Re: lug-bg: ip spoofing?!
- Subject: Re: lug-bg: ip spoofing?!
- From: Peter Pentchev <roam@xxxxxxxxxxx>
- Date: Thu, 25 Nov 2004 13:29:54 +0200
On Thu, Nov 25, 2004 at 01:15:35PM +0200, slv69@xxxxxxx wrote:
>
> Здравейте!
>
> Имам много странен проблем, и никакви идеи за причините.
>
> И така. Една линукс машина е прокси и рутер който прави nat.
> С две карти е, едната е с реален другата с частен адрес, на
> същия суич има и една също линукс машина която е mail
> сервер, но е само с реален адрес. Т.е. хостовете от
> локалната мрежа го достъпват след като се nat-нат от
> първата. И това работи перфектно от доста време.
>
> В един момент някои от хостовете в локалната мрежа
> започнаха да се оплакват че не могат да пращат поща -
> relaing denied. Което е абсурд... Но установих причината!
> Конекцията към mail-сервера не е с ip-то, на рутера, а с
> някакво съвсем друг, което изобщо не е описано разбира се в
> разрешените хостове. Такааа... Пуснах traceroute, съвсем
> коректно си мина през рутера и стигна до mail-сървъра.
Това ми звучи като различен проблем, но все пак - traceroute не е
най-добрият инструмент за откриване на man-in-the-middle атаки в
Ethernet (а всъщност и в почти която и да е друга) среда. Погледни ARP
cache-а на машините, които "минават" през другия IP адрес, и виж дали
това, което те си мислят, че е MAC адрес на рутера (или по-точно на
техния default gateway), е вярно - дали наистина това е MAC адресът на
рутера. Можеш да видиш ARP кеша с команда 'arp -a -n' или нещо много
подобно, разликите между операционните системи са съвсем малки, и самата
arp(1) ще си каже :)
А в този ред на мисли, като си говорим за MAC адрес на default
gateway... всъщност сигурно ли е, че тези машини наистина имат рутера за
свой default gateway? Правилен ли е резултатът от 'route print' (под
Windows) или 'netstat -rn' (под кажи-речи всички други операционни
системи)?
Поздрави,
Петър
--
Peter Pentchev roam@xxxxxxxxxxx roam@xxxxxxxx roam@xxxxxxxxxxx
PGP key: http://people.FreeBSD.org/~roam/roam.key.asc
Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553
This would easier understand fewer had omitted.
Attachment:
pgpqc9W1oXjZu.pgp
Description: PGP signature
|