[Rozw.] arp spoofing

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

greenhorn
Użytkownik
Posty: 30
Rejestracja: 2007-04-06, 13:29

Re: [Rozw.] arp spoofing

Post autor: greenhorn » 2007-09-25, 10:58

a) czy znasz poprawne maci wszystkich komputerów w sieci ?
Tak mam baze mac adresow.
b) czy switche są zabezpieczone przed nieporządanym dostępem?
Jesli chodzi ci o fizyczne zabezpieczenie, to tak.
zrobilbym tak.
Odcial kazdego switcha od sieci i przylaczal wpierw 1, jesli okej, to wylaczam 1, wlaczam 2 itd.. pomysl nad tym
Pisalem juz o tym, ze tak wlasnie robilem - niestety nie moge zidentyfikowac w ktorym miejscu jest problem, bo wystepuje "losowo". Zaczalem sie juz zastanawiac czy przypadkiem nie jest to wina tego, ze mam zly ten 1 switch, tzn. czy nie ma on za malej pamieci ARP i po podlaczeniu za duzej ilosci komputerow zaczyna sie dlawic?
A ja mam pytanie czy siec jest zalewana pakietami nawet teraz? Czyli 24h?
Z tym jest roznie. Prze ostatnie 2 dni pakiety lecialy non stop, ale wczoraj w nocy nagle sie uspokoilo - ustawilem od razu arpwatch i moze logi cos pomoga (nie wysylam wszystkich, bo plik tekstowy ma 30MB - dane z 8 godzin - wycialem logi od momentu pojawienia sie pierwszej zmiany mac'a):

Kod: Zaznacz cały

Subject: new station

            hostname: <unknown>
          ip address: 192.168.0.132
    ethernet address: 0:4:61:64:25:4f
     ethernet vendor: <unknown>
           timestamp: Tuesday, September 25, 2007 8:04:54 +0200
--------------------------------------------------------------------------------
Subject: new station

            hostname: <unknown>
          ip address: 192.168.0.134
    ethernet address: 0:1a:4d:e:55:c4
     ethernet vendor: <unknown>
           timestamp: Tuesday, September 25, 2007 8:08:23 +0200
--------------------------------------------------------------------------------
Subject: changed ethernet address

            hostname: <unknown>
          ip address: 192.168.0.2
    ethernet address: 0:1a:4d:e:55:c4
     ethernet vendor: <unknown>
old ethernet address: 0:e0:4c:19:de:69
 old ethernet vendor: <unknown>
           timestamp: Tuesday, September 25, 2007 8:08:36 +0200
  previous timestamp: Tuesday, September 25, 2007 8:08:33 +0200
               delta: 3 seconds
--------------------------------------------------------------------------------
Subject: changed ethernet address

            hostname: <unknown>
          ip address: 192.168.0.5
    ethernet address: 0:1a:4d:e:55:c4
     ethernet vendor: <unknown>
old ethernet address: 0:30:4f:3b:46:27
 old ethernet vendor: <unknown>
           timestamp: Tuesday, September 25, 2007 8:08:36 +0200
  previous timestamp: Tuesday, September 25, 2007 8:00:59 +0200
               delta: 7 minutes
--------------------------------------------------------------------------------
Subject: changed ethernet address

            hostname: <unknown>
          ip address: 192.168.0.26
    ethernet address: 0:1a:4d:e:55:c4
     ethernet vendor: <unknown>
old ethernet address: 0:4:61:ff:7f:ff
 old ethernet vendor: <unknown>
           timestamp: Tuesday, September 25, 2007 8:08:36 +0200
  previous timestamp: Tuesday, September 25, 2007 8:00:33 +0200
               delta: 8 minutes
--------------------------------------------------------------------------------
Subject: changed ethernet address

            hostname: <unknown>
          ip address: 192.168.0.56
    ethernet address: 0:1a:4d:e:55:c4
     ethernet vendor: <unknown>
old ethernet address: 0:d:61:7a:73:d2
 old ethernet vendor: <unknown>
           timestamp: Tuesday, September 25, 2007 8:08:36 +0200
  previous timestamp: Tuesday, September 25, 2007 8:04:38 +0200
               delta: 3 minutes
--------------------------------------------------------------------------------
Subject: changed ethernet address

            hostname: <unknown>
          ip address: 192.168.0.63
    ethernet address: 0:1a:4d:e:55:c4
     ethernet vendor: <unknown>
old ethernet address: 0:14:85:a:33:97
 old ethernet vendor: <unknown>
           timestamp: Tuesday, September 25, 2007 8:08:36 +0200
  previous timestamp: Tuesday, September 25, 2007 8:01:37 +0200
               delta: 6 minutes
--------------------------------------------------------------------------------
Subject: changed ethernet address

            hostname: <unknown>
          ip address: 192.168.0.73
    ethernet address: 0:1a:4d:e:55:c4
     ethernet vendor: <unknown>
old ethernet address: 0:1a:4d:95:ea:3b
 old ethernet vendor: <unknown>
           timestamp: Tuesday, September 25, 2007 8:08:36 +0200
  previous timestamp: Tuesday, September 25, 2007 8:05:34 +0200
               delta: 3 minutes
--------------------------------------------------------------------------------
Subject: changed ethernet address

            hostname: <unknown>
          ip address: 192.168.0.78
    ethernet address: 0:1a:4d:e:55:c4
     ethernet vendor: <unknown>
old ethernet address: 0:17:9a:63:39:6e
 old ethernet vendor: <unknown>
           timestamp: Tuesday, September 25, 2007 8:08:36 +0200
  previous timestamp: Tuesday, September 25, 2007 8:08:20 +0200
               delta: 16 seconds
--------------------------------------------------------------------------------
Subject: flip flop

            hostname: <unknown>
          ip address: 192.168.0.26
    ethernet address: 0:4:61:ff:7f:ff
     ethernet vendor: <unknown>
old ethernet address: 0:1a:4d:e:55:c4
 old ethernet vendor: <unknown>
           timestamp: Tuesday, September 25, 2007 8:08:36 +0200
  previous timestamp: Tuesday, September 25, 2007 8:08:36 +0200
               delta: 0 seconds

Dla informacji:
IP bramy: 192.168.0.2
MAC bramy: 00:E0:4C:19:DE:69

A jesli chodzi o to mostkowanie polaczenia, to bedzie maly problem, bo w tej chwili robie to zdalnie i wydaje polecenia osobie ktora jest na miejscu.
Czy majac zarzadzalnego switcha za serwerem moglbym zrobic cos podobnego?
Macie jakies pomysly?
Ostatnio zmieniony 2007-09-25, 11:02 przez greenhorn, łącznie zmieniany 1 raz.

Awatar użytkownika
Ciuciu
Administrator
Posty: 921
Rejestracja: 2004-05-26, 21:01
Lokalizacja: 3C17y
Kontakt:

Re: [Rozw.] arp spoofing

Post autor: Ciuciu » 2007-09-25, 11:27

greenhorn pisze:Czy majac zarzadzalnego switcha za serwerem moglbym zrobic cos podobnego?
tak - ustawiłebyś mu jakie adresy mac maja być na danych portach i nie przepuści żadnych innych bardzo ograniczając ruch w sieci - dławić/siać będzie wtedy tylko jeden ze switchy 2giego rzędu.

Z tych logów wynika że wszystkie komputery w sieci postanawiają spontanicznie zmieniać adresy MAC ? Może ustaw na routerze w arpie je na sztywno przypisane do adresów IP.. wtedy każdy ze zmienionym adresem mac, nie będziemiał dostępu do servera i co za tym idzie internetu
[color=#888888][i][size=75]Whatever walks in my heart
Will walk alone...[/size][/i][/color]

Awatar użytkownika
ABSik
Użytkownik
Posty: 133
Rejestracja: 2005-07-02, 13:48
Lokalizacja: skądże znowu?

Re: [Rozw.] arp spoofing

Post autor: ABSik » 2007-09-25, 11:37

Ciuciu, Nawet jeśli ustawi statyczne mapowania na stacji i serwerze, to zostaje jeszcze problem "ogłupiania" przełączników. Pakiet pójdzie w zły port, bo tam się akurat ten mac rozgłosił.

greenhorn , jedynym rozwiązaniem jest filtrowanie na portach przełącznika. Chwilowym rozwiązaniem jest analiza ruchu na portach przy pomocy mostka i namierzenie źródła.
Ostatnio zmieniony 2007-09-25, 11:56 przez ABSik, łącznie zmieniany 1 raz.
Patryk, dawaj już 13-tkę

Awatar użytkownika
Ciuciu
Administrator
Posty: 921
Rejestracja: 2004-05-26, 21:01
Lokalizacja: 3C17y
Kontakt:

Re: [Rozw.] arp spoofing

Post autor: Ciuciu » 2007-09-25, 11:46

ABSik pisze:Jedynym rozwiązaniem jest filtrowanie na portach przełącznika
To właśnie napisałem:
Ciuciu pisze:tak - ustawiłebyś mu jakie adresy mac maja być na danych portach i nie przepuści żadnych innych bardzo ograniczając ruch w sieci
:P
[color=#888888][i][size=75]Whatever walks in my heart
Will walk alone...[/size][/i][/color]

greenhorn
Użytkownik
Posty: 30
Rejestracja: 2007-04-06, 13:29

Re: [Rozw.] arp spoofing

Post autor: greenhorn » 2007-09-25, 11:54

Czy majac zarzadzalnego switcha za serwerem moglbym zrobic cos podobnego?

tak - ustawiłebyś mu jakie adresy mac maja być na danych portach i nie przepuści żadnych innych bardzo ograniczając ruch w sieci - dławić/siać będzie wtedy tylko jeden ze switchy 2giego rzędu.
Chodzi mi o to czy bylbym w stanie namierzyc problem uzywajac takiego switcha zamiast mostkowania?
Jesli chodzi o static arp to juz jest ustawione na bramie i na sporej czesci klientow - zrobiem plik wsadowy dla klientow, ale nadal sa przerwy. A co myslicie o tym co napisalem o pamieci arp na switchu? Czy mozliwe zeby te problemy byly spowodowane wlasnie tym?

Awatar użytkownika
Ciuciu
Administrator
Posty: 921
Rejestracja: 2004-05-26, 21:01
Lokalizacja: 3C17y
Kontakt:

Re: [Rozw.] arp spoofing

Post autor: Ciuciu » 2007-09-25, 12:21

greenhorn pisze:Chodzi mi o to czy bylbym w stanie namierzyc problem uzywajac takiego switcha zamiast mostkowania?
Zakładając celowe działanie jednego komputera, przy arpspoof wszytkie switche zaczynają się zachowywać jak huby, czyli cała sieć jest jedną wielką domeną kolizyjną

switch zarządzalny z ustawionymi macami na portach nie da się ogłupić przez coś takiego (bo go to nie obchodzi) więc podzili siec na kilka (jeśli go ustawisz zamiast stiwcha1 - 5) domen kolizyjnych. Z czego problemy dalej będa występować tylko w 1 z nich..

idąc dalej jeśli ustalisz pod-segment w którym jest problem przesuwasz switcha zarządzalnego niżej zamiast switcha 2/3/4/5 po raz kolejny dzieląc sięc na kilka domen kolizyjnych:

i tutaj: jeśli cała sieć jest wolna od spoofa (switche 1, 3, 4,5) to ustawiając zarządzalnego w miejscu 2 powinieneś ustalić na którym porcie ktoś 'wariuje'.

Wtedy ucinasz mu kabelek, i podłączasz stare switche i problem się rozwiązuje
[color=#888888][i][size=75]Whatever walks in my heart
Will walk alone...[/size][/i][/color]

greenhorn
Użytkownik
Posty: 30
Rejestracja: 2007-04-06, 13:29

Re: [Rozw.] arp spoofing

Post autor: greenhorn » 2007-09-25, 13:08

ustawisz zamiast stiwcha1 - 5 domen kolizyjnych
Jak to sie odbywa w praktyce? Czy switch w takiej sytuacji nie pozwala na przekazywanie pakietow miedzy segmentami, ale pozwala na ruch do serwera? I w jaki sposob moge to sprawdzac - czy taki switch ma jakis narzedzia, statystyki itp?
Sorki za glupie pytania, ale nie za bardzo sie orientuje w tego typu rozwiazaniach.
Ostatnio zmieniony 2007-09-25, 13:27 przez greenhorn, łącznie zmieniany 1 raz.

Awatar użytkownika
Ciuciu
Administrator
Posty: 921
Rejestracja: 2004-05-26, 21:01
Lokalizacja: 3C17y
Kontakt:

Re: [Rozw.] arp spoofing

Post autor: Ciuciu » 2007-09-25, 13:26

switch taki nie daje sobie wmówić że na tym porcie jest inny adres mac niż ma być - po prostu ignoruje takie pakiety i je odrzuca

Więc jeśłi na gnieździe 1 ma być 5 komputerów o 5 różnych adresach mac, ot tylko takie pakiety które są z nich wysłane przejdą przez ten port w 1, i tylko takie które są DO nich adresowane w drugą strone
[color=#888888][i][size=75]Whatever walks in my heart
Will walk alone...[/size][/i][/color]

greenhorn
Użytkownik
Posty: 30
Rejestracja: 2007-04-06, 13:29

Re: [Rozw.] arp spoofing

Post autor: greenhorn » 2007-09-25, 13:28

Czy taki switch by wystarczyl?
http://www.planet.pl/produkty/zaawansow ... gsw_2620rs

Odpada - nie dostane go dzisiaj :(

[ Dodano: 2007-09-25, 16:26 ]
ale dostane ten:

http://www.sklephn.pl/p7343-siec-koncmi ... 2gbps.html

Wystarczy?
Ostatnio zmieniony 2007-09-25, 14:03 przez greenhorn, łącznie zmieniany 1 raz.

Awatar użytkownika
xil
Moderator
Posty: 861
Rejestracja: 2004-06-20, 22:20
Lokalizacja: Białystok
Kontakt:

Re: [Rozw.] arp spoofing

Post autor: xil » 2007-09-25, 16:37

eee generalnie zamiast kupowac switcha zarzadzalnego wez laptopa i wpinaj sie w konkretne segmenty - jesli cos generuje ruch to wykryjesz to tcpdumpem. nie dosc, ze szybciej, to jeszcze nie musisz nic kupywac. oczywiscie do segmentu najpierw sie wepnij, a pozniej go odlacz od reszty sieci.

greenhorn
Użytkownik
Posty: 30
Rejestracja: 2007-04-06, 13:29

Re: [Rozw.] arp spoofing

Post autor: greenhorn » 2007-09-25, 17:20

Problem tylko w tym ze tak jak pisalem wczesniej nie mam fizycznie dostepu do sieci w tej chwili :( Poza tym testowalem juz wypinanie kolejnych czesci sieci (przy pomocy osoby ktora jest na miejscu) i nie moge dojsc do tego w ktorej czesci sieci jest problem.

Awatar użytkownika
xil
Moderator
Posty: 861
Rejestracja: 2004-06-20, 22:20
Lokalizacja: Białystok
Kontakt:

Re: [Rozw.] arp spoofing

Post autor: xil » 2007-09-25, 18:12

jak duza to jest siec?
ilu klientow?
ma segmenty przypisywane wg maski?
posiada wiecej niz jeden punkt styku z internetem?
czy sa w niej urzadzenia marki d-link? (niestety plucie arp`ami widzialem juz na APkach tej firmy)
ile switchy na oko w nie jest?
czy switche sa mniej wiecej jednej firmy czy wielu?
ile osob posiada linuksa w tej sieci? zbadaj prosze wartosc TTL w pakietach, ktore odbierasz... sa rozne dla win i linuksa.
czy stosowales przed tym incydentem arpwatch? (zdaje mi sie z historii postow, ze nie)
czy ktos kiedykolwiek wpisal sobie mac`a glownego routera w sieci jako swoj?

generalnie wysylanie wielu sfalszowanych mac`ow nazywa sie arp poissoning, nie spoofing.

te pytania pozwola nam sie zorientowac jak najlatwiej rozwiazac Twoj problem minimalnym nakladem sil.

aha
zdarza sie, ze karta sieciowa klienta jest uszkodzona... czasem roznie sie to objawia... juz widzialem rozne kwiatki.
Ostatnio zmieniony 2007-09-25, 18:17 przez xil, łącznie zmieniany 2 razy.

greenhorn
Użytkownik
Posty: 30
Rejestracja: 2007-04-06, 13:29

Re: [Rozw.] arp spoofing

Post autor: greenhorn » 2007-09-25, 18:53

jak duza to jest siec?
ilu klientow?
cala siec to ok. 150 klientow.
ma segmenty przypisywane wg maski?
Cala siec to jeden segment.
posiada wiecej niz jeden punkt styku z internetem?
Nie - jest tylko jedna brama.
czy sa w niej urzadzenia marki d-link? (niestety plucie arp`ami widzialem juz na APkach tej firmy)
Jest jeden AP, ale odlaczalem go juz i nic nie dalo (nie wiem czy to ma znaczenie ale odcinalem mu tylko zasilanie)
ile switchy na oko w nie jest?
W sumie okolo 20.
czy switche sa mniej wiecej jednej firmy czy wielu?
No niestety z tym jest roznie - ogolnie sa to switche z dolnej polki wymieniane juz wielokrotnie wiec kazdy z innej bajki.
Ogolnie siec przejalem po kims juz zbudowana, niestety cala nadaje sie do przebudowania w 100% (nawiasem mowiac przebudowa juz ruszyla ale na razie kladziemy swiatlowody i troche to potrwa bo wymieniamy cale okablowanie i sprzet wiec musze sie z tym uporac - nie moge czekac)
ile osob posiada linuksa w tej sieci? zbadaj prosze wartosc TTL w pakietach, ktore odbierasz... sa rozne dla win i linuksa.
Z tego co do tej pory zauwazylem to sporadycznie zdarza sie 1-2 osoby.
czy stosowales przed tym incydentem arpwatch? (zdaje mi sie z historii postow, ze nie)
czy ktos kiedykolwiek wpisal sobie mac`a glownego routera w sieci jako swoj?
Arpwatch uzywalem tylko sporadycznie - nie pracowal w tle caly czas, ale ustawilem go wczoraj w nocy z czystym plikiem dat - ruszal w momencie jak nie bylo zadnych problemow. Z tego co widze w logach, to zaczelo sie to ok 8 rano od zmiany mac'a bramy.
generalnie wysylanie wielu sfalszowanych mac`ow nazywa sie arp poissoning, nie spoofing.
Wikipedia twierdzi ze to to samo :) ale tam bywaly juz rozne dziwne definicje... :)

Dodam jeszcze ze bede mial dzisiaj tego switcha podlaczonego do sieci zaraz za brama:

http://www.sklephn.pl/p7343-siec-koncmi ... 2gbps.html

Jesli jest jakas szansa zeby go wykorzystac do znalezienia problemu to prosze o podpowiedzi. Jeszcze raz wielkie dzieki wszystkim za pomoc.

[ Dodano: 2007-09-25, 21:46 ]
Mam jeszcze jedno pytanie. Mozecie mi powiedziec dlaczego tak sie dzieje, ze mam ustawione static arp na bramie, w tym miedzy innymi to:

Kod: Zaznacz cały

192.168.0.245 00:11:95:0A:1F:3F
A mimo to przy arpingu na to ip dostaje:

Kod: Zaznacz cały

Unicast reply from 192.168.0.245 [00:11:95:0A:1F:3F]  0.749ms
Unicast reply from 192.168.0.245 [00:11:95:0A:1F:3F]  0.667ms
Unicast reply from 192.168.0.245 [00:11:95:0A:1F:3F]  0.674ms
Unicast reply from 192.168.0.245 [00:11:95:0A:1F:3F]  0.682ms
Unicast reply from 192.168.0.245 [00:11:95:0A:1F:3F]  0.749ms
Unicast reply from 192.168.0.245 [00:C0:26:A9:3E:79]  548.987ms
Unicast reply from 192.168.0.245 [00:C0:26:A9:3E:79]  119.497ms
??

Awatar użytkownika
xil
Moderator
Posty: 861
Rejestracja: 2004-06-20, 22:20
Lokalizacja: Białystok
Kontakt:

Re: [Rozw.] arp spoofing

Post autor: xil » 2007-09-26, 08:00

greenhorn pisze:
ile osob posiada linuksa w tej sieci? zbadaj prosze wartosc TTL w pakietach, ktore odbierasz... sa rozne dla win i linuksa.
Z tego co do tej pory zauwazylem to sporadycznie zdarza sie 1-2 osoby.
odszukaj te osoby - zacznij logowac ruch z ttl 64 oraz profilaktycznie 127 po stronie lan`u w kierunku upload.

zbadaj pierwsza zmiane mac`a przypisanego bramie. czy ip, ktory sobie to przypisuje jest staly czy zmienny?
sprawdz, czy komputer, ktory przypisal sobie mac`a bramy stoi na linuksie.
Ostatnio zmieniony 2007-09-26, 08:02 przez xil, łącznie zmieniany 1 raz.

darkstar2111
Użytkownik
Posty: 51
Rejestracja: 2007-09-02, 11:22

Re: [Rozw.] arp spoofing

Post autor: darkstar2111 » 2007-09-26, 09:03

Ostatni log a pinga świadczy o tym, że nie masz chyba poprawnie ustawionego tego statycznego ARP (tutaj jest inaczej niż w Windowsie, ustawiać trzeba przy każdym starcie systemu).

ODPOWIEDZ