Linux-Bulgaria.ORG

навигация

начало

пощенски списък

архив на групата

По Дата

Re: lug-bg: ip spoofing?!

Subject: Re: lug-bg: ip spoofing?!
From: Peter Pentchev <roam@xxxxxxxxxxx>
Date: Thu, 25 Nov 2004 14:08:31 +0200

On Thu, Nov 25, 2004 at 01:54:01PM +0200, Vesselin Kolev wrote:
> Peter Pentchev wrote:
> 
> >
> >Това ми звучи като различен проблем, но все пак - traceroute не е
> >най-добрият инструмент за откриване на man-in-the-middle атаки в
> >Ethernet (а всъщност и в почти която и да е друга) среда.  Погледни ARP
> >cache-а на машините, които "минават" през другия IP адрес, и виж дали
> >това, което те си мислят, че е MAC адрес на рутера (или по-точно на
> >техния default gateway), е вярно - дали наистина това е MAC адресът на
> >рутера.  Можеш да видиш ARP кеша с команда 'arp -a -n' или нещо много
> >подобно, разликите между операционните системи са съвсем малки, и самата
> >arp(1) ще си каже :)
> >
> >А в този ред на мисли, като си говорим за MAC адрес на default
> >gateway... всъщност сигурно ли е, че тези машини наистина имат рутера за
> >свой default gateway?  Правилен ли е резултатът от 'route print' (под
> >Windows) или 'netstat -rn' (под кажи-речи всички други операционни
> >системи)?
> 
> Може да има съвсем друга схема на атака с ip spoofing над Windows машини 
> в една локална мрежа. Никой не е казал, че измамата може да се намери по 
> проверка на MAC адреса на default gateway. Достатъчно е Windows клиента 
> да има активиран RIP listener и някой тарикат да пусне един RIP демон и 
> да подава анонси.
[snip остатъка от превъзходното обяснение]

Мдаааа.. сега на теория бих могъл да се измъкна и да кажа, че, разбира
се, това ми е било много добре известно и е покрито от въпроса ми дали
изходът на 'route print' е *правилен*, и че под "правилен" съвсем не съм
имал предвид само default gateway, ами и всичко останало... но, разбира
се, това няма да е вярно :)  Изобщо не бях се сетил за анонси на
мрежички и подмрежички, а наистина е възможно...

Само че.. това няма ли също да се види с 'route print' или съответно
'netstat -rn'? :)

> Разбира се, не твърдя, че точно това е наблюдаваното явление. Но е една 
> възможна причина.

Мда, май това беше идеята на първоначалния въпрос - човекът има проблем
и търси идеи за това на какво може да се дължи.

Поздрави,
Петър

-- 
Peter Pentchev	roam@xxxxxxxxxxx    roam@xxxxxxxx    roam@xxxxxxxxxxx
PGP key:	http://people.FreeBSD.org/~roam/roam.key.asc
Key fingerprint	FDBA FD79 C26F 3C51 C95E  DF9E ED18 B68D 1619 4553
This sentence is false.

Attachment: pgpmunHfqwava.pgp
Description: PGP signature

Във връзка с:
- Re: lug-bg: ip spoofing?!
  - Изпратено от: slv69@xxxxxxx
- Re: lug-bg: ip spoofing?!
  - Изпратено от: Vesselin Kolev <vlk@xxxxxxxxxxxxxxxxx>

Относно:
- lug-bg: RAID experience
  - Изпратено от: Andrei Boyanov <andrei.boyanov@xxxxxxxxxxxxxxxxxx>
- Re: lug-bg: RAID experience
  - Изпратено от: Vasil Kolev <vasil@xxxxxxxxxx>
- Re: lug-bg: RAID experience
  - Изпратено от: Andrei Boyanov <andrei.boyanov@xxxxxxxxxxxxxxxxxx>
- lug-bg: ip spoofing?!
  - Изпратено от: slv69@xxxxxxx
- Re: lug-bg: ip spoofing?!
  - Изпратено от: Peter Pentchev <roam@xxxxxxxxxxx>
- Re: lug-bg: ip spoofing?!
  - Изпратено от: Vesselin Kolev <vlk@xxxxxxxxxxxxxxxxx>

Предишно по дата: Re: lug-bg: ip spoofing?!
Следващо по дата: lug-bg: C/C++ Crypth library
Предишно по тема: Re: lug-bg: ip spoofing?!
Следващо по тема: Re: lug-bg: ip spoofing?!
Индекс:
- По дата
- По тема

наши приятели

линукс за българи
http://linux-bg.org

FSA-BG
http://fsa-bg.org

OpenFest
http://openfest.org

FreeBSD BG
http://bg-freebsd.org

KDE-BG
http://kde.fsa-bg.org/

Gnome-BG
http://gnome.cult.bg/

проект OpenFMI
http://openfmi.net

NetField Forum
http://netField.ludost.net/forum/

Linux-Bulgaria.ORG