Re: lug-bg: ip spoofing?!

[Vesselin Kolev <vlk@xxxxxxxxxxxxxxxxx>]

Peter Pentchev wrote:

> Това ми звучи като различен проблем, но все пак - traceroute не е
> най-добрият инструмент за откриване на man-in-the-middle атаки в
> Ethernet (а всъщност и в почти която и да е друга) среда.  Погледни ARP
> cache-а на машините, които "минават" през другия IP адрес, и виж дали
> това, което те си мислят, че е MAC адрес на рутера (или по-точно на
> техния default gateway), е вярно - дали наистина това е MAC адресът на
> рутера.  Можеш да видиш ARP кеша с команда 'arp -a -n' или нещо много
> подобно, разликите между операционните системи са съвсем малки, и самата
> arp(1) ще си каже :)
>
> А в този ред на мисли, като си говорим за MAC адрес на default
> gateway... всъщност сигурно ли е, че тези машини наистина имат рутера за
> свой default gateway?  Правилен ли е резултатът от 'route print' (под
> Windows) или 'netstat -rn' (под кажи-речи всички други операционни
> системи)?
>
>  
Може да има съвсем друга схема на атака с ip spoofing над Windows машини 
в една локална мрежа. Никой не е казал, че измамата може да се намери по 
проверка на MAC адреса на default gateway. Достатъчно е Windows клиента 
да има активиран RIP listener и някой тарикат да пусне един RIP демон и 
да подава анонси. RIP listener-а на Windows няма филтри, няма 
удостоверяване на анонси. Атакуващият хост може доста трудно да бъде 
намерен. Първо защото той може да излъчва само на 3 минути по един 
мултикаст анонс и после да е в състояния на мълчание (времето по 
подразбиране за живот на анонсите в RIP е 3 минути; после има едни 2 
минути време за пазене в кеша, но с metric=16 и след това изтриване).
Освен това на атакуващия не му е нужно да "надскача" или променя default 
gateway. Той може да анонсира целия Интернет на парчета (или само 
отделна мрежа, транспорта към коятно е нужно да бъде подмамен). Така 
анонсите ще се по-точни и винаги ще надскачат default gateway (причината 
е, че дължината на маската на анонсите е по-голяма от тази на default). 
Такива измами са перфектни:) и хубавото е, че могат да са епизодични и 
много трудно могат да бъдат хванати. Така могат да бъдат мамени и 
Linux/UNIX машини (стига администраторите им да не са се погрижили за 
филтриране на анонси и удостоверяване на излъчвателите).
Разбира се, не твърдя, че точно това е наблюдаваното явление. Но е една 
възможна причина.
  Поздрави
     Весо


============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================