NoFX писал(а):
На самом деле это только частный случай.
Последствия апр спуфинга таковы:
1. Тот хост которого спуфят теряет гейт. - Пакеты с неправильным содержимым.
2. Если спуфер пытается работать от мака гейта то коммутатор может потерять порт с гейтом. (И соответственно пакеты уже будет слать не обманутый комп а обманутый коммутатор). - Пакеты не от валидного мака.
3. Если спуфер испльзует перебор маков то возможно переполнение таблицы коммутатора. - Вполне валидные пакеты от большого количества маков.
Как защититься?
1. ACL / IP-MB strict / ARP-Spoofing Prevention.
2. ACL / Static FDB
3. Max. Learning Adress / Static FDB
И вот здесь вылезают проблемы, при смене маршрутизатора или адресации в сети, в тех пунктах где участвовал мак или IP маршрутизатора придется перенастраивать.
В итоге что предпочтительнее:
1. IP-MB strict (немного непонятно как она поведет себя в режиме DHCP-Snoop+Opt82)
2. В принципе неважно что менять придется и то и другое.
3. Однозначно Max Learn Adress.
PS Плюс еще остается (или нет?) вариант чтобы подспуфить таблицу коммутатора, заставить подумать что мак кого либо другого подключенного к коммутатору на твоем порту.
по 2 пункту:
Я уже как то просил длинк добавить в конфиге использование шаблона, такие параметры как [VERSION] [GATE] [MASK] [IPSW] [SYSVLAN] [MACSW] это бы позволило создавать универсальные конфиги и не править их при смене чего либо.
А то блин сделали возможность менять greeting message, я теперь постоянно путаюсь с тем какая версия прошивки у меня стоит.
Вход
Регистрация
FAQ
Поиск
