ARP spoofing?

Anaxion · Непрочитанное сообщение **Anaxion** » 2009-11-06 13:50:31

Не так давно обнаружил на шлюзе

proxy# uname -a
FreeBSD proxy.localdomain 7.2-RELEASE FreeBSD 7.2-RELEASE #0: Wed Jun 24 18:20:22 MSD 2009     admin@proxy.localdomain:/usr/src/sys/i386/compile/PROXY2KERNEL  i386

На внутреннем интерфейсе отлавливаются

Код: Выделить всё

proxy# arpwatch
Nov  6 13:45:00 proxy arpwatch: bogon 192.168.3.2 0:e:c:3e:81:39
Nov  6 13:45:01 proxy arpwatch: bogon 192.168.30.32 0:e:c:3e:2d:8a

Локалка 192.168.0.0/24, откуда могли взяться 192.168.3.2 и 192.168.30.32? Мак-адреса реальны, но на 192.168.0.2 и 192.168.0.21. Есть возможность отследить, откуда берутся "левые" ip?

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

opt1k · Непрочитанное сообщение **opt1k** » 2009-11-06 14:00:01

что бы узнать откуда берутся левые адреса нужно что бы у вас были умные свичи к которым у вас есть доступ.

Anaxion · Непрочитанное сообщение **Anaxion** » 2009-11-06 14:01:12

Есть, Cisco 2960

opt1k · Непрочитанное сообщение **opt1k** » 2009-11-06 15:54:53

вот и посмотри на каких портах эти маки бывают. А дальше по кабелю дойдёшь до адресата

Anaxion · Непрочитанное сообщение **Anaxion** » 2009-11-06 15:59:34

На 10м и 11м портах. В них включены рабочие серваки, как раз 192.168.0.2 и 192.168.0.21.

Код: Выделить всё

switch#debug arp
IP ARP: rcvd req src 192.168.3.2 000e.0c3e.81d5, dst 192.168.3.2 Vlan1
IP ARP: rcvd req src 192.168.30.32 000e.0c3e.bd79, dst 192.168.30.32 Vlan1

Больше нигде эти маки не светятся.

opt1k · Непрочитанное сообщение **opt1k** » 2009-11-06 16:44:12

ты админ, тебе виднее как такое может быть. Может где то коммутатор стоит и кто то очень аккуратно получает всё что ему нужно...

Anaxion · Непрочитанное сообщение **Anaxion** » 2009-11-06 17:19:41

Физическое подключение? Все шнурки в свиче пронумерованы и задокументированы, маловероятно. Все равно спасибо за попытки помочь, видимо мало пока инфы собрал

Anaxion · Непрочитанное сообщение **Anaxion** » 2009-11-12 11:37:47

Ложная тревога. На обоих серваках интеловая мать SE7525GP2, и это ее фича - возможность управлять серваком при выключенной ОС. Рассылаемые пакеты - Gratuitous ARP, для проверки конфликта адресов в сети.

forum.lissyara.su

ARP spoofing?

ARP spoofing?

Услуги хостинговой компании Host-Food.ru

Re: ARP spoofing?

Re: ARP spoofing?

Re: ARP spoofing?

Re: ARP spoofing?

Re: ARP spoofing?

Re: ARP spoofing?

Re: ARP spoofing?