Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
Применена давно известная уязвимость arp протокола, называется arp spoofing или arp poisoning 04.02.10 22:33 Число просмотров: 3565
Автор: Den <Denis> Статус: The Elderman
Отредактировано 04.02.10 22:35 Количество правок: 2
|
Бороться с этой уязвимостью на станциях с современными Win ОС внутри периметра и без поддержки хардовых решений изоляции arp трафика, пока не представляется возможным. Возможно я ошибаюсь, но пока что я не наблюдал ни одного софтового решения для платформы Win 6+ (Vista/2k8/7/2k8R2).
Более того, в реализации ARP протокола на платформе Win6+ есть уязвимость, закрытая в Win 5.x (2k/XP/2k3) - Incoming ARP packets can overwrite static entries in the ARP cache in Windows XP (http://support.microsoft.com/kb/842169)
|
|
<hacking>
|
Забавный метод проксирования 04.02.10 21:55
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
Отредактировано 04.02.10 22:03 Количество правок: 1
|
Может кому будет интересно - пришлось на днях решать задачку по отслеживанию трафика отдельной рабочей станции. Для мобильных пользователей используется dhcp раздача адресов, где шлюзом является циска, которая транслирует в инет запросы с адресов dhcp.
Оказалось, что достаточно поднять прозрачный прокси на одном из серверов, а вопрос направления на него трафика с рабочей станции решился периодической посылкой ARP ответов, где для IP адреса шлюза указывался MAC сервера с прозрачным прокси. Трафик с рабочей станции направлялся вместо шлюза на сервер, файрвол редиректил запросы в squid, который записывал логи и отдавал запросы клиенту.
Т.о. не меняя сетевых настроек и без физического доступа к рабочей станции, а также не имея возможности снифить трафик, можно получить логи любого хоста с МС ОС в удобной для анализа форме. Т.е. пришел кому-то в гости в контору и можешь перехватить любой трафик...
|
|
Применена давно известная уязвимость arp протокола, называется arp spoofing или arp poisoning 04.02.10 22:33
Автор: Den <Denis> Статус: The Elderman
Отредактировано 04.02.10 22:35 Количество правок: 2
|
Бороться с этой уязвимостью на станциях с современными Win ОС внутри периметра и без поддержки хардовых решений изоляции arp трафика, пока не представляется возможным. Возможно я ошибаюсь, но пока что я не наблюдал ни одного софтового решения для платформы Win 6+ (Vista/2k8/7/2k8R2).
Более того, в реализации ARP протокола на платформе Win6+ есть уязвимость, закрытая в Win 5.x (2k/XP/2k3) - Incoming ARP packets can overwrite static entries in the ARP cache in Windows XP (http://support.microsoft.com/kb/842169)
|
| |
Да, это известный недостаток ARP 05.02.10 00:01
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
Отредактировано 05.02.10 00:03 Количество правок: 1
|
Не перестаю удивляться сколько всего можно с ним вытворять.
Встречал несколько ФВ, которые могли противостоять ARP poison (Agava, Comodo - он даже бесплатный). Если не путаю, и Outpost умеет распознавать такие виды атак
|
|
|
подробно о проекте
Анализ криптографических сетевых...
