D-Link • Просмотр темы

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

ARP SPOOFING

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 2 из 9

[ Сообщений: 129 ]

На страницу Пред. 1, 2, 3, 4, 5 ... 9 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

borcat

Заголовок сообщения:

Добавлено: Пт ноя 16, 2007 23:34

Зарегистрирован: Чт сен 06, 2007 09:07
Сообщений: 47
Откуда: Москва

Demin Ivan писал(а):

Обновите прошивку до 5.01-B09 и включите IP-MAC-Port Binding в режиме strict. Должно помочь. А это стандартная атака на шлюз чтобы другие не могли ходить в общем случае.

Как и где это включить??? :shock:

_________________
Размер - величина зависящая от обстоятельств...

Вернуться наверх

borcat

Заголовок сообщения:

Добавлено: Пт ноя 16, 2007 23:44

Зарегистрирован: Чт сен 06, 2007 09:07
Сообщений: 47
Откуда: Москва

BuHast писал(а):

1. Обновите прошивки до последних.
2. С помощью ACL Packet content Filtering запретите ARP ответы с клиентских портов с ИП адресом шлюза.
3. Если есть возможность, выложите плз дамп вирусного пакета, ибо хочется предупредить распостранение такой вирусни.

1. Обновляю.
2. Поподробнее можно?
3. Как именно tcpdump-ом отловить именно ентот пакет?

_________________
Размер - величина зависящая от обстоятельств...

Последний раз редактировалось borcat Пт ноя 16, 2007 23:45, всего редактировалось 1 раз.

Вернуться наверх

borcat

Заголовок сообщения:

Добавлено: Пт ноя 16, 2007 23:45

Зарегистрирован: Чт сен 06, 2007 09:07
Сообщений: 47
Откуда: Москва

Demin Ivan писал(а):

Обновите прошивку до 5.01-B09

Обновляю.

_________________
Размер - величина зависящая от обстоятельств...

Вернуться наверх

BuHast

Заголовок сообщения:

Добавлено: Сб ноя 17, 2007 00:01

Зарегистрирован: Вт авг 08, 2006 18:42
Сообщений: 195
Откуда: Moscow

Общие принципы здесь - http://dlink.ru/technical/faq_hub_switch_90.php
Очень удобный фильтр, ибо можно закрыть пакет по любому БИТУ пакета...
Находите вируснёвую машину, с помощью mirroring снимаете дамп (сниффер - Ethereal в частности) пакетов, там должен быть пакет типа АРП ответ с содержимым, что ИП шлюза соответствует такой-то МАК(поддельный). Далее тем же сниффером разбираете пакет и создаёте правило с запретом АРП ответа с ИП шлюза.
З.Ы. Сейчас не на работе, буду в конторе покажу более конкретный пример.

Вернуться наверх

borcat

Заголовок сообщения:

Добавлено: Сб ноя 17, 2007 00:19

Зарегистрирован: Чт сен 06, 2007 09:07
Сообщений: 47
Откуда: Москва

BuHast писал(а):

Ок. Надеюсь наболее подробный пример.

_________________
Размер - величина зависящая от обстоятельств...

Вернуться наверх

duzer_r

Заголовок сообщения:

Добавлено: Сб ноя 17, 2007 15:07

Зарегистрирован: Чт сен 20, 2007 11:28
Сообщений: 15
Откуда: Красноярск

0000 0008c739 eaa600e0 4cd7f2db 08060001
0010 08000604 000200e0 4cd7f2db ac1d8e81

Кусок пакета ответа ARP с зараженной машины. Жирное выделение - тип протокола, красное - тип (ARP reply), синее - IP шлюза. Насколько я понимаю, нужно запретить прохождение пакетов с выделенными байтами на клиентских портах?
По идее правило должно выглядеть так:
create access_profile packet_content_mask offset_16-31 0x0 0x0 0xffff0000 0x0 offset_32-47 0xffffffff 0x0 0x0 0x0 profile_id 1
config access_profile profile_id 1 add access_id 1 packet_content_mask offset_16-31 0x0 0x0 0x00020000 0x0 offset_32-47 0xac1d8e81 0x0 0x0 0x0 port 1 deny

К сожалению, пока проверить нет возможности, абонент уже переустановил систему.

Последний раз редактировалось duzer_r Сб ноя 17, 2007 15:18, всего редактировалось 1 раз.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Сб ноя 17, 2007 15:13

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Именно так. В соответствующих разрядах по которым надо выбирать пакет в маске в профиле поставьте единицы. А уже в правиле поставьте те значения которые должны быть ьв пакеты. Те разряды которые не надо анализировать поставьте в ноль.

Вернуться наверх

duzer_r

Заголовок сообщения:

Добавлено: Сб ноя 17, 2007 18:11

Зарегистрирован: Чт сен 20, 2007 11:28
Сообщений: 15
Откуда: Красноярск

Demin Ivan, что за режим "strict", как именно он включается и для чего нужен?

Вернуться наверх

borcat

Заголовок сообщения:

Добавлено: Сб ноя 17, 2007 18:53

Зарегистрирован: Чт сен 06, 2007 09:07
Сообщений: 47
Откуда: Москва

duzer_r писал(а):

Большой пасиб - буду пробовать.
зы: принесли одну заражённую машину - думаю как лучше поступить т.к. она ещё не лечилась.

Хотя этот способ только лишь "отмазка"("костыль") от проблеммы.
Ведь подставленый адрес может быть не только адресом шлюза...

_________________
Размер - величина зависящая от обстоятельств...

Последний раз редактировалось borcat Сб ноя 17, 2007 19:04, всего редактировалось 1 раз.

Вернуться наверх

borcat

Заголовок сообщения:

Добавлено: Сб ноя 17, 2007 19:03

Зарегистрирован: Чт сен 06, 2007 09:07
Сообщений: 47
Откуда: Москва

2 Demin Ivan:
Обновил все свичи.
Перевёл абонентов с ARP IP-MAC-PORT привязки на ACL IP-MAC-PORT привязку.
Стало интереснее...
Два варианта: (причём почему и как - зависимости не выявлено)
1) Абонент успевает разослать пару широковещательных пакетов, после чего порт блокируется. Через некоторое время (случайно, от 1 до 5 минут) порт разблокируется и всё повторяется.
2) Коммутатору пофигу на то что рассылает абонент... При чём если абонент меняет IP - он блокируется.

Возможно ли увидеть функционал в виде автоматического создания ACL (запрещающего) по поводу рассылки ARP пакетов с портов где указана привязка IP-MAC-PORT?

_________________
Размер - величина зависящая от обстоятельств...

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Сб ноя 17, 2007 21:55

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Режим strict это с блокировкой первого ARP пакета. Вы его пробовали явно прописать на порту? Функции автоматического прописывания указанных правил не ожидается.

Вернуться наверх

borcat

Заголовок сообщения:

Добавлено: Сб ноя 17, 2007 22:40

Зарегистрирован: Чт сен 06, 2007 09:07
Сообщений: 47
Откуда: Москва

Demin Ivan писал(а):

1) Как прописать блокировку первого ARP пакета??? Куда более явнее это прописывать чем в таблице IP-MAC-PORT привязок???
2) Жаль, это сделало бы работу привязок полноценной и защищённой. зы: на самом деле - что мешает автоматически создавать правила при создании привязки - эт всего лишь одна-две дополнительные команды при наличии всех исходных данных.

_________________
Размер - величина зависящая от обстоятельств...

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Сб ноя 17, 2007 22:52

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Вот я и говорю про блокировку первого ARP пакета опцией strict при включении функции на порту. А по поводу второго пункта в этом случае слишком много ACL будет использовано.

Вернуться наверх

glat

Заголовок сообщения:

Добавлено: Сб ноя 17, 2007 23:36

Зарегистрирован: Пт июн 30, 2006 23:22
Сообщений: 229
Откуда: Запорожье

Demin Ivan писал(а):

уточните пожалуйста, если я в одном packet_content укажу блокировку по айпи + мак, будет ли блокировать если появится только мак или только айпи, или для этого нужно создавать два отдельных профиля?

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Сб ноя 17, 2007 23:39

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Нет будет только по обоим условиям сразу. В этом случае надо делать два профиля.

Вернуться наверх

Страница 2 из 9

[ Сообщений: 129 ]

На страницу Пред. 1, 2, 3, 4, 5 ... 9 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 31

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения