Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевые технологии (http://forum.oszone.net/forumdisplay.php?f=31)
-   -   ARP-spoofing - посоветуйте, как защититься (http://forum.oszone.net/showthread.php?t=145442)

paulkorotoon 17-07-2009 14:44 1170571
ARP-spoofing - посоветуйте, как защититься
 
Стоит бесплатная версия файерволла Online Armor. За вчера и сегодня файер зафиксировал две попытки ARP spoofing-а по локальной сети. ARP Protection в файерволле, слава Богу, я как раз незадолго до этого включил :) , но насчет надежности этой функции ничего не знаю, лазию щас по форуму TallEmu, но там только на английском... Поглядел в поисковике насчет ARP spoofing-а, нашел упоминание о программе arpwatch, точнее, ее аналоге под Windows - ARP Monitor, буду пробовать.. Так, еще одну нашел: MD ARP Monitor.. Но программы программами, а опыта-то нет, поэтому буду рад любым советам по обеспечению безопасности ARP. Да, и еще: может ли кто-нибудь привести краткую справку по командам arp.exe, может, ее одной и хватит для защиты? Гугль пока ничего толкового не выдал.

Angry Demon 17-07-2009 14:46 1170574
Цитата:
Цитата Paul-SFL
может ли кто-нибудь привести краткую справку по командам arp.exe
ARP /?

ARP-spoofing

paulkorotoon 17-07-2009 14:51 1170578
Спасибо, но это я читал :) . Я некорректно выразился: я имел ввиду, можно ли с помощью какой-то из этих команд что-то сделать для повышения моей безопасности?
-----
Так, только что почитал, насколько понял, Online Armor надежной защиты не предоставляет. Включил логгинг, оказалось, что файер пропускал пакеты ("Packet dropped"), ибо "Rule not found". Я запретил всякую активность по тем портам, через которые ко мне ломились.. ага, появилась заблокированная попытка :) , звякнул в офис нашей локалки, терь сижу жду.. Каждый раз звонить не кажется самой лучшей перспективой, однако..

paulkorotoon 17-07-2009 17:45 1170737
Сказали, что это был вирус...

paulkorotoon 17-07-2009 23:04 1170996
Хы, а оно продолжается.. Полазил я еще по поисковикам, наткнулся на интересную статью.
"Если не отключать использование ARP на сетевых интерфейсах, MAC-адрес, заданный статически, имеет приоритет. Если MAC-адрес для какого-то IP-адреса не задан, используется ARP-запрос." В связи с этим возникает вопрос: имеет ли смысл сделать свой MAC статическим? Я только что сделал это через arp.exe -s. Если я правильно понял то, что написано в статье, никто теперь не сможет подменить мой MAC? Разъясните, пожалуйста, те, кто в этом шарит :) .
-----
Блин. Закрываю порты, через некоторое время пакеты UDP начинают проходить в комп по другим портам. Это можно считать явным признаком целенаправленной атаки или я ошибаюсь?
-----
Начали приходить подозрительные (для файера) пакеты уже через TCP...
-----
Странно. Из ARP-таблицы пропал мой статический MAC... Написал по новой.

paulkorotoon 18-07-2009 00:58 1171069
Минут 20-30 назад из-за сыпавшихся ко мне по TCP и UDP пакетов, помечаемых файерволлом как подозрительные, я запретил прием данных по обоим протоколам с любого порта (0-65535). Пакет приходить перестали. Сейчас отключил правило, но вопреки моим ожиданиям передача пакетов не возобновилась. Запущенные приложения, использующие Интернет, за это время не отключал, лазил по Сети по-прежнему. Компы, с которых производился, если верить файеру, spoofing, - в оффлайне. Все это укрепило меня в мысли, что проводилась целенаправленная атака. Но по причине того, что в этих делах я, максимум, любитель, сомнения насчет собственной правоты имеются. Вот последний лог Online Armor, буду очень признателен, если кто-нибудь его хоть немного проанализирует и подтвердит либо опровергнет мои опасения :) . В частности, интересно, почему файер блокирует пакеты, принимаемые System и svhost..
-----
Так, а пока я это все писал, пакеты снова полетели ко мне, опять включил правило. И один из подозрительных компов - онлайн. Не засну, блин, теперь :) , гг, будут мучить мысли, кто ж меня невзлюбил :lol: ....
Буду признателен за любые пояснения, исправления, советы :) .

Reset5 21-07-2009 14:18 1173608
Paul-SFL,
не ваша ли проблема?:
http://forum.kaspersky.com/lofiversi...hp/t40298.html

paulkorotoon 21-07-2009 14:24 1173614
Reset5, щас погляжу, спасибо за ссылку.
-----
Проглядел без особого вчитывания, вроде схоже с моей ситуацией.. Надо будет потом конкретно засесть и почитать.
Кстати, нашел пару интересных статей об ARP-spoofing - как проведении, так и защите:
одна и вторая.

K@kTuS 22-07-2009 11:25 1174458
Поставь ARP-Defender. Мне он помогал даже в сетке, в которой защита по МАС-адресам шла (все неиспользуемые IP забивались несуществующими МАСами, на левом компе постоянно висит конфликт IP-адреса)

Цитата:
Цитата Paul-SFL
Если я правильно понял то, что написано в статье, никто теперь не сможет подменить мой MAC? Разъясните, пожалуйста, те, кто в этом шарит »
Вообще, в общих чертах, ARP-подмена делается с целью перехвата траффика. Твой комп посылает пакеты в интернет через шлюз, злоумышленник проводит подмену мак-адреса шлюза, и весь твой траф идет через его комп, а там с ним можно делать всё, что угодно.
А вообще, если кто то так открыто занимается арп-спуффингом - это скорее всего пионер, дорвавшийся до снифера типа ICQ-sniff

paulkorotoon 22-07-2009 17:33 1174814
K@kTuS, пасибо, щас скачаю.. Нашел еще, кстати, программку AntiSpoof, - жестко привязывает IP к MAC и блокирует все изменения, при этом выдавая запрос на действие: разрешить или запретить изменение, - тож попробую.. Да, еще почитал щас, пишут, что это может быть вирус - "win32.spoofing", так называется, если я не ошибся (а то закрыл ту страницу уже :) ).

paulkorotoon 22-07-2009 18:00 1174842
Хм.. ARP-Defender выдает какой-то бред:
Компьютер дублирует MAC шлюза: [и написан IP шлюза - не шлюза, не знаю, но IP-адрес принадлежит нашему серверу.]
Компьютеры с одинаковыми MAC (написан мой MAC): [мой IP] и [мой IP]..
То же самое дальше, но чужие MACи и по два раза ([xxx.xx.xxx.xx] и [xxx.xx.xxx.xx]) чужие же IP... Ничего не понимаю :) . Может, может кто объяснить, что это такое :) ?


Время: 20:50.

Время: 20:50.
© OSzone.net 2001-