The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Заполнение ARP-таблицы одним MAC-адресом"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"Заполнение ARP-таблицы одним MAC-адресом"  
Сообщение от Lelik email(??) on 07-Окт-07, 11:13 
Вчера возникла проблема:
в сетке у одного юзверя появился либо червячек,либо хз че.
Делает следующее: валит в сетку от своего МАКа ARP-ответы "у меня такой-то ИП" и постепенно вся АРП-таблица заполняется только его МАКом под всеми ИП-адресами. В итоге все пользователи отваливаются.
Система - FreeBSD 6.0,(ядро - 6.1) - выполняет функцию роутера. Запущен МПД 4.3,IRC  так,по мелочи...
Рядом с ним стоит еще один сервак под FreeBSD 6.1. Там крутится ВЕБ,ФТП и остальное. Он ведет себя вполне адекватно. АРП-таблица нормальная. Никаких заполнений и неадекватных реакций на вражеские арп-запросы нет.
Как запретить серверу реагировать на арп-ответы,запросы на которые он не отправлял? (на сколько я понимаю,именно это и происходит!)
Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Заполнение ARP-таблицы одним MAC-адресом"  
Сообщение от mixa email(??) on 07-Окт-07, 12:22 
1.
touch /etc/arp.tbl
ee /etc/arp.tbl
192.168.9.1 aa:bb:cc:dd:00:01
192.168.9.2 aa:bb:cc:dd:00:02
.............................
.............................
192.168.9.100 aa:bb:cc:dd:01:00

и т.д. и т.п.

где 192.168.9.1.24 твоя сеть (или чего-то-там-наподобие)
К IP-адресам которые действительно есть в сети привязываем действительные маки
К свободным IP-дресам (не занятым) привязываем левые маки (типа пример выше)
вместо aa bb cc dd ee ff можно цифирь пробить (фантазия подскажет)
после чего
2. arp -ad и arp -f /etc/arp.tbl

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Заполнение ARP-таблицы одним MAC-адресом"  
Сообщение от Lelik email(??) on 07-Окт-07, 19:12 
Статическая АРП-таблица уже планировалась.
Но возникла одна проблема с ней: у некоторых пользователей комп и бук. Работают они не одновременно. И связи с этим выдаётся один и тот же ИП на разные МАКи. Как такой финт реализовать со статической АТП-таблицей?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Заполнение ARP-таблицы одним MAC-адресом"  
Сообщение от mixa email(??) on 07-Окт-07, 20:13 
1.Выдать этим пользователям разные адреса
2.Вообще не привязывать этих пользователей к макам
3.Попробовать привязать к одному адресу два мака (может проканает?)
типа
192.168.1.10 00:80:48:64:8b:a8
192.168.1.10 4c:63:2t:74:8d:24
4.На компе назначить мак ноута и в арп таблице будет одна запись для этого пользователя
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Заполнение ARP-таблицы одним MAC-адресом"  
Сообщение от YuryD (??) on 08-Окт-07, 09:16 
>1.Выдать этим пользователям разные адреса
>2.Вообще не привязывать этих пользователей к макам
>3.Попробовать привязать к одному адресу два мака (может проканает?)
>типа
>192.168.1.10 00:80:48:64:8b:a8
>192.168.1.10 4c:63:2t:74:8d:24

ipguard спасет, он умеет и много mac на 1 ip, и любой mac на ip, и выкидывать несуществующие связки mac-ip в состояние "получение сетевого адреса"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Заполнение ARP-таблицы одним MAC-адресом"  
Сообщение от universite email(ok) on 09-Окт-07, 02:31 
Если в сети есть тупые свитчи, статическая таблица на роутере может не проконать.
Червь просто забьет таблицу свитча и все пользователи этого свитча отвалятся.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Заполнение ARP-таблицы одним MAC-адресом"  
Сообщение от anonymous (??) on 09-Окт-07, 10:05 
>Если в сети есть тупые свитчи, статическая таблица на роутере может не
>проконать.
>Червь просто забьет таблицу свитча и все пользователи этого свитча отвалятся.

Они не отвалятся, свич перейдёт в режим хаба.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Заполнение ARP-таблицы одним MAC-адресом"  
Сообщение от Koba LTD email on 09-Окт-07, 14:23 
>>Если в сети есть тупые свитчи, статическая таблица на роутере может не
>>проконать.
>>Червь просто забьет таблицу свитча и все пользователи этого свитча отвалятся.
>
>Они не отвалятся, свич перейдёт в режим хаба.

:) улыбнуло - "у меня кран потек - давайте магистрать переложим", а надо просто прокладку поменять - может чем ходить через 1 место проще решить проблему с вирусной безопастностью. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Заполнение ARP-таблицы одним MAC-адресом"  
Сообщение от Mike (??) on 09-Окт-07, 22:56 
Парни, та же самая проблема, но в масштабах ольлой локальной сети.

Полный трындец.

Если увидите лекарство - стучите, пожалуйста.
Спасибо


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Заполнение ARP-таблицы одним MAC-адресом"  
Сообщение от universite email(ok) on 09-Окт-07, 23:58 
>Парни, та же самая проблема, но в масштабах ольлой локальной сети.
>
>Полный трындец.
>
>Если увидите лекарство - стучите, пожалуйста.
>Спасибо

Обычно, помогают управлямые свитчи, где есть жесткая привязка mac к порту.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Заполнение ARP-таблицы одним MAC-адресом"  
Сообщение от Mike (??) on 10-Окт-07, 10:30 

>Обычно, помогают управлямые свитчи, где есть жесткая привязка mac к порту.

Ну вот, ещё один умник нашёлся :-).

Как ты запретишь управляемым свитчём с привязкой мака к порту не использовать все остальные адреса из его подсети?

А никак.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Заполнение ARP-таблицы одним MAC-адресом"  
Сообщение от universite email(ok) on 10-Окт-07, 14:26 
>
>>Обычно, помогают управлямые свитчи, где есть жесткая привязка mac к порту.
>
>Ну вот, ещё один умник нашёлся :-).
>
>Как ты запретишь управляемым свитчём с привязкой мака к порту не использовать
>все остальные адреса из его подсети?

Я делаю на роутере жесткую привязку mac-ip.
Если товарищ меняет IP, arpwatch говорит об этом и я ложу порт умника.

>А никак.

Учите матчасть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Заполнение ARP-таблицы одним MAC-адресом"  
Сообщение от anonymous (??) on 10-Окт-07, 01:30 
>:) улыбнуло - "у меня кран потек - давайте магистрать переложим", а
>надо просто прокладку поменять - может чем ходить через 1 место
>проще решить проблему с вирусной безопастностью. :)

Бороться с вирусами нужно, никто не спорит.  Но с другой стороны, любой пользователь с нехорошими намерениями может сам положить сеть таким образом.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Заполнение ARP-таблицы одним MAC-адресом"  
Сообщение от Koba LTD email on 10-Окт-07, 08:27 
>>:) улыбнуло - "у меня кран потек - давайте магистрать переложим", а
>>надо просто прокладку поменять - может чем ходить через 1 место
>>проще решить проблему с вирусной безопастностью. :)
>
>Бороться с вирусами нужно, никто не спорит.  Но с другой стороны,
>любой пользователь с нехорошими намерениями может сам положить сеть таким образом.
>

А пользователя с нехорошими манерами надо засеч и наказать, просто нет таких вариантров при которых ты сможешь реализовать не потопляюмую сеть в этом плане - мне в свое время удалось даже потопить сеть построенную на кисках 3750 (наспор) - так что можно изголяться скока угодно, если человек  сруками и задался целью его не остановишь, а вот отследить и покарать можно :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Заполнение ARP-таблицы одним MAC-адресом"  
Сообщение от BaF on 01-Янв-08, 16:15 
Таже проблемма ктонить нашел хоть название вируса если да то отпишите плз


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Заполнение ARP-таблицы одним MAC-адресом"  
Сообщение от svs (??) on 28-Янв-08, 13:44 
>Таже проблемма ктонить нашел хоть название вируса если да то отпишите плз
>

http://www.hub.ru/forum/index.php?showtopic=24384&mode=linear

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру