е. если я не запрашивал mac этого ip на который пришёл arp ответ, то и забить на ответ... странно, что так не сделано ещё, хотя может где-то такое уже есть...

Вот оно - полное единодушие ведущих и ведомых российских программистов :-), я долго ломал голову почему сделано именно так как есть сейчас, а не так как было бы правильно. Пришёл к выводу что программисты просто вынуждены были полностью реализовать существующий стандарт ARP протокола в котором, видимо, предусмотрены "добровольные" ARP ответы - так что по большому счёту они не виноваты :-), впрочем от этого не легче.

[sasha]

Цитата: (Saper ) Вот оно - полное единодушие ведущих и ведомых российских программистов :-), я долго ломал голову почему сделано именно так как есть сейчас, а не так как было бы правильно. Пришёл к выводу что программисты просто вынуждены были полностью реализовать существующий стандарт ARP протокола в котором, видимо, предусмотрены "добровольные" ARP ответы - так что по большому счёту они не виноваты :-), впрочем от этого не легче.

именно по этому я и написал "я бы дал возможность (по умолчанию отключённую..." :)))