Как отследить подстановку IP с «левым» МАС?

> Как считаете, это больше похоже на вирус, или какого-то "непризнанного гения" малолетнего? Я не знаю, что с ним делать, как выловить :( Что посоветуете?

Ходить - отключать свитчи по-очереди.

А вообще попробуй поставить ettercap - там есть плагины типа find_ettercap, arp_cop - и посмотреть - может что интересное и найдёт

Это принципиальный баг ipv4. Потихоньку вычисляй от узла к узлу. Плюс пользуй управляемые свитчи. Можно попробовать динамический arp-spoofing, но, походу, в конкретном случае врядли прокатит.

>Это принципиальный баг ipv4

скорее фича ethernet-a ;)

>А вообще попробуй поставить ettercap

Спасибо, попробую. Вернее, уже пробую, но пока ничего интересного.

Можете arpwatch поставить, чтобы посмотреть когда это происходит. Я бы попробовал отключить, если возможно, сервер от сети и посмотреть что за комп это делает, nmap и т.д.

Я бы поступил так:

Пишется скрипт, который снимает таблицу ARP через определенный промежуток времени (через cron например). В нагрузку еще можно написать скрипт, который пропингует (достаточно одного ICMP пакета) все машины в локалке - это перед запуском скрипта-сборщика.

На основании этих данных можно определить, какому IP соответствует какой MAC адрес (надеюсь там не DHCP).

Анализировать данные следующим образом: 99% времени связка MAC-IP у всех компьютеров будет нормальна (1% отводим под ложный MAC), а у одного - с точностью до наоборот. Далее собираем MAC адреса у всех компьютеров и ищем подлеца.

Помудохаться прийдется... Собрать MAC со всех компов... Хотя, если все компы можно как-то идентифицировать - например по NETBIOS или DNS имени - то все проще.

Кста, если IP подменяется на длительный период и это можно поймать, то запроси у этого IP имя хоста - тогда без всяких скриптов ивыкупить сможешь ;)

Удачи

Всем спасибо, буду искать.

А чё сопсно этот подменщик делает ?

Я у себя в сетке таких приколистоФ поборол следующим путем: приходит пакет на сервер, проверяю:

iptables -A INPUT -s 192.168.0.22 -m mac --mac-source 00:15:F2:7A:77:CD -j ACCEPT

...а все остальные - пошли в пень.

А сервер тут вообще боком :) Меня больше интересует то, что люди пытаются соединяються с ним, вместо моего сервера. А это уже не хорошо.

>Меня больше интересует то, что люди пытаются соединяються с ним, вместо моего сервера.

В смысле...

Народ ходит в инет не через твой сервак ?

Народ обращается за интернетом к машине с определенным IP. И если этот IP ставит себе какой-то умник из локалки, то многие пытаются соединиться с ним. А это пароли у него, глюки в сети и все такое.

Где-то я встречал чуднинькую програмулину, которая позволяет фильтровать весь ethernet трафик. Работает по принципу редактирования ARP таблицы свича, перехватывая весь трафик на себя. Потом фильтруешь правилами iptables куда порулит трафик. Работает програмулина на libpcap.