[Rozw.] arp spoofing

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

greenhorn
Użytkownik
Posty: 30
Rejestracja: 2007-04-06, 13:29

Re: [Rozw.] arp spoofing

Post autor: greenhorn »

Ostatni log a pinga świadczy o tym, że nie masz chyba poprawnie ustawionego tego statycznego ARP (tutaj jest inaczej niż w Windowsie, ustawiać trzeba przy każdym starcie systemu).
Uruchamiam static arp przy kazdym starcie systemu - spradzilem jeszcze raz:

Kod: Zaznacz cały

arp -n | grep 192.168.0.245
192.168.0.245            ether   00:11:95:0A:1F:3F   CM                    eth3

arping -I eth3 192.168.0.245
ARPING 192.168.0.245 from 192.168.0.2 eth3
Unicast reply from 192.168.0.245 [00:11:95:0A:1F:3F]  1.509ms
Unicast reply from 192.168.0.245 [00:E0:4C:E9:2F:3B]  142.040ms
Unicast reply from 192.168.0.245 [00:E0:4C:E9:2F:3B]  142.596ms
Unicast reply from 192.168.0.245 [00:30:4F:26:F8:18]  904.280ms
A moze problem jest na serwerze?
Pomyslalem jeszcze o czyms takim - czy znalezienie hosta z sieciowka w trybie promiscous cos by dalo? A jesli tak to jak najszybciej moge go znalezc? probuje uruchomic sniffdet, ale mam problemy z kompilacja.
I drugie pytanie - w przypadku kiedy switch jest zalewany pakietami arp chyba zaczyna pracowac jak hub? Jesli tak, to czy jesli ktos zasmieca arp i przepelni tablce na switchu, a pozniej wylaczy komputer, to czy wszystko powinno wrocic do normy, czy potrzebny jest reset switcha?
Ostatnio zmieniony 2007-09-26, 13:24 przez greenhorn, łącznie zmieniany 1 raz.
Oskaro
Użytkownik
Posty: 199
Rejestracja: 2006-01-17, 18:54
Lokalizacja: Tarnobrzeg

Re: [Rozw.] arp spoofing

Post autor: Oskaro »

Tak już nawet ktoś pisał o tym, jeżeli się przepełni tablica arp switcha (jakoś tak) to zaczyna działać jak hub. Nie wymaga to resetu po wyłączeniu komputera, ponieważ taka tablica przetrzymuje dany adres przez jakiś określony czas i później usuwa.
darkstar2111
Użytkownik
Posty: 51
Rejestracja: 2007-09-02, 11:22

Re: [Rozw.] arp spoofing

Post autor: darkstar2111 »

Gdyby to był router programowy na linuxie, błędne wpisy "trwały by" 2 minuty, jeżeli sprzętowy, to już zagadka, ale raczej niedługo.
Awatar użytkownika
xil
Moderator
Posty: 862
Rejestracja: 2004-06-20, 22:20
Lokalizacja: Białystok
Kontakt:

Re: [Rozw.] arp spoofing

Post autor: xil »

switche po zaprzestaniu trucia wracaja do zycia bardzo szybko. to nie stanowi problemu. nie wymaga to resetu ich.
Awatar użytkownika
matryc
Użytkownik
Posty: 74
Rejestracja: 2005-10-30, 09:51
Lokalizacja: Dąbrowa Tarnowska

Re: [Rozw.] arp spoofing

Post autor: matryc »

IMHO szukał bym przyczyny po stronie sprzętu ( switche, karty, kable, końcówki )
greenhorn
Użytkownik
Posty: 30
Rejestracja: 2007-04-06, 13:29

Re: [Rozw.] arp spoofing

Post autor: greenhorn »

Po kilku dniach walki na 99% stwierdzam ze to jednak wirus, robak. Zaczalem odlawiac mac'i komputerow ktore sieja te pakiety i za kazdym razem kiedy odlaczaja komputer od sieci wszystko wraca do normy, wiec staram sie ich zmusic do porzadkow na kompie. Znacie moze jakis darmowy firewall ktory blokuje ten syf?
darkstar2111
Użytkownik
Posty: 51
Rejestracja: 2007-09-02, 11:22

Re: [Rozw.] arp spoofing

Post autor: darkstar2111 »

Musisz zmusić tych userów do naprawy komputerów. O jakiego firewalla pytasz ? O takiego którego mieli by oni zainstalować ? FW to trochę mało na trojana/robaka który już działa.
greenhorn
Użytkownik
Posty: 30
Rejestracja: 2007-04-06, 13:29

Re: [Rozw.] arp spoofing

Post autor: greenhorn »

chodzi mi o takiego ktory zabezpieczy ich po formatowniu. Chodzi mi o cos darmowego co chroni tez arp przed atakami.
Wiecie moze co to moze byc za robak?
Ostatnio zmieniony 2007-09-28, 12:21 przez greenhorn, łącznie zmieniany 1 raz.
darkstar2111
Użytkownik
Posty: 51
Rejestracja: 2007-09-02, 11:22

Re: [Rozw.] arp spoofing

Post autor: darkstar2111 »

Już pisałem jakie są moje typy co do robaka, a co do firewalli, to jeżeli chodzi Ci o zabezpieczenie kompa przed kolejnym robakiem to Kerio Firewall, ale jeżeli chodzi Ci o ochronę ludzi sąsiadujących na switchu z zarażonymi czymś takim, to żaden firewall nie zmieni problemu "ogłupionego" switcha.
greenhorn
Użytkownik
Posty: 30
Rejestracja: 2007-04-06, 13:29

Re: [Rozw.] arp spoofing

Post autor: greenhorn »

Ok, panowie - 3 dni od wychwycenia ostatniego syfiacego kompa i wszystko ok - nic sie nie dzieje... nuda rzeklbym :) Wielkie dzieki wszystkim za pomoc!
darkstar2111
Użytkownik
Posty: 51
Rejestracja: 2007-09-02, 11:22

Re: [Rozw.] arp spoofing

Post autor: darkstar2111 »

Dopisz [Rozw.] do nazwy tematu.
ODPOWIEDZ