информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Портрет посетителяГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Столлман возвращается в FSF 
 The Great Suspender предположительно... 
 Десятилетняя уязвимость в sudo 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / hacking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Забавный метод проксирования 04.02.10 21:55  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
Отредактировано 04.02.10 22:03  Количество правок: 1
<"чистая" ссылка>
Может кому будет интересно - пришлось на днях решать задачку по отслеживанию трафика отдельной рабочей станции. Для мобильных пользователей используется dhcp раздача адресов, где шлюзом является циска, которая транслирует в инет запросы с адресов dhcp.
Оказалось, что достаточно поднять прозрачный прокси на одном из серверов, а вопрос направления на него трафика с рабочей станции решился периодической посылкой ARP ответов, где для IP адреса шлюза указывался MAC сервера с прозрачным прокси. Трафик с рабочей станции направлялся вместо шлюза на сервер, файрвол редиректил запросы в squid, который записывал логи и отдавал запросы клиенту.
Т.о. не меняя сетевых настроек и без физического доступа к рабочей станции, а также не имея возможности снифить трафик, можно получить логи любого хоста с МС ОС в удобной для анализа форме. Т.е. пришел кому-то в гости в контору и можешь перехватить любой трафик...
Применена давно известная уязвимость arp протокола, называется arp spoofing или arp poisoning 04.02.10 22:33  
Автор: Den <Denis> Статус: The Elderman
Отредактировано 04.02.10 22:35  Количество правок: 2
<"чистая" ссылка>
Бороться с этой уязвимостью на станциях с современными Win ОС внутри периметра и без поддержки хардовых решений изоляции arp трафика, пока не представляется возможным. Возможно я ошибаюсь, но пока что я не наблюдал ни одного софтового решения для платформы Win 6+ (Vista/2k8/7/2k8R2).
Более того, в реализации ARP протокола на платформе Win6+ есть уязвимость, закрытая в Win 5.x (2k/XP/2k3) - Incoming ARP packets can overwrite static entries in the ARP cache in Windows XP (http://support.microsoft.com/kb/842169)
Да, это известный недостаток ARP 05.02.10 00:01  
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
Отредактировано 05.02.10 00:03  Количество правок: 1
<"чистая" ссылка>
Не перестаю удивляться сколько всего можно с ним вытворять.
Встречал несколько ФВ, которые могли противостоять ARP poison (Agava, Comodo - он даже бесплатный). Если не путаю, и Outpost умеет распознавать такие виды атак
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach