Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
В принципе это уязвимость локальных сетей. В глобальных... 31.03.06 18:04 Число просмотров: 2885
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 31.03.06 18:12 Количество правок: 1
|
В принципе это уязвимость локальных сетей. В глобальных маршрутизаторы помогают, поскольку там у людей деньги есть не только на умные коммутаторы, но и на серваки.
По идее, эта "паршивая овца", прежде чем проинициализировать АиПи сетевой интерфейс, должна была (если дубликат адрес прописан перманентно) посмотреть на наличие в сети машинки с таким же адресом и задавить инициализацию сети с выводом сообщения об ошибке дубликата адреса. Иногда и первая машинка тоже может в логах зарегистрировать событие, что какая-то другая машинка пыталась начать работать с этим же адресом.
Если же эта "паршивая овца" настолько глючная или специально таким безобразием занимается, то аминь. Это все равно, что сеть - общая шина на хабах и какая-нибудь машинка гонит с бешеной частотой без пауз большие пакеты кому-то тем самым забивая всю ширину канала, что сетка встает. Здесь тоже либо коммутаторы решат проблему, либо извините, другие методы пока в голову еще не пришли.
На сколько я понимаю на каком-либо писюке пользователь может выставлять адреса на сетевых интерфейсах или есть возможность приносить персональные буки, на которых у пользователя есть соответствующие права. У меня на компах пользователи работают с обычными правами и не могут изменить настройки сети, такой проблемы возникнуть не может.
|
<sysadmin>
|
"Запрет назначения определённого IP-адреса на сетевой карте" или "два одинаковых IP в одной сети" 31.03.06 02:25
Автор: Alexander Статус: Незарегистрированный пользователь
|
Суть проблемы:
Есть сервак (Linux) с двумя сетевухами: eth0, смотрящим в "мир" и eth1, 192.168.0.1.
Есть локальная сеть, 192.168.0.0/24, (с виндами) подключенная в eth1.
Сервак, он же шлюз, 192.168.0.1 - через него народ ходит в инет.
Если кто-то случайно (или умышленно) в локальной сети назначает себе IP-адрес 192.168.0.1 - все пакеты начинают валить к нему на комп. Т.е. он как бы становится шлюзом.
Соответственно, вся локалка сидит без инета.
Проверял...
Работает.
Ставил на клиентской WinXP IP-адрес на интерфейсе 192.168.0.1. Ругается на то, что "такой IP-адрес в сети уже есть!", но тем ни менее, адрес этот всё-таки ставит.
Получаем два одинаковых IP-адреса в сети.
Каким-нибудь способом можно запретить назначение этого (192.168.0.1) IP адреса компам в локалке?
Варианты на клиентских машинах с жёстким прописыванием МАС-адреса eth1 сервака ч/з "arp -s", "хакинг" реестра во всяких там "Software/Microsoft/Windows/Current Version/Policies" и etc не подходят.
Т.е. нужно что-то организовать на стороне сервака.
Я так понимаю, при появлении этого нового "липового" IP-адреса, 192.168.0.1 в сети, автоматом ARP-кэш обновляется на всех машинах в локалке, и получается, что до сервера уже не "достучаться" - все пакеты валят уже на другой MAC-адрес, "липовый".
Это, разве что... на серваке каким-то образом, с интервалом, допустим в 1 минуту генерировать какой-то широковещательный arp-пакет, заставляющий обновиться arp-кешу на машинах в локалке, чтобы они снова "увидели" истинный шлюз (MAC-адрес), а не "липовый"?... :))
О, как!
|
|
Еще могу предложить. 04.04.06 12:01
Автор: Den <Денис Т.> Статус: The Elderman
|
Пишется маленькая программка, проверяющая через ARP соответствие MAC адресов IP адресам локальной сети и к ней маленькие модули, управляемые по сети и осуществляющие какую-нибудь DoS атаку на указанный IP/MAC адрес.
На админский комп ставишь главную прогу, на все остальные компы сети - управляемые модули.
Правда, есть минусы.
|
| |
Да. 04.04.06 13:42
Автор: Alexander Статус: Незарегистрированный пользователь
|
> Пишется маленькая программка, проверяющая через ARP > соответствие MAC адресов IP адресам локальной сети
> Правда, есть минусы.
Да.
Для меня минус уже хотя бы в том, что эту прогу придётся "прикручивать" ко всем компам в сети.
А я не всегда могу отследить появление новых машин в сети.
Хотелось бы организовать что-то именно на стороне сервера...
|
| | |
Не надо отслеживать новые компы и ставить на них управляемые... 05.04.06 20:24
Автор: Den <Денис Т.> Статус: The Elderman
|
> Да. > Для меня минус уже хотя бы в том, что эту прогу придётся > "прикручивать" ко всем компам в сети. > А я не всегда могу отследить появление новых машин в сети.
Не надо отслеживать новые компы и ставить на них управляемые модули.
Достаточно установить эти модули на стационарные компы в сети и при возникновении проблемм будет осуществляться какая-нибудь DoS атака на узел нарушителя.
|
|
Реестр "хакать" не надо. 01.04.06 00:16
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
Или через групповые политики запретить смену IP адреса, или ограничить права пользователя (например группой Users).
С товарищами, которые приходят с неконтролируемыми ноутбуками провести разъяснительную беседу и пристально следить в первое время. Но лучше, так же запретить и им.
|
| |
Вариант, конечно... Но... 04.04.06 09:30
Автор: Alexander Статус: Незарегистрированный пользователь
|
> Или через групповые политики запретить смену IP адреса, или > ограничить права пользователя (например группой Users). Вариант, конечно... Но...
С ХР в этом плане проще: пораздавал права какие нужно, настроил... и всё.
А вот как быть в 98-ми (и кое-где даже 95-ми ;) ?...
> С товарищами, которые приходят с неконтролируемыми > ноутбуками провести разъяснительную беседу Тут намного проще: таких всего пара-тройка ;)
|
| | |
95 и 98 тоже поддерживают ограничение прав пользователей при помощи групповой политики. 04.04.06 17:36
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
|
DHCP? 31.03.06 18:04
Автор: Lurga Статус: Elderman
|
|
| |
а при чем тут он? :) если кто взумает руками вбить ДХЦП не спасет =) 31.03.06 21:24
Автор: DamNet <Denis Amelin> Статус: Elderman
|
|
| | |
В некоторых случаях помогает! 21.04.06 06:17
Автор: darin Статус: Незарегистрированный пользователь
|
|
| | |
Я думал и о таком варианте... 04.04.06 09:45
Автор: Alexander Статус: Незарегистрированный пользователь
|
Я думал и о таком варианте...
Могут помочь, разве что, два варианта вместе:
Раздача IP-адресов серваком по DHCP клиентам... и запрет в групповых политиках/правах/реестре этих клиентских машин смены IP-адреса пользователем. ;)
|
| | | |
Я, в общем-то, именно это и имел в виду. 04.04.06 10:13
Автор: Lurga Статус: Elderman
|
|
| | |
Вычислить вбивающего руками и оные руки ему отбить. =)) 01.04.06 12:53
Автор: Lurga Статус: Elderman
|
|
| | | |
Хха! 04.04.06 09:21
Автор: Alexander Статус: Незарегистрированный пользователь
|
Хха!
Это, пожалуй, оптимальный вариант! ;)
т.к. самый дешёвый :))
Одному - отбить, а остальным уже не захочется.
|
| | | | |
Угу. 04.04.06 10:35
Автор: Lurga Статус: Elderman
|
А если серьёзно -- то переговорить с руководством на тему саботажа. Не все проблемы должны решаться путём системного администрирования.
|
|
В принципе это уязвимость локальных сетей. В глобальных... 31.03.06 18:04
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 31.03.06 18:12 Количество правок: 1
|
В принципе это уязвимость локальных сетей. В глобальных маршрутизаторы помогают, поскольку там у людей деньги есть не только на умные коммутаторы, но и на серваки.
По идее, эта "паршивая овца", прежде чем проинициализировать АиПи сетевой интерфейс, должна была (если дубликат адрес прописан перманентно) посмотреть на наличие в сети машинки с таким же адресом и задавить инициализацию сети с выводом сообщения об ошибке дубликата адреса. Иногда и первая машинка тоже может в логах зарегистрировать событие, что какая-то другая машинка пыталась начать работать с этим же адресом.
Если же эта "паршивая овца" настолько глючная или специально таким безобразием занимается, то аминь. Это все равно, что сеть - общая шина на хабах и какая-нибудь машинка гонит с бешеной частотой без пауз большие пакеты кому-то тем самым забивая всю ширину канала, что сетка встает. Здесь тоже либо коммутаторы решат проблему, либо извините, другие методы пока в голову еще не пришли.
На сколько я понимаю на каком-либо писюке пользователь может выставлять адреса на сетевых интерфейсах или есть возможность приносить персональные буки, на которых у пользователя есть соответствующие права. У меня на компах пользователи работают с обычными правами и не могут изменить настройки сети, такой проблемы возникнуть не может.
|
| |
Тут все намного проще. :) 04.04.06 09:41
Автор: Alexander Статус: Незарегистрированный пользователь
|
> По идее, эта "паршивая овца", прежде чем > проинициализировать АиПи сетевой интерфейс, должна была > (если дубликат адрес прописан перманентно) посмотреть на > наличие в сети машинки с таким же адресом и задавить > инициализацию сети с выводом сообщения об ошибке дубликата > адреса.
Тут все намного проще. :)
Умники-то есть... но... тупые :))
Максимум, пытаются методом перебора всех IP-адресов подсети найти тот, для которого открыт доступ в инет.
Но и тут, увы, разочарование ждёт: привязка IP-MAC на серваке ;)
> Если же эта "паршивая овца" настолько глючная или > специально таким безобразием занимается, то аминь. Во-во-во! :))
> Здесь тоже либо коммутаторы решат проблему, либо > извините, другие методы пока в голову еще не пришли.
> На сколько я понимаю на каком-либо писюке пользователь > может выставлять адреса на сетевых интерфейсах или есть > возможность приносить персональные буки, на которых у > пользователя есть соответствующие права. Да.
Похоже, могут.
Просто, это не моя задача следить за этим.
А тех инженеров, за которыми эти компы закреплены.
...но, похоже, они свою зарплату зря получают ;)
|
|
Управляемым сетевым коммутатором. 31.03.06 13:57
Автор: Den <Денис Т.> Статус: The Elderman
|
|
| |
Так и знал, что что-то важное забыл сказать! :)) 31.03.06 16:28
Автор: Alexander Статус: Незарегистрированный пользователь
|
Так и знал, что что-то важное забыл сказать! :))
Этот вариант тоже можно добавить к числу "неподходящих".
Я бы с радостью именно этот вариант и использовал...
Но, увы - он мне не "светит". Из-за отсутствия денег.
Может ещё какие-нибудь ideas есть у кого?
Или это единственный вариант решения проблемы?
|
|
|