ip és mac ütközés

Hálózatok egyéb

Sziasztok!

Adott egy hálózat, ahol valaki használja az én ip-met a mac címemmel együtt. Ebben a hálóban több száz gép van és csak csak regisztrált ip/mac-configgal lehet kifelé netezni.
Nem az enyém a hálózat, nem tudom kideríteni, hogy ki csinálja stb.

A kérdésem:
Ha mindkettőnknek ugyanaz a mac és ip címe, akkor csak a switchek nem tudják, hogy hova menjen a csomag, nem? Ha igen, akkor mivel tudom megmagyarázni a switchnek, hogy most nekem jöjjenek a csomagok? (arp valahogy?)

Le lehet szigetelni azt a "kedves" embert a hálóról, anélkül, hogy saját magammal szúrjak ki? (pl. arp poisoning)

Köszi a válaszokat.

  • 1516 megtekintés

( tsb | 2007. 01. 22., h – 18:37 )

Szia

Kollégiumi hálózatban találkoztam ilyesmivel. Tenni ellene szerintem nem sokat lehet.
Én ezt csinálnám:
1) Sztem várd meg amíg lecsatlakozik, aztán csatlakozz te, és ne kapcsold ki többet a gépet :)
2) Keress valami adminfélét, és változtasd meg az IP-dhez nyilvántartott mac címet.
3) Ne add meg a mac cimedet senkinek :)

Szerintem minél hamarabb intézkedj, mert ha rosszakodik a címbitorló, (pl. átlépi a forgalomkorlátot) akkor téged fognak felelősségre vonni miatta. (legjobb esetben kitiltanak)

Soxerencse

Üdv

A 3.-at nehez megvalositani, ha akarsz a subnetedben is kommunikalni, es nem csak 1-2 trusted geppel...

A megoldas szerintem: rendszergazdat megkeresni, kideriteni, hogy ki hasznalja a mac address-edet (rendesebb switchek meg tudjak mondani magukrol, melyik port), es elbeszelgetni az illetovel. Ha ez nem segit, akkor ajanlom a linux syslogd(8) manual altal is emlegetett "sucker rod" hasznalatat...

( Husky | 2007. 01. 22., h – 18:42 )

a) Konzultálj a rendszergazdákkal. Gondolom van valami hálózati szabályzat ami ezt tiltja.

b) Switch-enként változik az arp hatása. Vagy átmenetileg megjegyzi hogy melyik porton vagy, vagy mindkettőre kiküldi, vagy vagy. Próbáld max 5-10 db/sec sebességgel gratuitous arp-kkel (vagy címzett arp válaszokkal) végignyomni az utat az átjáróig. De ez nem a megoldás, ilyent a másik gép is tud csinálni.

c) Pluszban bekavar az is hogy a te nyitott kapcsolataidra az ő gépe nyom RST-t, és fordítva. Ilyenkor random kapcsolatok sikerülnek csak. (Weboldalból minden ötödik kép, stb.)

Szóval a rendszergazdákat tudom javallni. Ha nem konkrétan a te IP-det nyúlják le, esetleg reggeld be magad másik MAC címmel.

( bitumen | 2007. 01. 22., h – 21:49 )

köszönöm a hozzászólásokat. A következő eredményre jutottam:

1.) send_arp -i 300 -r 6000 $iface $ip_address $mac_address $ip_address 255.255.255.0
Ez az az ügyes gratoitous arp :)
A snd_arp nevű progit a HA Linux project heartbeat nevű csomagjából túrtam elő.

2.) Küldök a "másik énemnek" arp csomagokat, amiben a router ip-je, de valami más mac van. Így ő nem jut el a routerig.

( imp | 2007. 01. 23., k – 13:00 )

fasza, ide is beütött a dolog.. chello lite, 5gb korlát, nézem a logot: 


2007-01-21 21:12        2832M
2007-01-22 19:26        10609M

abból vettem észre, hogy kb 9kB/sec a max downspeed, mert lekorlátozták a sávszélt..
mondjuk itt dhcp van szóval nem nagy cucc ellopni egy mac addresst...
...mit lehet ilyenkor tenni? (a 'szerezz adsl-t'-en kívül persze)

( antiemes | 2007. 01. 23., k – 15:02 )

Hi!

Nalunk is elofordult a dolog, szinten kollegium.

1 oran belul eleg sokan szoltak, hogy ilyen bajuk van. Es egy ping statisztika:
64 bytes from athos (10.0.0.254): icmp_seq=377 ttl=64 time=0.194 ms
64 bytes from athos (10.0.0.254): icmp_seq=378 ttl=64 time=0.849 ms
64 bytes from athos (10.0.0.254): icmp_seq=379 ttl=64 time=0.881 ms
64 bytes from athos (10.0.0.254): icmp_seq=380 ttl=64 time=0.190 ms
64 bytes from athos (10.0.0.254): icmp_seq=381 ttl=64 time=0.848 ms
64 bytes from athos (10.0.0.254): icmp_seq=399 ttl=64 time=3937 ms
64 bytes from athos (10.0.0.254): icmp_seq=400 ttl=64 time=2969 ms
64 bytes from athos (10.0.0.254): icmp_seq=401 ttl=64 time=2126 ms
64 bytes from athos (10.0.0.254): icmp_seq=398 ttl=64 time=5125 ms
64 bytes from athos (10.0.0.254): icmp_seq=391 ttl=64 time=12254 ms
64 bytes from athos (10.0.0.254): icmp_seq=402 ttl=64 time=1819 ms
64 bytes from athos (10.0.0.254): icmp_seq=403 ttl=64 time=1332 ms
64 bytes from athos (10.0.0.254): icmp_seq=404 ttl=64 time=478 ms
64 bytes from athos (10.0.0.254): icmp_seq=405 ttl=64 time=418 ms
64 bytes from athos (10.0.0.254): icmp_seq=406 ttl=64 time=615 ms
64 bytes from athos (10.0.0.254): icmp_seq=407 ttl=64 time=968 ms
64 bytes from athos (10.0.0.254): icmp_seq=408 ttl=64 time=0.203 ms
64 bytes from athos (10.0.0.254): icmp_seq=409 ttl=64 time=0.874 ms
64 bytes from athos (10.0.0.254): icmp_seq=410 ttl=64 time=0.297 ms

Szerintem ez valami uj virus lehet.

By(t)e
TBS::Antiemes

Á, van ettől jobb is:

thorr:~$ ping index.hu
PING index.hu (217.20.131.2): 56 data bytes
64 bytes from 217.20.131.2: icmp_seq=0 ttl=50 time=650.517 ms
64 bytes from 217.20.131.2: icmp_seq=0 ttl=50 time=651.281 ms (DUP!)
64 bytes from 217.20.131.2: icmp_seq=0 ttl=50 time=681.313 ms (DUP!)
64 bytes from 217.20.131.2: icmp_seq=1 ttl=50 time=1039.303 ms
64 bytes from 217.20.131.2: icmp_seq=2 ttl=50 time=769.439 ms
64 bytes from 217.20.131.2: icmp_seq=3 ttl=50 time=1868.857 ms
64 bytes from 217.20.131.2: icmp_seq=4 ttl=50 time=1321.476 ms
64 bytes from 217.20.131.2: icmp_seq=4 ttl=50 time=1323.497 ms (DUP!)
64 bytes from 217.20.131.2: icmp_seq=6 ttl=50 time=1620.182 ms
64 bytes from 217.20.131.2: icmp_seq=6 ttl=50 time=1622.050 ms (DUP!)

Vagy amikor sok vicces router lakik ott:

atlantis:~$ ping 172.25.2.2
PING 172.25.2.2 (172.25.2.2) 56(84) bytes of data.
From 172.25.1.146 icmp_seq=1 Time to live exceeded
From 172.25.2.138 icmp_seq=1 Time to live exceeded
From 172.25.1.72 icmp_seq=1 Time to live exceeded
From 172.25.1.146 icmp_seq=2 Time to live exceeded
From 193.x.x.x icmp_seq=2 Time to live exceeded
From 172.25.2.138 icmp_seq=2 Time to live exceeded
From 172.25.1.72 icmp_seq=2 Time to live exceeded