Страница 1 из 1
ARP spoofing?
Добавлено: 2009-11-06 13:50:31
Anaxion
Не так давно обнаружил на шлюзе
Код: Выделить всё
proxy# uname -a
FreeBSD proxy.localdomain 7.2-RELEASE FreeBSD 7.2-RELEASE #0: Wed Jun 24 18:20:22 MSD 2009 admin@proxy.localdomain:/usr/src/sys/i386/compile/PROXY2KERNEL i386
На внутреннем интерфейсе отлавливаются
Код: Выделить всё
proxy# arpwatch
Nov 6 13:45:00 proxy arpwatch: bogon 192.168.3.2 0:e:c:3e:81:39
Nov 6 13:45:01 proxy arpwatch: bogon 192.168.30.32 0:e:c:3e:2d:8a
Локалка 192.168.0.0/24, откуда могли взяться 192.168.3.2 и 192.168.30.32? Мак-адреса реальны, но на 192.168.0.2 и 192.168.0.21. Есть возможность отследить, откуда берутся "левые" ip?
Re: ARP spoofing?
Добавлено: 2009-11-06 14:00:01
opt1k
что бы узнать откуда берутся левые адреса нужно что бы у вас были умные свичи к которым у вас есть доступ.
Re: ARP spoofing?
Добавлено: 2009-11-06 14:01:12
Anaxion
Есть, Cisco 2960
Re: ARP spoofing?
Добавлено: 2009-11-06 15:54:53
opt1k
вот и посмотри на каких портах эти маки бывают. А дальше по кабелю дойдёшь до адресата
Re: ARP spoofing?
Добавлено: 2009-11-06 15:59:34
Anaxion
На 10м и 11м портах. В них включены рабочие серваки, как раз 192.168.0.2 и 192.168.0.21.
Код: Выделить всё
switch#debug arp
IP ARP: rcvd req src 192.168.3.2 000e.0c3e.81d5, dst 192.168.3.2 Vlan1
IP ARP: rcvd req src 192.168.30.32 000e.0c3e.bd79, dst 192.168.30.32 Vlan1
Больше нигде эти маки не светятся.
Re: ARP spoofing?
Добавлено: 2009-11-06 16:44:12
opt1k
ты админ, тебе виднее как такое может быть. Может где то коммутатор стоит и кто то очень аккуратно получает всё что ему нужно...
Re: ARP spoofing?
Добавлено: 2009-11-06 17:19:41
Anaxion
Физическое подключение? Все шнурки в свиче пронумерованы и задокументированы, маловероятно. Все равно спасибо за попытки помочь, видимо мало пока инфы собрал
Re: ARP spoofing?
Добавлено: 2009-11-12 11:37:47
Anaxion
Ложная тревога. На обоих серваках интеловая мать SE7525GP2, и это ее фича - возможность управлять серваком при выключенной ОС. Рассылаемые пакеты - Gratuitous ARP, для проверки конфликта адресов в сети.