Cool Folders ® :: Форум Компью@Нет :: ARP Спуффинг, как бороться?

ARP Спуффинг, как бороться?

Дата : 24-02-07, Сбт, 09:05:09

Есть проблема, есть большая сеть в общаге.
Некто периодически (постоянно) спуффит ARP, и блокирует доступ к интернету.
Администрации этого прекрастного места на проблему просто не обращает внимания.
Как узнать хотя бы IP этого нехорошего человека?

И можно ли как то защитить себя (windows xp) от этой гадости?

Желатьелно иметь решение проблемы не используя линукс.

"arp -s" не работает, не возможно поставить статичный IP.

Выбор всегда остается за нами. Всегда - за нами. Мы идем вперед, мы торопимся, но хватит ли нам отваги прервать движение, остановится, превозмогая страх, и повернутся спиной к опасности или счастью, которые всегда впереди, и лицом к выбору, который всегда, вечно, неумолимо и невидимо остается за нами. (ц.) H.L.Oldie

ARP Спуффинг, как бороться?

№ 2

Dimka

Дата : 24-02-07, Сбт, 10:12:29

кто-то лезет прикрываясь твоим маком, я правильно понял?

Горноуралький, хохлоеврейский псевдогрузин Шумахер НЕ_Миша ибн Ёжик Задунайский, уральско-грузинско-еврейско-турецко-поддатый.

ARP Спуффинг, как бороться?

№ 3

yxo

Дата : 24-02-07, Сбт, 10:58:26

Поищи ArpWatch или Xarp -- должны работать под виндой. Проверяют ARP cache и MAC/IP пары на предмет измены

Самое правильное: применить метод бейсбольной биты или клюшки #9 для гольфа. Применять по голове админа, три раза в день.

Ешо вариант: сам заспуфь сеть и посмотри кто жалуется. К самому недовольному применить железную бейсбольную биту и клюшку номер #4 (для сильных ударов на дальние дистанции).

Вообче-то, бороться с ARP Poisoning очень сложно. Как правило, gateway становится целью атаки для получения полного bandwith'а. Если есть физический доступ к раутеру - выдергивай провода !

Удачи

...и днем и ночью

учёный всё ходит по цепи кругом...
[ 24-02-07, Сбт, 17:59:18 Отредактировано: yxo ]

ARP Спуффинг, как бороться?

№ 4

Gunslinger

Дата : 24-02-07, Сбт, 12:56:19

Вообще-то проблема не моя, я просто разместил обьяву.

а сама проблема в том что сказал Ухо:

gateway становится целью атаки для получения полного bandwith'а.

Админ сетки знает о проблеме, но заниматься проблемой не хочет.
Но если ему предоставить IP адрес, то он сможет найти самого человека.
Что собственно говоря и требуеться.

ARP Спуффинг, как бороться?

№ 5

yxo

Дата : 24-02-07, Сбт, 12:59:59

A... а я думал это твой мопэд

...и днем и ночью

учёный всё ходит по цепи кругом...

ARP Спуффинг, как бороться?

№ 6

Gunslinger

Дата : 25-02-07, Вск, 03:52:49

Вот Лог ARPWATCH, что скажете?

Action IP DNS MAC Manufacturer Type
20:48:39 Ignored 172.16.0.19 N/A 00:00:00:00:00:00 N/A Invalid
20:51:19 Added 172.16.21.210 MAZAFAKA 00:03:47:C9:98:69 Intel Corporation Dynamic
20:51:28 Added 172.16.20.1 N/A 00:50:54:9D:AD:60 CISCO SYSTEMS, INC. Dynamic
20:51:46 Ignored 172.16.20.1 N/A 00:00:00:00:00:00 N/A Invalid
20:51:54 Added 172.16.25.61 MAFIA 00:0B:CD:EB:80:EB N/A Dynamic
20:52:28 Added 172.16.27.14 AYAL 00:0A:E4:2B:13:58 N/A Dynamic
20:52:34 Added 172.16.27.91 MOONKNIGHT 00:16:76:A0:F3:6D N/A Dynamic
20:54:15 Added (Was Invalid) 172.16.20.1 N/A 00:50:54:9D:AD:60 CISCO SYSTEMS, INC. Dynamic
20:56:36 Ignored 172.16.20.1 N/A 00:00:00:00:00:00 N/A Invalid
20:56:50 Added (Was Invalid) 172.16.20.1 N/A 00:50:54:9D:AD:60 CISCO SYSTEMS, INC. Dynamic
20:58:40 Ignored 172.16.0.9 N/A 00:00:00:00:00:00 N/A Invalid
20:58:46 Ignored 172.16.0.55 N/A 00:00:00:00:00:00 N/A Invalid
20:58:53 Ignored 172.16.0.111 N/A 00:00:00:00:00:00 N/A Invalid
20:58:59 Ignored 172.16.0.161 N/A 00:00:00:00:00:00 N/A Invalid
20:59:07 Ignored 172.16.0.225 N/A 00:00:00:00:00:00 N/A Invalid
20:59:17 Ignored 172.16.20.1 N/A 00:00:00:00:00:00 N/A Invalid
21:00:09 Added (Was Invalid) 172.16.20.1 N/A 00:50:54:9D:AD:60 CISCO SYSTEMS, INC. Dynamic
21:00:31 Ignored 172.16.20.1 N/A 00:00:00:00:00:00 N/A Invalid
21:04:17 Added (Was Invalid) 172.16.20.1 N/A 00:50:54:9D:AD:60 CISCO SYSTEMS, INC. Dynamic
21:04:36 Ignored 172.16.20.1 N/A 00:00:00:00:00:00 N/A Invalid
21:08:44 Ignored 172.16.0.26 N/A 00:00:00:00:00:00 N/A Invalid
21:08:50 Ignored 172.16.0.74 N/A 00:00:00:00:00:00 N/A Invalid
21:08:55 Ignored 172.16.0.114 N/A 00:00:00:00:00:00 N/A Invalid
21:08:59 Ignored 172.16.0.152 N/A 00:00:00:00:00:00 N/A Invalid
21:09:05 Ignored 172.16.0.196 N/A 00:00:00:00:00:00 N/A Invalid
21:09:10 Ignored 172.16.0.233 N/A 00:00:00:00:00:00 N/A Invalid
21:09:17 Added (Was Invalid) 172.16.20.1 N/A 00:50:54:9D:AD:60 CISCO SYSTEMS, INC. Dynamic
21:09:47 Ignored 172.16.20.1 N/A 00:00:00:00:00:00 N/A Invalid
21:10:33 Added (Was Invalid) 172.16.20.1 N/A 00:50:54:9D:AD:60 CISCO SYSTEMS, INC. Dynamic
21:10:47 Ignored 172.16.20.1 N/A 00:00:00:00:00:00 N/A Invalid
21:17:36 Added (Was Invalid) 172.16.20.1 N/A 00:50:54:9D:AD:60 CISCO SYSTEMS, INC. Dynamic
21:17:45 Ignored 172.16.20.1 N/A 00:00:00:00:00:00 N/A Invalid
21:18:24 Added (Was Invalid) 172.16.20.1 N/A 00:50:54:9D:AD:60 CISCO SYSTEMS, INC. Dynamic
21:18:48 Ignored 172.16.0.40 N/A 00:00:00:00:00:00 N/A Invalid
21:18:56 Ignored 172.16.0.96 N/A 00:00:00:00:00:00 N/A Invalid
21:20:26 Ignored 172.16.20.1 N/A 00:00:00:00:00:00 N/A Invalid
21:20:33 Added (Was Invalid) 172.16.20.1 N/A 00:50:54:9D:AD:60 CISCO SYSTEMS, INC. Dynamic
21:22:45 Ignored 172.16.20.1 N/A 00:00:00:00:00:00 N/A Invalid
21:23:02 Added (Was Invalid) 172.16.20.1 N/A 00:50:54:9D:AD:60 CISCO SYSTEMS, INC. Dynamic
21:23:10 Ignored 172.16.20.1 N/A 00:00:00:00:00:00 N/A Invalid
21:23:15 Added (Was Invalid) 172.16.20.1 N/A 00:50:54:9D:AD:60 CISCO SYSTEMS, INC. Dynamic
21:24:27 Ignored 172.16.20.1 N/A 00:00:00:00:00:00 N/A Invalid
21:28:16 Added (Was Invalid) 172.16.20.1 N/A 00:50:54:9D:AD:60 CISCO SYSTEMS, INC. Dynamic
21:28:52 Ignored 172.16.0.53 N/A 00:00:00:00:00:00 N/A Invalid
21:29:01 Ignored 172.16.0.116 N/A 00:00:00:00:00:00 N/A Invalid
21:29:07 Ignored 172.16.0.172 N/A 00:00:00:00:00:00 N/A Invalid
21:29:12 Ignored 172.16.0.213 N/A 00:00:00:00:00:00 N/A Invalid
21:29:17 Ignored 172.16.0.250 N/A 00:00:00:00:00:00 N/A Invalid
21:29:42 Ignored 172.16.20.1 N/A 00:00:00:00:00:00 N/A Invalid
21:34:39 Added (Was Invalid) 172.16.20.1 N/A 00:50:54:9D:AD:60 CISCO SYSTEMS, INC. Dynamic
21:34:50 Ignored 172.16.20.1 N/A 00:00:00:00:00:00 N/A Invalid
21:35:16 Added (Was Invalid) 172.16.20.1 N/A 00:50:54:9D:AD:60 CISCO SYSTEMS, INC. Dynamic
21:36:44 Ignored 172.16.20.1 N/A 00:00:00:00:00:00 N/A Invalid
21:37:24 Added (Was Invalid) 172.16.20.1 N/A 00:50:54:9D:AD:60 CISCO SYSTEMS, INC. Dynamic
21:37:29 Ignored 172.16.20.1 N/A 00:00:00:00:00:00 N/A Invalid
21:37:45 Added (Was Invalid) 172.16.20.1 N/A 00:50:54:9D:AD:60 CISCO SYSTEMS, INC. Dynamic
21:37:51 Ignored 172.16.20.1 N/A 00:00:00:00:00:00 N/A Invalid
21:38:05 Added (Was Invalid) 172.16.20.1 N/A 00:50:54:9D:AD:60 CISCO SYSTEMS, INC. Dynamic
21:38:37 Ignored 172.16.20.1 N/A 00:00:00:00:00:00 N/A Invalid
21:38:48 Ignored 172.16.0.4 N/A 00:00:00:00:00:00 N/A Invalid
21:38:52 Added (Was Invalid) 172.16.20.1 N/A 00:50:54:9D:AD:60 CISCO SYSTEMS, INC. Dynamic
21:40:51 Ignored 172.16.20.1 N/A 00:00:00:00:00:00 N/A Invalid
21:41:26 Added (Was Invalid) 172.16.20.1 N/A 00:50:54:9D:AD:60 CISCO SYSTEMS, INC. Dynamic
21:42:35 Ignored 172.16.20.1 N/A 00:00:00:00:00:00 N/A Invalid
21:46:01 Added (Was Invalid) 172.16.20.1 N/A 00:50:54:9D:AD:60 CISCO SYSTEMS, INC. Dynamic
21:46:24 Ignored 172.16.20.1 N/A 00:00:00:00:00:00 N/A Invalid
21:48:51 Ignored 172.16.0.3 N/A 00:00:00:00:00:00 N/A Invalid
21:48:56 Ignored 172.16.0.48 N/A 00:00:00:00:00:00 N/A Invalid
21:49:01 Ignored 172.16.0.85 N/A 00:00:00:00:00:00 N/A Invalid
21:49:06 Ignored 172.16.0.124 N/A 00:00:00:00:00:00 N/A Invalid
21:49:15 Ignored 172.16.0.185 N/A 00:00:00:00:00:00 N/A Invalid
21:49:20 Ignored 172.16.0.232 N/A 00:00:00:00:00:00 N/A Invalid
21:49:56 Error: GetIpNetTable failed
21:49:59 Error: GetIpNetTable failed
21:50:02 Error: GetIpNetTable failed
21:50:29 Ignored 172.16.23.194 N/A 00:00:00:00:00:00 N/A Invalid
21:50:33 Ignored 172.16.23.195 N/A 00:00:00:00:00:00 N/A Invalid
21:52:09 Added (Was Invalid) 172.16.20.1 N/A 00:50:54:9D:AD:60 CISCO SYSTEMS, INC. Dynamic
21:52:30 Added 172.16.26.121 MOSHEY 00:01:6C:E9:CA:29 FOXCONN Dynamic
21:52:43 Ignored 172.16.20.1 N/A 00:00:00:00:00:00 N/A Invalid
21:53:08 Added (Was Invalid) 172.16.20.1 N/A 00:50:54:9D:AD:60 CISCO SYSTEMS, INC. Dynamic
21:53:14 Ignored 172.16.20.1 N/A 00:00:00:00:00:00 N/A Invalid
21:54:17 Added (Was Invalid) 172.16.20.1 N/A 00:50:54:9D:AD:60 CISCO SYSTEMS, INC. Dynamic

ARP Спуффинг, как бороться?

№ 7

yxo

Дата : 25-02-07, Вск, 04:22:07

Судя по IP адресам (172.16.0.*, 172.16.20.*, 172.16.21.*, ...) - кто-то сильно поимел bridge. Читай arpwatch(8) - там можно выставить формат логов, чтоб понятнее было.

Спекуляция: предположительно, атака проводится с лэптопа с wireless подключением, потому как ARP cache апдэйтится слишком часто. Начинаем охоту на НР/Деловские лаптопы (из интуитивного).

...и днем и ночью

учёный всё ходит по цепи кругом...

ARP Спуффинг, как бороться?

№ 8

Дядя хВёдор

Дата : 25-02-07, Вск, 12:34:33

Автор: yxo
Дата : 24-02-07, Сбт, 17:58:26

Ешо вариант: сам заспуфь сеть и посмотри кто жалуется. К самому недовольному применить железную бейсбольную биту и клюшку номер #4 (для сильных ударов на дальние дистанции).

Ага... тогда в сетке случится маленький апокалипсис (в роли кирдыка - DOS), тогда тут одной клюшкой №4 не отобьешься...

Аутпост ставь - есть там пару опций блокировки ARP, но опять же, гетвею это не поможет...

З.Ы. А админ ваш - ЛОХ!

"Удивительное рядом... но оно запрещено."
В.В.