Электростальский форум

Hi-Tech => Интернет и сети => Тема начата: mga от 04.02.08, 10:29:33

Название: ARP spoofing
Отправлено: mga от 04.02.08, 10:29:33: 1) Оно вызывается прогой на атакующем компе или м. б. вирусом на пострадавшем?
2) Если оно затыкает одну из имеющихся сетей, то будет другую?
3) Лечение, профилактика.
Название: Re: ARP spoofing
Отправлено: ИТСМИ от 04.02.08, 10:47:42: 1) а какой смысл в таком вирусе? конечно прогой на атакующем
2) не понятна...
3) шифрование трафика
Название: Re: ARP spoofing
Отправлено: mga от 04.02.08, 10:55:45: П. 2 - есть 2 сетки, если одна пострадала, будет то же с другой? Похоже, нет.

Упоминалось про вирус:

Уважаемые пользователи!

За последнюю неделю отметил повышенную вирусную активность какого то нового червяка. Суть вируса в том, что он начинает сбивать сеть ARP-Spoofing?ом. Такой вирус не наносит вреда компьютеру, но сбивает работу в сети. Последствия такого вируса могут проявляться в виде постоянных разрывов связи, и невозможностью переподключиться на протяжении длительного времени (более 15 минут ошибка 800), при этом даже шлюз не будет отвечать на пинг. Противостоять такой активности можно, и не так уж и сложно. Использование комплекта антивирус+брандмауэр, такая атака может быть сведена к нулю, а последствия к минимальным. Пока известно, что такие комплекты ПО как Касперский (антивирус+антихакер), и Dr.Web+Agnitum Outpost Firewall, прекрасно справляются с поставленной задачей, и даже предупреждают пользователя о такой атаке. Жертвой атаки может стать даже не зараженный компьютер, поэтому, воизбежание перебоев в работе сети, настоятельно рекомендую обзавестись хорошим комплектом ПО.

p.s. настоятельно НЕ рекомендую использование таких пакетов как Norton Internet Security, Avast Antivirus и NVidia Network Monitor, без предварительного и детального изучения документации, так как работа этих пакетов в штатном режиме полностью блокирует всю сетевую активность (в частности работа в сети/интернет, без предварительной перенастройки этих программ будет невозможной).

http://10.200.200.200
Название: Re: ARP spoofing
Отправлено: fair от 04.02.08, 11:01:42: Цитата: mga от 04.02.08, 10:55:45
П. 2 - есть 2 сетки, если одна пострадала, будет то же с другой? Похоже, нет.
Господи , не темните..
НУ увидели вы Мак-спуффинг в Флексе...Так там это болезнь уже не первый месяц гуляет. По поводу атакующий... Думаю большиство просто даже и не подозревает, что их комп является атакующим.. Просто банально заражены.А о том, что не мешало бы ставить обновления, не открывать чего попало, и вообще иметь бы еще антивирус с фаирволом они не знают.
По 3 пункту.Поставьте нормальный фаирволл, и будет вам счастье.
Название: Re: ARP spoofing
Отправлено: ИТСМИ от 04.02.08, 11:05:38: Цитата: mga от 04.02.08, 10:55:45
П. 2 - есть 2 сетки, если одна пострадала, будет то же с другой? Похоже, нет.

Нет , там ведь делается так, что подменяется адресация в свиче и все пакеты прежде чем попасть на нужный комп проходят через атакующий комп.
Название: Re: ARP spoofing
Отправлено: Дохтер Нах от 04.02.08, 23:02:02: >Нет , там ведь делается так, что подменяется адресация в свиче

А на кой Вам свич трогать??Модификация ARP-таблицы и дело в шляпе.Правда при этом установить кто нагадил - дело пяти минут.
Название: Re: ARP spoofing
Отправлено: mga от 05.02.08, 00:20:23: Спуфинг м. б. частью вируса?
Название: Re: ARP spoofing
Отправлено: Дохтер Нах от 05.02.08, 01:16:29: Цитата: mga от 05.02.08, 00:20:23
Спуфинг м. б. частью вируса?

Что Вы подразумеваете под "вирусом" и его "частью"?
А вообще для чего вирусу может понадобиться спуфить арп в общем случае представить сложно, еси тока виря не писался для узкого круга "клиентов":)
Название: Re: ARP spoofing
Отправлено: ANtZ [[devil]] RгоDkA от 05.02.08, 22:50:40: лечится просто

arp -s <ip-Шлюза> <mac-шлюза>

вот и все)