URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 1338
[ Назад ]

Исходное сообщение
"как выловить 'добрых' людей?......"
Отправлено Dmitry K. , 06-Май-04 10:12

Доброго времени суток!
В логах стали появляться записи, типа:
/kernel: arp: xxx.xxx.xxx.xxx moved from ZZ:ZZ:ZZ:ZZ:ZZ to YY:YY:YY:YY:YY:YY on fxp0
/kernel: arp: xxx.xxx.xxx.xxx moved from YY:YY:YY:YY:YY:YY to ZZ:ZZ:ZZ:ZZ:ZZ on fxp0
/kernel: arp: xxx.xxx.xxx.xxx moved from ZZ:ZZ:ZZ:ZZ:ZZ to YY:YY:YY:YY:YY:YY on fxp0
Понимаю, что кто-то пытается присвоить чужой IP...
Причем МАС адреса могут быть реальные( или ОЧЕНЬ похожие на реальные),
а могут быть вида 00:00:02:00:00:00
Как вычислить злодея?! Причем хотелось бы не на подозрениях основываться, а на реальных доказательствах...
Подозреваемые есть, но чем они могут подобное творить? Впроде на их копах подозрительного нет ничего.... А может я просто просмотрел?
Киньте идею на эту тему! Зарание благодарен.
Дмитрий.

Содержание

как выловить 'добрых' людей?......,wIT, 14:00 , 06-Май-04
- как выловить 'добрых' людей?......,Media_Boy, 23:05 , 23-Авг-04

Сообщения в этом обсуждении

"как выловить 'добрых' людей?......"
Отправлено wIT , 06-Май-04 14:00

>Доброго времени суток!
>В логах стали появляться записи, типа:
>
>/kernel: arp: xxx.xxx.xxx.xxx moved from ZZ:ZZ:ZZ:ZZ:ZZ to YY:YY:YY:YY:YY:YY on fxp0
>/kernel: arp: xxx.xxx.xxx.xxx moved from YY:YY:YY:YY:YY:YY to ZZ:ZZ:ZZ:ZZ:ZZ on fxp0
>/kernel: arp: xxx.xxx.xxx.xxx moved from ZZ:ZZ:ZZ:ZZ:ZZ to YY:YY:YY:YY:YY:YY on fxp0
>
>Понимаю, что кто-то пытается присвоить чужой IP...
>Причем МАС адреса могут быть реальные( или ОЧЕНЬ похожие на реальные),
>а могут быть вида 00:00:02:00:00:00
>Как вычислить злодея?! Причем хотелось бы не на подозрениях основываться, а на
>реальных доказательствах...
>Подозреваемые есть, но чем они могут подобное творить? Впроде на их копах
>подозрительного нет ничего.... А может я просто просмотрел?
>
>Киньте идею на эту тему! Зарание благодарен.
>
>
>   Дмитрий.

Да уж , это довольно сложная ситуация. Кстати не обязательно кто то хочет присвоить IP чужой, иногда такое может происходить , если кто то запускает
снифер в коммутируемой сети и чтобы перехватывать пакеты приходится применять метод "отравления" ARP таблиц, то есть пытается замкнуть траффик
на себя.
Самый надежный способ, да можно сказать практически и единственно правильный, это "умный" свич и сделать привязку мак адреса к порту, тогда
при смене мака порт просто будет блокироваться.
wIT

"как выловить 'добрых' людей?......"
Отправлено Media_Boy , 23-Авг-04 23:05

>>Доброго времени суток!
>>В логах стали появляться записи, типа:
>>
>>/kernel: arp: xxx.xxx.xxx.xxx moved from ZZ:ZZ:ZZ:ZZ:ZZ to YY:YY:YY:YY:YY:YY on fxp0
>>/kernel: arp: xxx.xxx.xxx.xxx moved from YY:YY:YY:YY:YY:YY to ZZ:ZZ:ZZ:ZZ:ZZ on fxp0
>>/kernel: arp: xxx.xxx.xxx.xxx moved from ZZ:ZZ:ZZ:ZZ:ZZ to YY:YY:YY:YY:YY:YY on fxp0
>>
>>Понимаю, что кто-то пытается присвоить чужой IP...
>>Причем МАС адреса могут быть реальные( или ОЧЕНЬ похожие на реальные),
>>а могут быть вида 00:00:02:00:00:00
>>Как вычислить злодея?! Причем хотелось бы не на подозрениях основываться, а на
>>реальных доказательствах...
>>Подозреваемые есть, но чем они могут подобное творить? Впроде на их копах
Ну например такое злодеяние мона сделать вот чем: http://fantomip.chat.ru/
А мона просто поменять ручками мак адрес. Для этого у зложея открой своййства сетевой карты: пуск > подключения > отобразить все подключения > выберите свойства подключения > под сетевым интерфейсом нажать настроить... > дополнительно > сетевой адрес (может отличаться по названию). И там вводите значение. Значение = любому маку!!!