LINUX.ORG.RU

Статическая ARP таблица


0

0

Возникла необходимость в сабже. После того как я сделал запись в таблице

arp -s 192.168.14.1 00:00:00:00:00:00 (вместо нулей - мак-адрес сетевухи прова)

всё вроде заработало, но после выключения - включения компа, судя по всему, таблица маршрутизации снова стала динамической. Что сделать, чтоб сделать жёсткую привязку ip/mac которую можно было бы изменить только вручную, а не динамически? Чтоб при обновлении кэша ARP эта запись не менялась?

И ещё, если кто знает, можно ли штатными средствами, вроде iptables запретить обработку ICMP Echo-запросов, направленных на широковещательный адрес, обработку ICMP-сообщений Redirect, Address Mask Reply, Router Advertisement, Source Quench. А то я в какой-то старой доке читал, что для этого раньше ядро перекомпилировать вроде надо было... сейчас должно быть, по-идее, это можно сделать попроще?

★★★

сделай скрипт(и запускай его вместе с загрузкой) чтобы восстанавливать таблицу arp iptables в правилах нужно указать протокол что то типо -p icmp -target DROP, точно не помню, но то что это не сложнее закрыть 80 порт это точно, дочитай до конца man iptables

kavich
()
Ответ на: комментарий от kavich

>сделай скрипт(и запускай его вместе с загрузкой) чтобы восстанавливать таблицу arp iptables в правилах нужно указать протокол что то типо -p icmp -target DROP, точно не помню, но то что это не сложнее закрыть 80 порт это точно, дочитай до конца man iptables

Т.е. после каждой перезагрузки таблица ARP таки обновляет записи динамически? Т.е. нужно написать скрипт загрузки статической ARP таблицы, и добавить его в стартовые скрипты, чтоб каждый раз грузилось при старте системы, как и пользовательские цепочки iptables, и т.п.? Я правильно понял?

bsh ★★★
() автор топика
Ответ на: комментарий от kavich

Надеюсь ты прав, а то после чтения на http://www.linux.org.ru/jump-message.jsp?msgid=27961 меня берут сомнения насчёт обновления таблицы - такие противоречивые сведения... там ещё советовали опцию Reverse ARP в ядре включить, чтобы таблица не обновлялась, кое-кто даже утверждает, что надёжной защиты от арп-спуфинга вообще нет... (а я как раз сейчас выступаю в роли пострадавшего от этого самого спуфинга).

bsh ★★★
() автор топика
Ответ на: комментарий от kavich

Добавил в /etc/rc.d/rc.local.local строку arp -s -f /etc/ethers, а в /etc/ethers вписал IP/MAC шлюза провайдера. После перезагрузки arp eth0 показывает статическую привязку айпи/мак шлюза с флагами С,М. то есть, вроде всё заработало.

Кстати, может в etc/ethers прописать ещё и свой айпи/мак? DHCP в этой локалке не используется, айпи статический, просто вопрос в том, даст ли это что-то в плане безопасности?

Есть ли смысл воспользоваться какой-нибудь прогой, которая находит в сети сетевые интерфейсы, работающие в "неразборчивом режиме"? Что-бы выявить хацкера, пробавляющегося спуфингом. Периодически проверять сеть, и фиксировать адреса, вдруг он воспользуется настоящим айпи/маком для сниффинга?

bsh ★★★
() автор топика
Ответ на: комментарий от kavich

Винды у меня нет... а под линукс есть какая-то свободная прога, выкупающая снифферы в локалке? Типа бесплатного аналога antisniff?

bsh ★★★
() автор топика
Ответ на: комментарий от bsh

Re:

>Добавил в /etc/rc.d/rc.local.local строку arp -s -f /etc/ethers, а в /etc/ethers вписал IP/MAC шлюза провайдера. После перезагрузки arp eth0 показывает статическую привязку айпи/мак шлюза с флагами С,М. то есть, вроде всё заработало.

Вот именно "вроде". А сегодня, когда я ушёл на работу, и моим компом пользовался другой человек, он говорит, снова идёт левый трафик... попросил сделать под рутом arp eth0, и вместо обычного 192.168.14.1 00:00:00:00:00:00 С,М eth0 вывод был таким: eth0: Host name loоkup failure. Вот такая хрень... что сделать?

bsh ★★★
() автор топика
Ответ на: комментарий от kavich

Re:

Iptables пропускает icmp с айпи шлюза, так как иначе шлюз делает логаут каждую минуту. Кстати, попросил перезагрузить комп и попробовать снова arp eth0 вывод на дисплей: unknown host. Что за фигня? Уже не знаю, что делать...

bsh ★★★
() автор топика
Ответ на: Re: от bsh

может не всё так страшно? если arp -n ? dns hostname

пакеты ходят туда куда надо? или маршрутизатор всё таки имеет название для 192.168....

больше нет идей

kavich
()
Ответ на: комментарий от kavich

Re:

Да нет, локальный ДНС имеется и обычный ДНС у прова тоже есть... раньше (вчера) arp eth0 нормально показывал днс шлюза без -n ... Я конечно когда попаду домой ,буду пробовать разные варианты...

bsh ★★★
() автор топика
Ответ на: комментарий от kavich

Прикол! Надо было arp -i eth0 тогда всё нормально, или просто arp без всяких опций. Так что при старте компа в ARP таблицу статически прописывается айпи/мак и всё ОК, кроме одного - кто-то по-прежнему пользуется моими соединениями, создаёт свои, а я за всё по прежнему плачу свои деньги... А меня уверяли, что статическая АРП таблица этому помешает, при чём уверяли не только на ЛОРе, но и в доках по сетям (и на других форумах).

Есть ли мысли по поводу, что делать, когда статическая АРП таблица настроена, но спуфинг продолжается?

bsh ★★★
() автор топика
Ответ на: комментарий от bsh

может тебе кажется??? :))) потмоу что если пингануть(ftp http или вообще любое соединение) машину, то в arp пропишется его ай-пи и мак... может не всё так плохо???

kavich
()

Здравствуй дарагой, попробуй ifconfig eth0 -arp

ARP спуфинг не лечится ничем, возможно только вышеуказанной опцией - запрещает работать сетевому интерфейсу с ARP.

tcpdump'ом смортим за ARP на своей тачке tcpdump arp and host твой_ip или за сетью tcpdump arp and net какая_у_вас_там_сеть

icmp протокол может быть вообще не причём, смотрим на ARP-пакеты и ищем врага и по голове его.....

Самый опасный враг - внутренний враг! И.В. Сталин

dlomin
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.