Подмена МАС-адрессов

[Burn_]

Последнее время участились попытки подмены МАС-адреса, в логах:

Код: Выделить всё

Dec 24 19:00:03 gw kernel: arp: 00:19:5b:6b:b5:99 attempts to modify permanent entry for 10.12.1.8 on vlan3
Dec 24 19:00:03 gw kernel: arp: 00:19:5b:6b:b5:99 attempts to modify permanent entry for 10.12.1.11 on vlan3
Dec 24 19:00:03 gw kernel: arp: 00:19:5b:6b:b5:99 attempts to modify permanent entry for 10.12.1.13 on vlan3
Dec 24 19:00:03 gw kernel: arp: 00:19:5b:6b:b5:99 attempts to modify permanent entry for 10.12.1.14 on vlan3
Dec 24 19:00:03 gw kernel: arp: 00:19:5b:6b:b5:99 attempts to modify permanent entry for 10.12.1.16 on vlan3
Dec 24 19:00:03 gw kernel: arp: 00:19:5b:6b:b5:99 attempts to modify permanent entry for 10.12.1.20 on vlan3
Dec 24 19:00:03 gw kernel: arp: 00:19:5b:6b:b5:99 attempts to modify permanent entry for 10.12.1.21 on vlan3

Собственно хотелось услышать Ваши методы борьбы с ними и меры применяемые непосредственно к пользователям т.к. в большинстве подобных атак подмену осуществяет троян, а пользователь даже незнает об этом...
Может кто научился определять троян это или сам "маленький хакер" балуется ?

Мой метод:
1. Привязка на шлюзе IP-адрессов к МАСам
2. Статические МАС-адреса на свитчах.
3. И обзвон пользователей с "прозбой" лечиться... от вирусов

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[RusBiT]

Каким методом IP адреса к MAC'у привязываешь?

[Burn_]

Каким методом IP адреса к MAC'у привязываешь?

Скриптом, по крону:

Код: Выделить всё

#!/bin/sh
arp -d -a > /dev/null
arp -f /etc/arplist

/etc/arplist :

Код: Выделить всё

10.12.1.2      00:11:22:33:44:55 only # user1
10.12.1.3      00:12:13:21:23:23 only # user2
10.12.1.4      00:12:33:23:23:23 only # user3
10.12.1.5      00:00:00:00:00:01 only
10.12.1.6      00:00:00:00:00:01 only

Или таким скриптом:

Код: Выделить всё

I=1
while [ $I -le 254 ]
do
arp -s 10.12.1.${I} 0:0:0:0:0:0
I=`expr $I + 1`
done
arp -s 10.12.1.2      00:11:22:33:44:55 only # user1
arp -s 10.12.1.3      00:12:13:21:23:23 only # user2
arp -s 10.12.1.4      00:12:33:23:23:23 only # user3

[schizoid]

а по-моему это снифер работает..

[skeletor]

Я сталкивался с таким. Это виндовый вирус NAB32\Alman. Подменяет МАСи и как итог - отваливается сегмент сети или вся сеть. Из методов борьбы посоветую по МАСу вычислять нарушителя и отрубать от сети (МАС который чаще всего встречается в подменах и есть скорее всего нарушителем). Так же есть прога AntiARP, которая сечёт такую штуку и недаёт сделать подмену. Она виндовая.
Лечиться этот вирь NOD32 с последними обновлениями.

Если будут вопросы - пиши в аську.

[Гость]

2. Статические МАС-адреса на свитчах.
Привязка на свичах MAC+Ip. + Есть бд в которой грубо говоря есть соответствие mac-ip-port-номер клиента.
ну и работа со свичами через snmp. для того чтобы проверять состояние портов и добавлять новые привязки.

[RusBiT]

На каких свичах есть привязка ip - mac?

[schizoid]

switch L2,L3

[RusBiT]

Из недорогих только D-LINK DES-3010,3500,3800,3400?

[Burn_]

Из недорогих только D-LINK DES-3010?

Если ГИГабитный порт не нужен, есть не дорогой D-LINK DES-2108.

[RusBiT]

Почитал на оф. сайте dlink'а понял что на 3010 данной ф-ции нету (IP-MAC-Port ).
http://www.dlink.ru/technical/pdf/hub_s ... inding.pdf
Остаются только 3500,3800,3400
Burn_, а в D-LINK DES-2108 вроде этой опции нету. У меня кстати есть такой коммутатор один

[Burn_]

Burn_, а в D-LINK DES-2108 вроде этой опции нету. У меня кстати есть такой коммутатор один

В нем есть привязка MAC+Port, а привязка MAC+IP делается на сервере в arp таблице.

[RusBiT]

Увы в моем случае нужна привязка mac+port+ip.
Никто не подскажет на D-LINK DES-3500 на один порт сколько можно сделать привязок mac+ip?

[dikens3]

На старенькую статейку наткнулся.
http://www.unixfaq.ru/index.pl?req=qs&id=169