arpspoof

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

piotres
Użytkownik
Posty: 2
Rejestracja: 2004-12-12, 00:59
Lokalizacja: Gliwice

arpspoof

Post autor: piotres »

Witam
mam takie pytanko odnosnie aprspoofa
przypuscmy ze arpspoofoje kogos w sieci lokalnej tj. arpspoof -t ip_cel ip_brama
i wlaczam sobie forwarding (osoba spoofowana nie ma oczywiscie dodanego statycznego arpa bramy)
przechwytuje w ten sposob tylko ruch wychodzacy celu
I intresuje mnie czy administrator sieci lokalnej moze w jakikolwiek sposob wykryc moj arpspoofing?, jesli tak to w jaki?

z gory dzieki za odp

pozdrawiam :twisted:
Awatar użytkownika
xil
Moderator
Posty: 861
Rejestracja: 2004-06-20, 22:20
Lokalizacja: Białystok
Kontakt:

Re: arpspoof

Post autor: xil »

piotres pisze:I intresuje mnie czy administrator sieci lokalnej moze w jakikolwiek sposob wykryc moj arpspoofing?, jesli tak to w jaki?
pakiet ``arpwatch'' moze czasem pomodz w wykryciu czegos takiego......

pomysl tez co bedzie, jesli administrator wysle pinga na maszyne, ktorej ruch przechwytujesz..
chodzi mi o ttl..........
jesli forwardujesz cos to zmieniasz ``ttl'' - czy to moze powiedziec adminowi o czyms?

pozdrawiam
Marek K.
piotres
Użytkownik
Posty: 2
Rejestracja: 2004-12-12, 00:59
Lokalizacja: Gliwice

Re: arpspoof

Post autor: piotres »

Tak wlasnie myslalem ze moze arpwatch ale...
wydaje mi sie ze to tylko osoba arpspoofowana mogla by to wykryc majac zainstalowanego arpwatcha
bo tylko do niej jest podsylany zmieniony adres mac bramy
Natomiast zaden inny komputer w sieci nie widzi ze podsylam komus moj adres mac podszywajac sie za brame

A jesli chodzi o ttl to moze masz racje nie orientuje sie w tym temacie za dobrze :)

pozdrawiam 8)
Awatar użytkownika
Torin
Użytkownik
Posty: 30
Rejestracja: 2004-09-20, 16:48
Lokalizacja: [PL]Gdynia
Kontakt:

Re: arpspoof

Post autor: Torin »

rozmawiajac o arpach itp zastanawia mnie czy da sie bloknac arpinga na iptables.
przyznam troche guglowalem i przegladalem grupy, ale jakos na nic sie nie natknalem.
ma ktos pojecie o tym ?
Awatar użytkownika
snaj
Moderator w st. spocz.
Posty: 1608
Rejestracja: 2004-10-10, 16:32
Lokalizacja: Warszawa
Kontakt:

Re: arpspoof

Post autor: snaj »

na iptables arp-a nie zblokujesz, ale za to na ebtables mozna ograniczyc uzywanie protokolu arp : http://ebtables.sourceforge.net/
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*
Awatar użytkownika
haclet
Użytkownik
Posty: 40
Rejestracja: 2004-06-13, 21:34
Lokalizacja: ŁódĽ/Opole
Kontakt:

Re: arpspoof

Post autor: haclet »

xil pisze: pomysl tez co bedzie, jesli administrator wysle pinga na maszyne, ktorej ruch przechwytujesz..
chodzi mi o ttl..........
jesli forwardujesz cos to zmieniasz ``ttl'' - czy to moze powiedziec adminowi o czyms?
Sorki - nie sprawdzalem dawno, ale z tego co pamietam i bawilem sie w arpspoofing - to nie wplywa on na TTL.
W teorii faktycznie przekazanie pakietow pomiedzy interfejsami powoduje zmniejszenie TTL o 1, ale na 95% nie w przypadku przekazania pakietu przez ten sam interfejs poprzez arpspoofing (ale nie mam 100% pewnosci).
Torin pisze:rozmawiajac o arpach itp zastanawia mnie czy da sie bloknac arpinga na iptables.
przyznam troche guglowalem i przegladalem grupy, ale jakos na nic sie nie natknalem.
ma ktos pojecie o tym ?
Popieram wypowiedz ze do niedawna mozna bylo arp'a ogranicznac przy pomocy etables. Aczkolwiek jak zdazylem zobaczyc w jadrze 2.6.9 do iptables jest dodane cos dotyczacego protokolu ARP. Nie mialem czasu jeszcze sie tym pobawic, tak wiec nie powiem dokladnie jakie daje to mozliwosci, ale zapowieda sie dosc ciekawie.
Pozdrawiam ;-]
Nie amator - nie elita... ;-)
Awatar użytkownika
snaj
Moderator w st. spocz.
Posty: 1608
Rejestracja: 2004-10-10, 16:32
Lokalizacja: Warszawa
Kontakt:

Re: arpspoof

Post autor: snaj »

Tak apropo:
Both ebtables and bridge-nf are a part of the standard 2.6 kernel.
Natomiast ty (chyba) piszesz o arptables (wlacznie z ebtables, bridge-nf pochodza ze stronki ebtables :) ). ktore(arptables) jednak byly juz w 2.4.x (nie tylko 2.6.9), tylko ze ja mialem skleroze i dopiero po tym twoim poscie one mi sie przypomnialy (nie uzywasz -> zapominasz) :/
*
[color=blue]Sieci[/color]/[color=green]Serwery[/color]/[color=red]Security[/color] - Freelancer
*
ODPOWIEDZ