форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"как выловить 'добрых' людей?......"
Сообщение от Dmitry K. on 06-Май-04, 10:12  (MSK)
Доброго времени суток! В логах стали появляться записи, типа: /kernel: arp: xxx.xxx.xxx.xxx moved from ZZ:ZZ:ZZ:ZZ:ZZ to YY:YY:YY:YY:YY:YY on fxp0 /kernel: arp: xxx.xxx.xxx.xxx moved from YY:YY:YY:YY:YY:YY to ZZ:ZZ:ZZ:ZZ:ZZ on fxp0 /kernel: arp: xxx.xxx.xxx.xxx moved from ZZ:ZZ:ZZ:ZZ:ZZ to YY:YY:YY:YY:YY:YY on fxp0 Понимаю, что кто-то пытается присвоить чужой IP... Причем МАС адреса могут быть реальные( или ОЧЕНЬ похожие на реальные), а могут быть вида 00:00:02:00:00:00 Как вычислить злодея?! Причем хотелось бы не на подозрениях основываться, а на реальных доказательствах... Подозреваемые есть, но чем они могут подобное творить? Впроде на их копах подозрительного нет ничего.... А может я просто просмотрел? Киньте идею на эту тему! Зарание благодарен.                           Дмитрий.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "как выловить 'добрых' людей?......"
Сообщение от wIT on 06-Май-04, 14:00  (MSK)
>Доброго времени суток! >В логах стали появляться записи, типа: > >/kernel: arp: xxx.xxx.xxx.xxx moved from ZZ:ZZ:ZZ:ZZ:ZZ to YY:YY:YY:YY:YY:YY on fxp0 >/kernel: arp: xxx.xxx.xxx.xxx moved from YY:YY:YY:YY:YY:YY to ZZ:ZZ:ZZ:ZZ:ZZ on fxp0 >/kernel: arp: xxx.xxx.xxx.xxx moved from ZZ:ZZ:ZZ:ZZ:ZZ to YY:YY:YY:YY:YY:YY on fxp0 > >Понимаю, что кто-то пытается присвоить чужой IP... >Причем МАС адреса могут быть реальные( или ОЧЕНЬ похожие на реальные), >а могут быть вида 00:00:02:00:00:00 >Как вычислить злодея?! Причем хотелось бы не на подозрениях основываться, а на >реальных доказательствах... >Подозреваемые есть, но чем они могут подобное творить? Впроде на их копах >подозрительного нет ничего.... А может я просто просмотрел? > >Киньте идею на эту тему! Зарание благодарен. >             >           >   Дмитрий. Да уж , это довольно сложная ситуация. Кстати не обязательно кто то хочет присвоить IP чужой, иногда такое может происходить , если кто то запускает снифер в коммутируемой сети и чтобы перехватывать пакеты приходится применять метод "отравления" ARP таблиц, то есть пытается замкнуть траффик на себя. Самый надежный способ, да можно сказать практически и единственно правильный, это "умный" свич и сделать привязку мак адреса к порту, тогда при смене мака порт просто будет блокироваться. wIT
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "как выловить 'добрых' людей?......"
	Сообщение от Media_Boy on 23-Авг-04, 23:05  (MSK)
	>>Доброго времени суток! >>В логах стали появляться записи, типа: >> >>/kernel: arp: xxx.xxx.xxx.xxx moved from ZZ:ZZ:ZZ:ZZ:ZZ to YY:YY:YY:YY:YY:YY on fxp0 >>/kernel: arp: xxx.xxx.xxx.xxx moved from YY:YY:YY:YY:YY:YY to ZZ:ZZ:ZZ:ZZ:ZZ on fxp0 >>/kernel: arp: xxx.xxx.xxx.xxx moved from ZZ:ZZ:ZZ:ZZ:ZZ to YY:YY:YY:YY:YY:YY on fxp0 >> >>Понимаю, что кто-то пытается присвоить чужой IP... >>Причем МАС адреса могут быть реальные( или ОЧЕНЬ похожие на реальные), >>а могут быть вида 00:00:02:00:00:00 >>Как вычислить злодея?! Причем хотелось бы не на подозрениях основываться, а на >>реальных доказательствах... >>Подозреваемые есть, но чем они могут подобное творить? Впроде на их копах Ну например такое злодеяние мона сделать вот чем: http://fantomip.chat.ru/ А мона просто поменять ручками мак адрес. Для этого у зложея открой своййства сетевой карты: пуск > подключения > отобразить все подключения > выберите свойства подключения > под сетевым интерфейсом нажать настроить... > дополнительно > сетевой адрес (может отличаться по названию). И там вводите значение. Значение = любому маку!!!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.