Борьба с АРП спуфингом

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
blackjackchik
мл. сержант
Сообщения: 90
Зарегистрирован: 2008-06-13 12:56:54

Борьба с АРП спуфингом

Непрочитанное сообщение blackjackchik » 2008-09-19 19:41:43

Всем привет.
У меня пробле встала в следующем.
Записал я в файл соответствия на роутере маки и айпихи всех клиентов сети.
После этого сделал вот так

Код: Выделить всё

arp -f /etc/static_mac.conf
И после этого сначала все нормально в лог пишется что есть попытки изменить статическую запись в арп-кеше. Вот так

Код: Выделить всё

Sep 19 19:31:46 router kernel: arp: 00:0f:ea:3b:34:91 attempts to modify permanent entry for 172.16.24.136 on vlan11
Sep 19 19:31:46 router kernel: arp: 00:0f:ea:3b:34:91 attempts to modify permanent entry for 172.16.24.137 on vlan11
Sep 19 19:31:46 router kernel: arp: 00:0f:ea:3b:34:91 attempts to modify permanent entry for 172.16.24.138 on vlan11
Sep 19 19:31:46 router kernel: arp: 00:0f:ea:3b:34:91 attempts to modify permanent entry for 172.16.24.142 on vlan11
Sep 19 19:31:46 router kernel: arp: 00:0f:ea:3b:34:91 attempts to modify permanent entry for 172.16.24.144 on vlan11
Sep 19 19:31:46 router kernel: arp: 00:0f:ea:3b:34:91 attempts to modify permanent entry for 172.16.24.146 on vlan11
Но спустя некоторое время все записи снова стают динамическими и в лог опять начинает валить вот это

Код: Выделить всё

Sep 19 19:37:29 router kernel: arp: 172.16.24.155 moved from 00:0f:ea:3b:34:91 to 00:0f:ea:f6:c3:de on vlan11
Sep 19 19:37:29 router kernel: arp: 172.16.24.183 moved from 00:0f:ea:3b:34:91 to 00:11:5b:7a:85:c5 on vlan11
Sep 19 19:37:29 router kernel: arp: 172.16.24.192 moved from 00:0f:ea:3b:34:91 to 00:02:2a:e1:e8:bf on vlan11
Sep 19 19:37:29 router kernel: arp: 172.16.24.218 moved from 00:0f:ea:3b:34:91 to 00:19:e0:13:cb:ee on vlan11
Sep 19 19:37:29 router kernel: arp: 172.16.24.220 moved from 00:0f:ea:3b:34:91 to 00:14:2a:84:be:94 on vlan11
Sep 19 19:37:29 router kernel: arp: 172.16.24.231 moved from 00:0f:ea:3b:34:91 to 00:0f:ea:c1:7e:41 on vlan11
Вследствие чего записи меняются со статических на динамические ведь приоритет статических записей выше?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Борьба с АРП спуфингом

Непрочитанное сообщение zingel » 2008-09-19 19:42:47

потому, что мак дублируется, найти того злодея и надавать лещей, на роутере прописать static arp (должен уметь) + bpdu_guard (если он умеет)
Z301171463546 - можно пожертвовать мне денег

blackjackchik
мл. сержант
Сообщения: 90
Зарегистрирован: 2008-06-13 12:56:54

Re: Борьба с АРП спуфингом

Непрочитанное сообщение blackjackchik » 2008-09-19 19:47:45

злодеем может быть и вирус.
Что значит "static arp (должен уметь)"? freebsd 7

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Борьба с АРП спуфингом

Непрочитанное сообщение zingel » 2008-09-19 20:11:46

что за роутер?

p.s. фря тут не при чём, кто-то выходит в инет под гнилым маком, который при обновлении арпкеша на роутере начинает пинать фряху
Z301171463546 - можно пожертвовать мне денег

blackjackchik
мл. сержант
Сообщения: 90
Зарегистрирован: 2008-06-13 12:56:54

Re: Борьба с АРП спуфингом

Непрочитанное сообщение blackjackchik » 2008-09-19 20:49:24

ну понятно. Но вот как сделать чтоб фря не обновляля статические записи?

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Борьба с АРП спуфингом

Непрочитанное сообщение zingel » 2008-09-19 21:05:54

Код: Выделить всё

net.link.ether.inet.log_arp_permanent_modify
net.link.ether.inet.log_arp_movements
net.link.ether.inet.log_arp_wrong_iface
в 0 выставить, а ещё лучше поднять arpd
Z301171463546 - можно пожертвовать мне денег

blackjackchik
мл. сержант
Сообщения: 90
Зарегистрирован: 2008-06-13 12:56:54

Re: Борьба с АРП спуфингом

Непрочитанное сообщение blackjackchik » 2008-09-20 11:39:47

насколько я понимаю, это поотключает логи при соотвестыующих событиях и не устранит проблеми.
Так как же всетаки отключить возможность обновления статической арп записи?

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Борьба с АРП спуфингом

Непрочитанное сообщение zingel » 2008-09-20 11:47:54

В /etc/rc.conf

Код: Выделить всё

atm_arps="список"
если будет обновляться само - писать в PR
Z301171463546 - можно пожертвовать мне денег

blackjackchik
мл. сержант
Сообщения: 90
Зарегистрирован: 2008-06-13 12:56:54

Re: Борьба с АРП спуфингом

Непрочитанное сообщение blackjackchik » 2008-11-06 9:39:29

up

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Борьба с АРП спуфингом

Непрочитанное сообщение zingel » 2008-11-06 9:49:30

чего up?
Z301171463546 - можно пожертвовать мне денег

blackjackchik
мл. сержант
Сообщения: 90
Зарегистрирован: 2008-06-13 12:56:54

Re: Борьба с АРП спуфингом

Непрочитанное сообщение blackjackchik » 2008-11-06 10:03:06

http://www.opennet.ru/openforum/vsluhfo ... 82574.html
Поднял вот еще здесь тему.