В последнее время в сети начали наблюдаться проблемы - изредка кто-то снифит. Но есть кое-какая непонятность - не совсем понимаю чем снифят. Вот выложен вывод `cat /var/log/messages | grep arpwatch | grep 'Sep 29 23:[45]'` - http://atlantos.at.tut.by/arpwatch.txt Строки вида Sep 29 23:44:05 gate arpwatch: bogon 0.0.0.0 0:1f:d6:10:f5:79 Sep 29 23:44:05 gate arpwatch: bogon 0.0.0.0 0:1f:d6:10:f5:79 Sep 29 23:44:05 gate arpwatch: bogon 0.0.0.0 0:1f:d6:10:f5:79 и Sep 29 23:44:08 gate arpwatch: bogon 0.0.0.0 0:1f:d6:10:f5:79 (0:4:61:5e:8e:2f) Sep 29 23:44:08 gate arpwatch: bogon 0.0.0.0 0:1f:d6:10:f5:79 (0:4:61:5e:8e:2f) Sep 29 23:44:08 gate arpwatch: bogon 0.0.0.0 0:1f:d6:10:f5:79 (0:4:61:5e:8e:2f) Как я понимаю означают что используется port stealing - но неясно откуда снифят - толи с 0:1f:d6:10:f5:79, толи с 0:4:61:5e:8e:2f. Мас 0:4:61:5e:8e:2f - адрес реальной машины, 0:1f:d6:10:f5:79 - какой-то левый. И вторая что наводит на размышление - это строки вида: Sep 29 23:44:09 gate arpwatch: changed ethernet address 192.168.2.119 0:82:1e:23:36:82 (4c:0:10:54:e6:3) Sep 29 23:44:09 gate arpwatch: flip flop 192.168.2.119 4c:0:10:54:e6:3 (0:82:1e:23:36:82) Sep 29 23:44:09 gate arpwatch: changed ethernet address 192.168.3.146 0:82:39:12:f9:9b (0:11:d8:82:56:a9) Sep 29 23:44:09 gate arpwatch: flip flop 192.168.3.146 0:11:d8:82:56:a9 (0:82:39:12:f9:9b) Sep 29 23:44:09 gate arpwatch: changed ethernet address 192.168.2.9 0:cd:dc:1b:8a:6a (0:2:72:50:1b:3e) Sep 29 23:44:09 gate arpwatch: flip flop 192.168.2.9 0:2:72:50:1b:3e (0:cd:dc:1b:8a:6a) Вроде выглядит как arp poisoning - но почему все время меняется мас для разных машин. Как я понимаю для arp poisoning должно быть (если mac атакуещего aa:bb:cc:dd:ee:ff) что-то типа (и так работает например ettercap): Sep 29 23:44:09 gate arpwatch: changed ethernet address 192.168.2.119 aa:bb:cc:dd:ee:ff (4c:0:10:54:e6:3) Sep 29 23:44:09 gate arpwatch: flip flop 192.168.2.119 4c:0:10:54:e6:3 (aa:bb:cc:dd:ee:ff) Sep 29 23:44:09 gate arpwatch: changed ethernet address 192.168.3.146 aa:bb:cc:dd:ee:ff (0:11:d8:82:56:a9) Sep 29 23:44:09 gate arpwatch: flip flop 192.168.3.146 0:11:d8:82:56:a9 (aa:bb:cc:dd:ee:ff) Sep 29 23:44:09 gate arpwatch: changed ethernet address 192.168.2.9 aa:bb:cc:dd:ee:ff (0:2:72:50:1b:3e) Sep 29 23:44:09 gate arpwatch: flip flop 192.168.2.9 0:2:72:50:1b:3e (aa:bb:cc:dd:ee:ff) И второе - мне это несколько надоело и я установил net.ipv4.conf.default.rp_filter = 1 net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.default.arp_filter = 1 net.ipv4.conf.all.arp_filter = 1 и загрузил модуль arpstar ( http://arpstar.sourceforge.net ) с параметрами coldrop=1 heal=1. Вот что он выдает в лог - http://atlantos.at.tut.by/arpstar.txt Смотрел я на этот CAIN & ABEL - но вроде как он работает не так как выше. И короче меня интересует чем снифят, как бороться, и как можно выловить (кроме как бегать и отключать поочерёдно свитчи).
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.