D-Link • Просмотр темы - Possible spoofing attack from

Сообщения без ответов | Активные темы

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Possible spoofing attack from

Модераторы: Victor Kolosov, Alexander Shebaronin, Demin Ivan, Sergei Asmankin, Denis Evgraphov, Sergik

Страница 1 из 2

[ Сообщений: 21 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

Sumrak-mgn

Заголовок сообщения: Possible spoofing attack from

Добавлено: Пт мар 13, 2009 14:30

Зарегистрирован: Чт ноя 06, 2008 08:30
Сообщений: 51

Mar 13 16:23:33 root1sw 192.168.ххх.ххх CRIT: Possible spoofing attack from хх-хх-хх-хх-хх-хх port 6

Раскажите как работает , данная функция, и что такое на руском языке спуфинг атак ?

Вернуться наверх

ramm

Заголовок сообщения:

Добавлено: Пт мар 13, 2009 14:53

Зарегистрирован: Чт мар 13, 2008 14:16
Сообщений: 184
Откуда: Omsk

это означает, что за 6 портом у вас кольцо, а мак который у вас там указан мак самого свича.

_________________
console for real man...

Вернуться наверх

Sumrak-mgn

Заголовок сообщения:

Добавлено: Пт мар 13, 2009 14:56

Зарегистрирован: Чт ноя 06, 2008 08:30
Сообщений: 51

нет там не может быть кальца ибо там куча 3526 которые сказали бы если кальцо... в том то и дело.. в одном и сегментов в таком то вилане этот мак всветиться..

Вернуться наверх

duckhawk

Заголовок сообщения:

Добавлено: Пт мар 13, 2009 14:58

Зарегистрирован: Вт ноя 27, 2007 12:52
Сообщений: 200

кстати, а это нормально что длинки реагируют только на кольца, а на реальные спуфинговые атаки не реагируют?
допустим DGS-3627 именно так себя и ведет.

Вернуться наверх

Sumrak-mgn

Заголовок сообщения:

Добавлено: Пт мар 13, 2009 15:01

Зарегистрирован: Чт ноя 06, 2008 08:30
Сообщений: 51

Device Type : DGS-3612G Gigabit Ethernet Switch
MAC Address : хх-хх-F0-хх-хх-хх

во во , впринцепе они говорят о том что видят свой мак абратно, в таком то вилане..

Вернуться наверх

vovo4ka

Заголовок сообщения:

Добавлено: Сб мар 14, 2009 17:31

Зарегистрирован: Вт апр 04, 2006 13:18
Сообщений: 357
Откуда: Белгород

DGS-3324 видит спуфинг - проверено собственно спуфингом.
DES-3828 видит кольцо (думаю и спуфинг) проверено нерадивыми клиентами сети.

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вс мар 15, 2009 03:19

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

Вторая вероятная причина что кто-то поменял IP-адрес на адрес интерфейса свитча в этом VLAN-е, поэтому ловит spoofing атаки.

Вернуться наверх

Daniil-B

Заголовок сообщения:

Добавлено: Вс мар 15, 2009 11:51

Зарегистрирован: Сб май 19, 2007 21:47
Сообщений: 452
Откуда: Питер - "Домашние сети"

Управление железом выносим в отдельный влан и не мучаемся ...
и если где и появится такая мессага, то только на L3.

Вернуться наверх

duckhawk

Заголовок сообщения:

Добавлено: Вс мар 15, 2009 12:44

Зарегистрирован: Вт ноя 27, 2007 12:52
Сообщений: 200

эм... а смысл 36** использовать как L2? микроскоп больно мощный получается, чтобы гвозди забивать...
вопрос в том, что сообщения есть только о кольцах за портом (то бишь мак самого свитча на интерфейсе). а вот реальные спуфинговые атаки свитч не ловит... вот и интересуюсь почему, эта функция вроде как ненастраиваемая...

Вернуться наверх

Demin Ivan

Заголовок сообщения:

Добавлено: Вс мар 15, 2009 16:54

Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow

А эта и не функция вообще-то а просто логирование. Так разве подмена адреса на адрес шлюза не подвид spoofing атаки? А такие вещи он ловит.

Последний раз редактировалось Demin Ivan Вт мар 17, 2009 03:37, всего редактировалось 2 раз(а).

Вернуться наверх

Sumrak-mgn

Заголовок сообщения:

Добавлено: Пн мар 16, 2009 14:38

Зарегистрирован: Чт ноя 06, 2008 08:30
Сообщений: 51

так если это и не насраиваемая фитча, она присутсвует, то можно её как то развить, чтоб писала подмена мака , или кольцо... тоесть чтоб поточнее было, а не просто факт ошибки некой в вилане ..

Вернуться наверх

Dyr

Заголовок сообщения:

Добавлено: Пн мар 16, 2009 17:43

Зарегистрирован: Пн сен 18, 2006 11:17
Сообщений: 270
Откуда: SPb

Sumrak-mgn писал(а):

Мухи отдельно, котлеты отдельно. Для диагностики колец нужно включать STP, для защиты от спуфинга ARP Spoofing prevention и ACL. Как без этих механизмов маршрутизатор поймёт, петля это или пользователь шалит?

Вернуться наверх

DSR

Заголовок сообщения:

Добавлено: Ср мар 18, 2009 09:04

Зарегистрирован: Пт авг 05, 2005 13:53
Сообщений: 7

Проблема решится если на порты применять функцию
address_binding ip_mac в режиме arp?

IP и мак соответственно порта, на котором spoofing attack

Вернуться наверх

vovo4ka

Заголовок сообщения:

Добавлено: Ср мар 18, 2009 10:23

Зарегистрирован: Вт апр 04, 2006 13:18
Сообщений: 357
Откуда: Белгород

кстати заспуфенные пакеты проходят IMB.

Вернуться наверх

DSR

Заголовок сообщения:

Добавлено: Ср мар 18, 2009 17:42

Зарегистрирован: Пт авг 05, 2005 13:53
Сообщений: 7

почему?

Вернуться наверх

Страница 1 из 2

[ Сообщений: 21 ]

На страницу 1, 2 След.

Список форумов » Коммутаторы

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 48

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения