The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"ip, arp, mac, проблема..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"ip, arp, mac, проблема..." 
Сообщение от xeno emailИскать по авторуВ закладки(ok) on 16-Янв-06, 16:15  (MSK)
Привет,
я во FreeBSD сразу скажу любитель, но понадобилось разобраться..
Может кто сталкивался с таким эффектом ? На корпоративном прокси
в /var/log/messages в течении нескольких часов валились подобные строки,
по 10-20 строк в секунду, для почти всех ip-адресов локальных компов, видимо которые в инет лезли через этот прокси, потом процесс внезапно прекращался, в пятницу и понедельник было, в выходные небыло. На соседних freebsd-машинах в messages фиксировалось изменения mac прокси сервера на на такой ненормальный 00:00:cd:01:00:00 и обратно

kernel: arp: 192.168.1.1 moved from 00:60:08:51:4c:97 to 00:60:cd:01:4c:97 on xl0
kernel: arp: 192.168.1.73 moved from 00:0d:cd:01:ec:1f to 00:0d:61:03:ec:1f on xl0
kernel: arp: 192.168.1.188 moved from 00:08:cd:01:b3:e2 to 00:08:02:28:b3:e2 on xl0
kernel: arp: 192.168.1.73 moved from 00:0d:61:03:ec:1f to 00:0d:cd:01:ec:1f on xl0

в общем менялись 2 и 3 байт в MAC-адресах arp-таблицы на cd:01 и потом тут же обратно. На работе сетки и инета это особо не сказалось..
Неясно как вообще такого эффекта можно добиться, что это может быть (icmp атака, вирус у юзера, просто глюки с железом) ?

  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]

1. "ip, arp, mac, проблема..." 
Сообщение от scum emailИскать по авторуВ закладки(??) on 17-Янв-06, 18:16  (MSK)
Атака то понятна - это arp spoofing. А вот насчет того, какое програмное обеспечение для этого использовалось, вопрос открытый. Но найти можно, если порыться в инете и поискать ту прогу которая отмечается заменой 2-3 байт в MAC адресах. Если поснифать ARP траффик, можно накрыть хулигана.
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру