arp атака?

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
strom
рядовой
Сообщения: 29
Зарегистрирован: 2010-01-22 17:52:22

arp атака?

Непрочитанное сообщение strom » 2010-02-10 15:53:53

при старте системы, в момент определения подключений к провайдеру начинает сыпаться следующая строка

Код: Выделить всё

arp: 92.16.0.8 moved from 00:30:6e:21:62:8e to 00:30:f1:17:62:8e on xl0
здесь ip-адрес 92.16.0.8 это default gateway провайдера
при вызове команды dmesg -a этим заполнен весь экран.
На траффик это не влияет. Т.е. это безобразие происходит внутри моей системы.
Как избавится от этой радости?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

noerus
рядовой
Сообщения: 21
Зарегистрирован: 2010-02-17 3:34:17

Re: arp атака?

Непрочитанное сообщение noerus » 2010-02-17 5:06:12

Нюансов может быть много, но если на первый взгляд, то.

При ARP-атаке комп "злоумышленника" будет слать на твой IP-шник ARP-ответы, с периодичностью в несколько секунд. Делается это для того, чтоб твой комп не слал ARP-запрос для IP-шника шлюза.
Следовательно нужно запустить tcpdump и проверить, не приходят ли к тебе регулярно необоснованные ARP-ответы.
Защититься от такой атаки легко - нужно прописать статический MAC-адрес для шлюза. Полагаю, можно даже включить опцию NOARP для интерфейса xl0, но сам я так не пробовал.

С другой стороны у провайдера может использоваться CARP. Это такая фича, когда несколько компов имеют одинаковый IP-адрес, и если какой-то комп отключить, то другой будет продолжать работать, незаметно для пользователя. Используется для резервирования и повышения отказоустойчивости серверов, плюс для балансировки нагрузки.
Опасности не представляет. У моего провайдера этот самый CARP работает, и у меня консоль усыпана "arp: ... moved from ...".
Вот только CARP использует виртуальные MAC-адреса, например "00:00:5e:00:01:01". Но это наверное не принципиально, думаю их можно настроить любые.

strom
рядовой
Сообщения: 29
Зарегистрирован: 2010-01-22 17:52:22

Re: arp атака?

Непрочитанное сообщение strom » 2010-02-17 14:14:16

спасибо
у провайдера может использоваться CARP
так и есть CARP, провайдер подтвердил. Адреса меняются с интервалом в несколько секунд с определенной цикличностью
с mac-адресами моих плат не совпадают.

Код: Выделить всё

arp: 92.16.0.8 moved from 00:30:6e:21:62:8e to 00:30:f1:17:62:8d on xl0
arp: 92.16.0.8 moved from 00:30:6e:21:62:8d to 00:30:f1:17:62:8e on xl0
arp: 92.16.0.8 moved from 00:30:6e:21:62:8b to 00:30:f1:17:62:8a on xl0
arp: 92.16.0.8 moved from 00:30:6e:21:62:8a to 00:30:f1:17:62:8b on xl0