Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | |
Можно просто сказать сетевухе - а давай ка ты забудешь свой прошитый мак до ребута и будешь юзать вот этот. Если сетевуха эту фичу поддерживает конечно. 24.05.03 12:35 Число просмотров: 2525
Автор: Killer{R} <Dmitry> Статус: Elderman
|
|
<networking>
|
как сменит MAK адрес сетувухи 25.10.02 23:09
Автор: ХИТМЕН Статус: Незарегистрированный пользователь
|
как сменит MAK адрес сетевухи:?
|
|
Надо бы эту хрень в FAQ внести (7-месячной давности вопрос). 25.05.03 16:57
Автор: :-) <:-)> Статус: Elderman
|
|
| |
Ага. Только что-то энтузизим у факеров поугас. 25.05.03 21:11
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
|
как сменит MAK адрес сетувухи 24.05.03 16:53
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
> как сменит MAK адрес сетевухи:? Интеловские стомегабитки позволяют софтово менять МАК адрес
|
|
Любопытство разбирает - зачем это может быть кому-нибудь нужно? 23.05.03 12:28
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 23.05.03 12:30 Количество правок: 1
|
> как сменит MAK адрес сетевухи:? МАК адрес прошит в большинстве карточек физически, за исключением карточек, в которых менять этот адрес предусмотренно производителем.
Я когда-то видел такую карточку - исовую под коаксиал, там последние пару байт только поменять можно было. А еще видел АРКнетовские карточки, там адрес (8 бит) переключателями выставлялся.
Возможен еще вариант "аппаратной" подмены МАК адреса - если адрес в специальном регистреке храниться, при включении компьютера считывается туда из какой-то ПЗУшки и у карточки есть функция записи в этот регистр. Разумеется это будет действовать до перезагрузки или записи нового МАК адреса в этот регистр.
Если же этот адрес поменять нельзя аппаратно, то карточку можно перевести в режим ловить не только пакеты, предназначенные только ей по МАК адресу, а все пакеты. Функцию отсева "чужих" пакетов может обрабатывать драйвер по указанному МАК адресу. А при отправке фрейма подсовывать в поле МАК адрес отправителя указанный МАК адрес. Если, конечно, карточка не перебьет этот адрес на свой.
Замена МАК адреса на абы какой - бессмыслена. Замена на адрес, который имеет другая плата в сети, тоже ни к чему хорошему не приведет. Скорее всего оба компьютера работать не будут, или только последний подключенный, как если в сети будут две машины с одинаковым АйПи адресом. Может "отвалится" первая, поскольку первый же свитч изменит таблицу адресов/маршрутов, и фрэймы пойдут на другой порт, как если бы компьютер перевтыкнули в другой порт свитча.
Если же первый компьютер снова проявит активность, свитч опять перестроит таблицу. Короче, фреимы, посланные на этот адрес, будут пропадать, зато будут приходить чужие. А уж что будет твориться с ARP/RARP предсказать тяжело - от реализации зависит.
|
| |
Любопытство разбирает - зачем это может быть кому-нибудь нужно? 23.05.03 12:55
Автор: Yurii <Юрий> Статус: Elderman
|
Часто это бывает нужно, чтоб подменить ВЫКЛЮЧЕННЫЙ в это время комп соседа, изменяя пару IP+MAC.
|
| | |
Именно для этого! 24.05.03 10:25
Автор: J'JF <Dmytro Volhushyn> Статус: Elderman
|
> Часто это бывает нужно, чтоб подменить ВЫКЛЮЧЕННЫЙ в это > время комп соседа, изменяя пару IP+MAC. Например, у моего друга на работе есть сетка и канал в инет, который открыт только некоторым (он в число этих некоторых не входит). Пока админ тупит и привязывает доступа к IP машин, что очень легко обходится просто его сменой (в ситуации, когда машина с этим адресом выключена). Однако, это может и поменяться. К тому же, админ может обратить внимание на несоответствие МАК-адреса адресу АйПи в логах (если он их ведет, конечно).
Поэтому вполне реально встает задача смены АйПи и МАК-адресов одновременно.
|
| | | |
Плохой админ, 26.05.03 10:57
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
у которого пользователи имеют права менять АйПи и МАК.
> > Часто это бывает нужно, чтоб подменить ВЫКЛЮЧЕННЫЙ в > это > > время комп соседа, изменяя пару IP+MAC. > Например, у моего друга на работе есть сетка и канал в > инет, который открыт только некоторым (он в число этих > некоторых не входит). Пока админ тупит и привязывает > доступа к IP машин, что очень легко обходится просто его > сменой (в ситуации, когда машина с этим адресом выключена). > Однако, это может и поменяться. К тому же, админ может > обратить внимание на несоответствие МАК-адреса адресу АйПи > в логах (если он их ведет, конечно). > Поэтому вполне реально встает задача смены АйПи и > МАК-адресов одновременно.
|
| | | | |
Плохой админ, 26.05.03 12:54
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
> у которого пользователи имеют права менять АйПи и МАК.
Выходит я - плохой админ :)
Объясни плз мне, недалекому, чем это так плохо?
|
| | | | | |
Гы. А это смотря чем ты занимаешься 26.05.03 13:41
Автор: amirul <Serge> Статус: The Elderman
|
> > у которого пользователи имеют права менять АйПи и МАК. > > Выходит я - плохой админ :) > Объясни плз мне, недалекому, чем это так плохо? Если, например, ты админ прова, с учетом трафика по IP-MAC, то это вообще смертельно. Если просто локальная сетка - то все зависит от продвинутости юзверей. Если они начнут направо и налево менять сетевые настройки, то до добра это не доведет. Это работа админа. Даже если одному юзверю оставить возможность менять сетевые настройки, то это может привести к неперднамеренному (если юзверь тупой, но ему просто интересно) или преднамеренному (если более менее продвинутый) DOSу из-за коллизии
Короче. Задача админа - работающая сетка. Если юзера сознательные и продвинутые (например в девелоперской конторе), то можно вообще не забирать у них права на локальных компах (тем более что они им часто нужны). В остальных случаях принцип должен быть: все что не разрешено явным образом (требуется в работе) должно быть запрещено. Просто на всякий случай
|
| | | | | | |
Так и надо писать. 26.05.03 15:18
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
Точность в формулировках - великая вещь. Особенно, если бросаешься словами вроде "плохой", "лучший", "суксь" итп
> Если, например, ты админ прова, с учетом трафика по IP-MAC, > то это вообще смертельно. Неправильно. Если следовать твоей логике, то админ прова должен регулярно обходить все клиентские роутеры, и проверять не меняет ли кто-нибудь IP/MAC . Правильный путь - фильтрация на железе которое принадлежит провайдеру (киска, свитч) таким образом чтобы привязывать конретный порт к конкретным IP/MAC. И пусть юзер себе меняет все что хочет. Тогда он просто не получит траффика. Чуствуешь разницу?
> Если просто локальная сетка - то > все зависит от продвинутости юзверей. Если они начнут > направо и налево менять сетевые настройки, то до добра это > не доведет. Это работа админа. Даже если одному юзверю > оставить возможность менять сетевые настройки, то это может > привести к неперднамеренному (если юзверь тупой, но ему > просто интересно) или преднамеренному (если более менее > продвинутый) DOSу из-за коллизии К ДОСу может также привести всовывание куска медной провоки в розетку :) . От всех ДОСов возможных со стороны сотрудников не убережешься. А отнятие прав у юзеров довольно сложная штука. Для меня сложнее следить за 150-ю Wintel компами, чтоб никто не получил права локального админа, чем настроить 150 портов в свитчах так чтобы защититься от IP спуфинга.
> Короче. Задача админа - работающая сетка. Если юзера > сознательные и продвинутые (например в девелоперской > конторе), то можно вообще не забирать у них права на > локальных компах (тем более что они им часто нужны). В > остальных случаях принцип должен быть: все что не разрешено > явным образом (требуется в работе) должно быть запрещено. > Просто на всякий случай Спорный ИМХО вопрос, ответ на который сильно зависит от конкретного предприятия.
|
| | | | | | | |
А вообще это все имхи. Общего решения для таких вопросов не бывает 26.05.03 15:51
Автор: amirul <Serge> Статус: The Elderman
|
Пора прекращать пока флейм не разросся :-)
|
| | | | | | |
Это я и имел в виду. Просто подробно не расписывал. И обидеть ни кого не хотел. 26.05.03 14:48
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
|
| | | | |
ну конечно 26.05.03 11:04
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
в домашней или институтской сети ты всех заставишь в домен входить, чтобы им права зарезать, да?
|
| | | |
Именно для этого! 26.05.03 09:57
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Однако, это может и поменяться. К тому же, админ может > обратить внимание на несоответствие МАК-адреса адресу АйПи > в логах (если он их ведет, конечно). > Поэтому вполне реально встает задача смены АйПи и > МАК-адресов одновременно. И тут админ случайно узнает о возможности привязать МАК к порту на свитче ;)
|
| | | | |
А если так: 28.05.03 20:25
Автор: J'JF <Dmytro Volhushyn> Статус: Elderman
|
> И тут админ случайно узнает о возможности привязать МАК к > порту на свитче ;) однако таких свитчей под рукой не оказывается, покупать начальство не разрешает. И вынужден админ сосать лапу на своих хабиках/неуправляемых свитчах etc...
А потом по логам смотрит соответствия и принимает административные меры в отношении нарушителя. если он эти нарушения выявит, конечно...
К тому же, никто не мешает (если втыкаться патч-кордом в розетку, от которой уже пара идет на свитч) воткнуть в розетку патч-корд от своей тачки (мак-адрес и айпи уже сменили) и наслаждаться... понятно, что патч-корд в соседнюю комнату может и не дотянуться, но...
слишком много но...
|
| | |
Все-таки мой вопрос остается актуальным. 23.05.03 14:07
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
> Часто это бывает нужно, чтоб подменить ВЫКЛЮЧЕННЫЙ в это > время комп соседа, изменяя пару IP+MAC. Ну я пойму, если строится отказоустойчивая система типа кластера какого-нибудь. Для соседа-то зачем?
Хакать его что-ли. Типа быстро, почти одновременно с выключением его компьютера поменять себе связку IP+MAC и прикинуться его компьютером, и ловить всю секретную информацию, которая на него должна валиться.
Бред какой-то. А как же секрктный ключ, который сгенерен на его машине и где-то (не известно где) в ОЗУ его машины храниться. Без него ни подписать сообщение, ни расшифровать трафик. Или эта сеть не использует шифрование и подпись? Кто же тогда по ней передает информацию, которая хоть какую-то ценность имеет?
|
| | | |
Меня прикалывает, как ты уверен, что знаешь обо всём, что может быть ;) 23.05.03 14:10
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
> Хакать его что-ли. Типа быстро, почти одновременно с > выключением его компьютера поменять себе связку IP+MAC и > прикинуться его компьютером, и ловить всю секретную > информацию, которая на него должна валиться. > Бред какой-то. А как же секрктный ключ, который сгенерен на > его машине и где-то (не известно где) в ОЗУ его машины > храниться. Без него ни подписать сообщение, ни расшифровать > трафик. Или эта сеть не использует шифрование и подпись? > Кто же тогда по ней передает информацию, которая хоть > какую-то ценность имеет?
А других случаев не может быть?
Например, учёт трафика с привязкой к МАК-адресу.
|
| | | | |
Да не знаю я обо всём, что может быть. Мне просто разобраться интересно. 23.05.03 14:21
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 23.05.03 14:23 Количество правок: 1
|
Вопросы задаю, предположения делаю...
> А других случаев не может быть? > Например, учёт трафика с привязкой к МАК-адресу. Ну если у провайдера дыр полно.
Понятно, что этот номер не для модема.
Представляю - целый дом по выделенке подключен, а внутри Ethernet.
Неужели ребята АйПи или МАК к проту на свитче не припишут.
Это, конечно, если трафик по АиПи+МАК, а не по Логин+Пароль, который редко в кампусных сетях используется.
|
| | | | | |
Да не знаю я обо всём, что может быть. Мне просто разобраться интересно. 23.05.03 14:35
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
> Вопросы задаю, предположения делаю... > > А других случаев не может быть? > > Например, учёт трафика с привязкой к МАК-адресу. > Ну если у провайдера дыр полно. > Понятно, что этот номер не для модема. > Представляю - целый дом по выделенке подключен, а внутри > Ethernet. > Неужели ребята АйПи или МАК к проту на свитче не припишут.
Всяко бывает. Вот слышал я, что на заре районного и домашнего сетестроительства так частенько бывало.
|
|
|