Спуфинг. Методы борьбы.
 

В моей локалке появился вредитель. Каким то образом перехватывает информацию которой обмениваются другие пользователи, может подменять, что отсылает один пользователь другому своей информацией. Подскажите, как можно вычислить негодника. Как отследить такое событие, как смена IP каким-либо пользователем сети и можно ли как-то препятствовать перехвату пакетов.

Как сеть устроена? Одноранговая или доменная? Стоят свитчи или хабы? Какие операционки у клиентов сети?
Кто-то из пользователей снифает трафик и занимается IP-спуфингом (подделкой сетевого адреса). Из простейших рекомендаций по защите:
- сеть строить на свитчах
- использовать статическую таблицу ARP
- ограничивать число MAC адресов на каждом порту свитча
- использовать шифрование трафика
Чтобы вычислить вредителя можно воспользоваться специальным софтом типа Antisniff.
Но это все общие и расплывчатые формулировки. Нужны сведения о конкретной сети.

Одноранговая сеть, используются свичи, ОС преимущественно, winXP, у некоторых Win98 и Win2k, но есть и несколько чел. с Linux и FreeBSD.

Вообщем так, в простейшем случае, пропинговать все машины в сетке и засечь среднее время пинга. Потом вывалить в сетку кучу трафика и пропинговать всех еще раз. Машина пинг до которой резко вырастит и будет искомой машиной со снифером.
Проще всего воспользоваться каким-нибудь софтом типа "Антисниф"-а.
Тока, если снифер пассивный, то не поймаешь его. В общем таблицы ARP делать статическими, чтоб переполниться не могли, ну и так-далее (рекомендации в предыдущем посте :)).

Вот здесь еще почитай _http://www.i2r.ru/static/452/out_14876.shtml

Попробовал воспользоваться данными рекомендациями. Для начала скачал и попробовал в работе "Антисниф". Эта программа у меня не заработала, т.к., как только я запускаю анализатор происходит перезагрузка компютера(ОС win2k). Поэтому нашел другую прогу -- MD ARP Monitor 2.6. С помощью нее были зафиксированны следующие события:
Является ли какое-либо из перечисленных событий признаком неправомерных действий со стороны пользователя или это может быть так же особенностью работы самой сети или каких-то программ?

CEO
Смотри, я никогда не работал с этой программой, но из того, что прочел о ней, она занимается тем, что следит за соответствием пар IP-MAC. Если эта программа не глючит, то вышеприведенный лог говорит о том, что в сети занимаются спуфингом.

Можно ли судить по логам данной программы (если допустить что она не глючит) что спуфингом занимается именно пользователь, имеющий IP: 10.0.0.14?

ИМХО, да. Если у тебя есть возможность незаметно воткнуть простенький маршрутизатор (основаный на компе) между этим пользователем и свитчем, то ты сможешь выяснить это со 100% гарантией. Или, если свитч хороший, то проверяй его ARP таблицу почаще.

З.Ы. Немного отредактировал название темы.

Хорошо. Пользователю 10.0.0.14 будет уделено особое внимание.
Я так понимаю, чтобы этот пользователь смог перехватить чужой трафик, он должен переписывать ARP кэш на прослушиваемых компьютерах. Можно ли на компьютерах пользователей запретить обновление ARP-таблицы и как это сделать для виндов?

Можно добавить в таблицу ARP статические соответствия IP<=>MAC. А все несуществующие адреса забить нулями. Делается так:
командой
arp -s 10.0.0.14 00-11-2F-A4-E7-33 - добавляется статическая запись соответствия в таблицу ARP для адреса 10.0.0.14
arp -s 10.0.0.127 00-00-00-00-00-00 - добавляется статическая запись с нулевым МАС-ом для несуществующего адреса 10.0.0.127
Есть одна проблема. Поменять МАС на нулевой достаточно просто и, соответственно, нехороший юзер сможет прикидываться всеми несуществующими адресами. :(

В общем, гарантированно решить подобные проблемы в сети можно при установке хороших (читай дорогих) управляемых свитчей.
Вот, тебе неплохая ссылка:
http://www.unixfaq.ru/index.pl?req=qs&id=169
Тут описывается достаточно простое решение подобной проблемы.

esli ti imeshesh vvidu lichnuyu perepisku - to prosto kriptui. DLya obshenija podoidet i Simp...

aaronet
Вопрос стоял следующим образом:
Я не совсем понимаю, как шифрование может помочь вычислить атакующего, как шифрование можт отследить такое событие, как смена IP каким-либо пользователем и как шифрование может препятствовать перехвату пакетов?
Ты, наверное, хотел сказть, что шифрование делает бессмысленным перехват трафика? Но это опять же зависит от многих условий и, кроме того, шифровать надо весь трафик в сети, а не только личную переписку, потому что кроме писем в сети ходит и много другой конфеденциальной информации, ну, например, пароли к различным ресурсам.

Подскажите как вычислить спуфера
 

В сети завелся агр спуфер как его можно вычислить?
понятно что мониторить подмену масок и так далее.

По ходу для снифинга и спуфинга нужно включать режим сетевой карты promiscuous mode, может кто знает софтину что бы вычислить у кого включен этот режим?

Вопросы такие
1 Почему решил, что кто-то завелся?
2 Какое сетевое оборудование?
3 Какая вообще сеть (локалка в офисе, в доме или еще что-то)?

Zak
Поиск на форуме очень помогает.
Перенес и объединил.

сорри очень спешил.

Всё спасибо я нашел promiscan 3.0.9.1 сканит сетевые карты в сети на предмет установленного режима promiscuous mode.

Как боролись, установили на магистралях управляемые свичи, перевели все сервера на статические маки ну и кое какие мониторинги ввели в действие на будущее.

Хорошая тема, с интересом прочитал, много полезного.
Теперь у меня возник вопрос: при использовании метода статических ARP (а это самый дешевый и часто единственный в самопальных сетях) мы забиваем отсутсвующие адреса нулевыми маками. При этом злоумышленник может поставить себе нулевой мак и сменить ип. А если мы забъем отсутствующие адреса не нулевыми, а случайными маками, при этом разными на всех машинах?
Далее, прав ли я, когда думаю, что DHCP использовать можно и нужно, но только надо добавлять жесткую привязку на ип по маку (static lease).

В принципе можно. И это, действительно, затруднит злоумышленнику жизнь, но также это затруднит жизнь и админу. В больших сетях будет тяжеловато...
Опять же, в сетях класса С такое организовать достаточно просто и удобно. А если мы админим сеть В или А?

Да это понятно, только в сеть B - это уже не самопальная сеть в доме, а серьезная запроектированная система, с активным оборудованием, там и проблемы другие.
Общий вывод - домашнюю сеть надо подрубать к инету через рутер с авторизацией клиента (например в керио через керио клиента), это отсечет попытки воровства инета. Дополнительно теперь буду ставить статические ARP, чтоб исключить спуфинг локального траффика. Также мониторинг попыток подмены мака и включения режима promiscuous.
Дальнейших шагов по увеличнию безопасности, кроме установки активного оборудования, не вижу. Может кто еще чего подскажет?

А почему все забыли про метод просмотра маршрута до компов?
ping -r 9 192.168.0.1 - покажет маршрут до этого адреса от вашего компа (в винде). Легко вычислишь кто там "человек посередине". Если, конечно, тот, кто снифает, не изменил на этот случай своё ПО, чтобы оно там свой IP в маршруты не увставляло - это умеют некоторые снифферы. Правда, неплохо бы знать устройство сети: не всегда же пакеты идут напрямую на нужный комп, особенно если он не в вашей сети. Вдруг увидишь в маршрутах сервак и будешь потом угрожать юзеру с этим IP ;)
Да, ещё же можно программно изменять MAC и IP (не говоря уж о свойствах сетевухи). Так что это может сильно помешать вычислению конкретного компа.

Насчёт статических записей: в WinXP и выше ещё нормально, а всё что ниже - статическая запись переписывается динамической.

Да и не самый лучший выход из положения это: как только новый комп в сети или у кого-то адаптер сменился - придётся модифицировать таблицу ARP. Да и после отключения от сети ARP очищается, так что придётся создвать скрипт для внесения в ARP-таблицу записей при загрузке. Но всё равно этот скрипт придётся запускать ручками если машинка не перезагружалась, а просто шнур выдернули и обратно вставили.
Лучший выход - роутеры настраиваемые.

Вовсе нет: она лишь говорит, что у одного IP несколько MAC. А это не обязательно говорит о сниффере: может говорить и о сущесчтвовании маршрутизатора :) Или у одного компа несколько IP.

Для Линуха есть патч предотвращающий arp-poisoning: http://www.securitylab.ru/analytics/216229.php

Кстати, неплохо было бы разобраться какое именно травление происходит. Если перехватчик отравил всего 1-2 компа (при чём в их число не входит сервер, через кот. ходят пакеты) то обнаружить теми методами что мы писали проблематично :)

Отбирают ip.
 

Такая проблема. Некто отбирает у меня в локалке ip. Каким образом он это делает не понятно. Но винда перестает давать после этого доступ в сеть. Захожу в FreeBSD, вижу сообщения, что "arp xx-xx-xx... использует ваш ip xxx.xx.xx.xx" Но в сеть выйти могу.
В общем такие 2 вопроса:

1. Как скинуть урода с моего адреса (ведь он как-то это делает)
2. Уверен, что обычно он сидит под другим ip, родным. Поэтому хочется отловить его. Вопрос такой, как просканить сеть с записью mac адресов? Ну например просканил сеть, глянул в лог и увидел нужный мне arp (ведь arp атакующего я знаю).

Или тольок вариант обычного скана, а потом спотреть arp-таблицу системы?

Адреса статические?

Для определения:
cd /usr/ports/security/nmap
make install clean
man nmap

Как вычислить кто сидит под моим Maс и IP ?
 

Здравствуйте.

У меня интернет соединение, которое идет по выделенному IP в сети и по привязке к моему мак адресу. Проблема в том что некий чел , сидит под моим IP прописав мой мак адрес (это видно из логов моего провайдера)
изза этого я не могу пользоваться интернетом. Админ менял несколько раз мне IP , но это помогало не на долго. Вот может кто знает как вычислить этого перца , как возможно по сетке просканить мак адрес и как от этого защититься ?

Спасибо.

этим должен провайдер заниматься ИМХО. обеспечение безопасности подключения его прямая обязанность.