Большой Брат следит за тобой: как палят подмену MAC в локалке
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
pumberman; e-mail: mail@mail.mail - 2007-10-21 15:13:15.493333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Хм. Вот одного я в данной статье не понял - того, о чем писалось в заголовке статьи.
Как админы определяют смену мак адресса? Ну допустим сеть стоит на свичах, я сменил имя компа, поизменял открытые порты, все поизменял. В сети сидит мало человек (например 10%). И как меня вычислят? …
|
|
|
|
|
DgtlScrm; e-mail: digitalscream@real.xakep.NOSPAM.ru - 2007-10-21 15:13:15.570000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Related: http://www.xakep.ru/post/18963/default.asp
|
|
|
|
|
yoda; e-mail: q@q.com - 2007-10-21 15:13:15.633333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Немного теории для начала. Все вы знаете, что стек протоколов TCP/IP разбит условно на 5 уровней: уровень приложений (5), транспортный (4), сетевой (3), канальный (2) и, наконец, уровень физический - оборудования (1).
LOL это уровни OSI у TCP/IP свои уровни RTFM!
|
|
|
|
|
yoda; e-mail: q@q.com - 2007-10-21 15:13:15.713333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
1. Отключаешь прием широковещательных запросов и вообще всякое реагирование на ARP (это очень просто реализовано в *nix, а про винду не знаю, не было необходимости как-то…).
Объясните поподробнее как это вы широковещательный ARP в никсах так просто отключаете ;)
Прога для ловли таких ломарей - Arpwatch поставляется с почти любым линухом)
О чем статья вообще?) LOL
Лучше б просвятил народ как Arp-poisoning на практике делать Arpinject-ом под виндой или arpping-ом в линухе) не каждый этого я думаю знает.
Одним словом статья LOL ;)
|
|
|
|
|
--; e-mail: brat@brat.ru - 2007-10-21 15:13:15.790000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Чё-т в статье упоминалось про социнженерию - вот и статья - соц… чтобы ламеры думали, что им хакерами никогда не стать :) Не надо так народ пугать :))) с ламерами в сетке сложней бороться - с хаком базарить легче.
з.ы. - как-то недавно сменил я сетевуху на другую с VCT, а затем удивился счёту - я и не сидел почти (по счёту :))) ) Полдня пошло, чтобы найти причину. И автор статьи об ней должен знать :)))
|
|
|
|
|
kvazar; e-mail: support@microsoft.com - 2007-10-21 15:13:15.883333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
И вот такие дол***бы админят сети районные и не только. Мальчику лет 17-19.
|
|
|
|
|
solaris; e-mail: solaris@vconsult.ru - 2007-10-21 15:13:16.133333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Так, ладна, обо всем по порядку. "Полдня пошло, чтобы найти причину. И автор статьи об ней должен знать :)))" - это что ж за пров такой? А? Очень удивительная ситуевина. "Объясните поподробнее как это вы широковещательный ARP в никсах так просто отключаете ;)" - ifconfig -arp … не пробовал? напрочь отрубает всякое реагирование на arp протокол. "LOL это уровни OSI у TCP/IP свои уровни RTFM!" - в следующий раз сделаю на это оговорку, дабы вы не придирались… " Как админы определяют смену мак адресса? Ну допустим сеть стоит на свичах, я сменил имя компа, поизменял открытые порты, все поизменял. В сети сидит мало человек (например 10%). И как меня вычислят? …" - заметьте, я ничего не говорил о портах. Они то тут причем? %) Я говорил про косвенные способы доказательства. Запретить смену МАСа невозможно! А док-во того, что это сделал именно ты осуществляется только косвенными способами. В частности я написал, что самый лучший из них - это мониторинг arp трафика. Нужна повременная регистрация пакетов, из которой становится ясно о статусе offline\online юзеров с сегменте и хакера соответственно. Если сегмент еще и маленький, то тут совсем все просто. При смене МАСа ты выходишь из сети со своим IP! Это первый способ. Второй способ… Ты обязательно на чем-то да проколишься. Достаточно в проблемном сегменте просто поставить на прослушку трафик юзеров. Из этого дела можно выудить например инфу о браузере, которую ты наверняка не поменяешь. Если ты почту свою проверишь из-под чужого IP это тоже послужит док-вом. Может я не правильно понял вашей критики, господа? Тем не менее я благодарен за нее. Учту в следующей статье.
|
|
|
|
|
pumberman; e-mail: mail@mail.ru - 2007-10-21 15:13:16.260000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
по открытым портам тоже определяют… и иногда удачно. браузер легко сменить. да и у большинства юзеров он ИЕ - ставишь ослика и будь спокоен.
А вообще ты говоришь вести статистику кто онлайн. Ну пусть ночью 7 компов из 254 бывают включены. получаем что 247 выключены. И если злоумышленник сидит ночью - то как тут поможет твоя статистика? никак, ведь так?
|
|
|
|
|
solaris; e-mail: solaris@vconsult.ru - 2007-10-21 15:13:16.336666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Не совсем так. Если вести мониторинг сегмента начиная с начала его использования, то шанс найти зоумышленника возрастает. Ну не будешь же ты ТОЛЬКО качать фильм с какого-нибудь фтп (хотя и такое бывает). Наверняка ты сделаешь что-нибудь еще, на чем и проколишься. Предусмотреть все невозможно. В прочем как и невозможно запретить смену МАСа. В подавляющем большинстве городские сети, предоставляющие доступ в интернет по выделенной линии не содердат этих 254 юзерей в сегменте. Тут надо мыслить творчески. К тому же… Если бы у тебя был бы неуправляемый сегмент, где постоянно бы меняли МАСи, ты бы в первую очередь что сделал? Правильно, уменьшил сегмент. Так легче и мониторить и выяснять кто ХАЦКЕР. Не так ли? М?
|
|
|
|
|
neroton; e-mail: garic1@yandex.ru - 2007-10-21 15:13:16.430000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
В реально больших сетях это пахать не будет, если рутеры стоят на 100$ машинах с 3 гигами хдд, и шлюзов этих порядка 1000 а то и более (жесткий пример Бис Телеком в Москве (Атом) ) если вы уважаемый видели (а я уверен что видели :) ) какой арп траф генерит сеть хатяб из 500 машин, то можете себе представить что будет тварится с вашей базой от 8000, все ресурсы и доходы исп пойдут на на серваки с базой :))) (уточню мне кажется тут будет идти речь даже не о гигах, а о террабайтах причем ежедневно)
Да и за чистую админы домовых сетей заняты не этим (по моему опыту заняты они раздыванием собственного ЭГО, и абсалютно лаймерсих попытках котролировать локальный трафик)
|
|
|
|
|
solaris; e-mail: solaris@vconsult.ru - 2007-10-21 15:13:16.523333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Да, видел и знаю. Заняты они действительно только своим ЭГО. По поводу базы… У меня более маленькая сеть не 8000 пользователей, конечно. Я выходил из положения как раз только при помощи мониторинга ARP. Эту ситуацию и описал. Что же касается крупных провайдеров, то к сожалению не имел опыта работы в сетях такого масштаба. Как подобные проблемы решаются там я не знаю. Пока не знаю…
|
|
|
|
|
yoda; e-mail: q@q.com - 2007-10-21 15:13:16.586666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
По поводу ifconfig -arp я знал) не надо меня недооценивать, просто если ты его не поднимешь на Ethernet NIC у тя не будет ничего работать)как провило этот ключ, насколько я знаю, используется для соединений точка-точка ну модем или 2 компа по LPT или еще чего… так что я не думаю что ты сможешь просто так убить арп и без него работать в сети)
|
|
|
|
|
solaris; e-mail: solaris@vconsult.ru - 2007-10-21 15:13:16.680000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Еще как смогу. Ручками прописать необходимые МАСи. И из Скрипта подгружать…
Кстати всех шлю на www opennet ru. Там в разделе ARP появилась сегодня похожая на мою статья… Читаем, обсуждаем, ищем общий знаменатель. Одно я могу сказать точно: "ЕСТЬ ТОЛЬКО 1 ВЕРНЫЙ СПОСОБ КОНТРОЛИТЬ ПОМЕНУ МАС-а - это УСТАНОВКА ПРОГРАМИРУЕМЫХ СВИЧЕЙ…" В оcтальном же, до встречи на opennet-e
|
|
|
|
|
yoda; e-mail: q@q.com - 2007-10-21 15:13:16.760000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
про скрипт поподробнее пожалуйста, на уровне реализации, я пробовал не получилось, напиши КОНКРЕТНО как это сделать)
|
|
|
|
|
--; e-mail: b@b.b - 2007-10-21 15:13:16.820000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
"Так, ладна, обо всем по порядку…"
– Э, я по тупости своей не понял, что пихалось мне, а шо нет. Но если подробнее: VCT -Virtual Cable Testing. Растёт на гигабайтовской маме с гигабитной встроеной сетью (я сказал, что менял карточку :))) - на маму :) Ну, включил я его - запретил в реестре определять, шо на линии коннект. Я не знаю ЧТО именно этот тестер сделал. Понятно, что он мерит отражение сигналов, ибо как он узнает длину, если с другого конца кабеля - ничего? Я знаю, что я хотел узнать реальную длину кабеля, ибо говорили, что чуть больше 100 м, а по скорости я думал, что все 200 :))) Ну вот, после запусков ентого VCT мой комп и перестал принадлежать сетке :). Я даже не уверен что я правильно допёр до реальной причины. Но извини - конкретно объяснять не буду, ибо уверен, что ты знаешь то же самое. А мне ещё жить охота, причём не создавая себе проблем. Единственное - VCT не просто тупые сигналы посылает, а явно какие-то пакеты… Наверное гигабайт это уже исправил :)
|
|
|
|
|
anonymous; e-mail: ww@ww.ru - 2007-10-21 15:13:16.900000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Если сетка побогаче, то логи смело собираются со свитчей и замена АРП и ИП на порту сечется так же, как мама двойку в дневнике. Я сам админ и могу вас уверить по косвенным причинам определить злоумышленника можно, а в некоторых случаях можно и наградить(ну скажем бесплатным фонарем под глазом). Если не знаешь не лезь, а если лезешь читай, действительно воровать инет в сети можно, а иногда это даже легко, но если вас палят вы ничего сказть не сможете, а вот грамотный чувак все сразу может спустить на соседа-редиску и все докуазать. Так что итог-если не знаешь, тебя отключат-это на 100%, так как всего не предусмотреть.
|
|
|
|
|
zloumishlenik; e-mail: nobody@secured.fully - 2007-10-21 15:13:16.980000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Я тот самый злоумышленник которого вы дружно пытаетесь отловить - до прочтения статью был уверен в своей секурности на 100% (теперь на 99%). Сижу я через стыреный акк (даже щас). Раньше сидел под измененным маком (под спец. виндой - левое имя, левый мак, закрытые наглушь всё кроме нужного порта). Инет у нас сделан через PoPTop(VPN). Вопрос: ведёт ли логи dhcp-сервак, кому и када аренда IP была выдана???
|
|
|
|
|
slider; e-mail: slider_alex@mail.ru - 2007-10-21 15:13:17.056666
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Скажу вам дорогие злоумышлиники. На данный момент у одного провайдера в одном городе сидит вот такой не хороший человек с чужим МАСом и качает за его счёт, но мы же не лохи вычислили его на следующий день, и позвонили в упровление К МВД РФ, которые сейчас собирают материал для уголовного дела, чел этот пока держит прова за лоха, а зря. Так что смотрите что мутите :-)
|
|
|
|
|
ken; e-mail: vit346@rambler.ru - 2007-10-21 15:13:17.150000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Пля, а я по ходу попал. Сменил у второго компа мак на свой. вошёл в сеть. В итоге трафик почти до нуля падает. потом дождался глубокой ночи, и не меняя хост полез под чужим маком. :( .на следующий день отрубили вход на локальных фтп (хотя пров вроде лох: у него для входа на локальный фтп для каждого юзера свой логин. вот думаю чё делать: звонить ли прову с вопросом почему фтп не работает? чё подскажете?
|
|
|
|
|
Metaller; e-mail: jared@ip-elite.net - 2007-10-21 15:13:17.213333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Умный свитч с фильтрацией маков, dhcp с привязкой мака к ip и vlan спасут отцов русской демократии. :-)
|
|
|
|
|
RE: Большой Брат следит за тобой: как палят подмену MAC в локалке - 2007-10-21 15:13:17.290000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Да фигня ето всьо, сказкы для ЛАХОВ.
Какой придурак будет следыт за всеми канфликтами в сети.
Прачтите сначала все о сети, и никакой зЛОЙ аДМИН, вам помехой нестанет!!
-=Sh@DovV=-
|
|
|
|
|
RE: Большой Брат следит за тобой: как палят подмену MAC в локалке - 2009-12-09 07:40:04.010000
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Один чел.заплатил и от себя провел провод к другу которому ввел свой МАС как "увидеть" его друга?
|
|
|
|
|
RE: Большой Брат следит за тобой: как палят подмену MAC в локалке - 2010-12-29 00:20:09.613333
|
|
|
Guest
Сообщений: 83368
Оценки: 51
Присоединился: None
|
Парни кто из вас щас на сайте???
|
|
|
|
|
|
