блокировка в локальной сети за ARP атаку ✓ ЕСТЬ ОТВЕТ

Уязвимости, взломы и способы защиты. Вирусы здесь не обсуждаются

Модераторы: Tim308, phantom

Ответить

Автор темы
oleg2015
Новичок
Сообщения: 8
Зарегистрирован: 16 ноя 2015, 22:13
Репутация: 0
Статус: Не в сети

блокировка в локальной сети за ARP атаку

Сообщение oleg2015 » 16 ноя 2015, 23:40

Приветствую, у меня небольшая проблема: при АРП атаке меня блокирует какой-то защитный механизм в локальной сети (подключен к интернету я через локальный кабель, ведущий на крышу. eth0). Пробовал через винду 7 (cain & abel) + wireshark, через kali linux (arpspoof/ettercap + wireshark). В качестве gateway я выставляю основной шлюз (10.100.5.1) и в качестве жертв всех подключенных (50-90 человек). Пакеты успеваю переловить, но спустя несколько минут меня блокируют (скорей всего по мак адресу). Когда звоню в центр, мне говорят: "Скорей всего у вас вирусы или перепад напряжения был" и включают обратно. Какой механизм меня блокирует и как я могу обойти это? Варианты — вписать мак и айпи другого члена сети; установить рандомный мак адрес; делать всё через виртуалку? Кстати привязка, как я понял идет по маку, если сменить мак ты автоматом отсоединяешься от сети.

ЛУЧШИЙ ОТВЕТ DesignerMix » 17 ноя 2015, 10:40
oleg2015, наверное можно что-то сделать но надо знать модель свича и то, как именно он блокирует а уже исходя из этих данных разбираться есть-ли способ обхода. Главное узнать среду в которой вы работаете, иначе получается слепое гадание.
ПЕРЕЙТИ К ПОЛНОМУ СООБЩЕНИЮ ➙

Теги:

Аватара пользователя

DesignerMix
Администратор
Администратор
Сообщения: 5211
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 189
Репутация: 601
Откуда: Белгород
Контактная информация:
Статус: Не в сети

блокировка в локальной сети за ARP атаку

Сообщение DesignerMix » 16 ноя 2015, 23:52

oleg2015, не зная ничего о вашей сети сложно что-то говорить. Если вы получаете IP-адрес автоматически по MAC'у (т.е. по DHCP) обойти блокировку можно сменив IP-адрес прописав его вручную.

Подозреваю что блокировка может быть либо на уровне ПО провайдера (вроде MicroTic) либо на уровне роутера (Vlan) или еще что-то может вас блокировать о чем я не знаю. Кстати слышал что некоторые антивирусы и их FireWall'ы могут отслеживать большой поток ложных ARP-ответов и блокировать отправителя. А еще есть самописные системы защиты... Гадать мы с вами устанем.

Но помните что если вы действительно занимаетесь подобными вещами в реальной сети и с реальными людьми то если вас вычислят - будьте готовы отвечать по закону т.к. это преступление :pirate:


Автор темы
oleg2015
Новичок
Сообщения: 8
Зарегистрирован: 16 ноя 2015, 22:13
Репутация: 0
Статус: Не в сети

блокировка в локальной сети за ARP атаку

Сообщение oleg2015 » 17 ноя 2015, 00:15

Дело в том, что когда я добавляю в target 2 всю сеть (50+ человек) их всех начинает "тормозить". Айпи адрес я получаю автоматически, в настройках сети отмечено "Получать айпи\маску\шлюз автоматически". Просто если я сменю свой айпи на айпи другого человека скажем с 10.100.5.15 на 10.100.5.25 то уже мак адрес останется старым, они потом поймут по моему маку что я сменил айпи, будет конфликт айпи адресов. В этой организации работают очень неопытные люди, они вряд ли смогут отследить арп атаку... А что если выставить айпи и мак человека из моей сети? Смогут ли меня найти каким-нибудь образом? Скажем, если действовать следующим образом — отключаю кабель, прописываю мак адрес любого человека из сети, прописываю вручную его же айпи и подключаю кабель. Я смогу как-то засветиться?

Аватара пользователя

DesignerMix
Администратор
Администратор
Сообщения: 5211
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 189
Репутация: 601
Откуда: Белгород
Контактная информация:
Статус: Не в сети

блокировка в локальной сети за ARP атаку

Сообщение DesignerMix » 17 ноя 2015, 00:45

oleg2015 писал(а): Дело в том, что когда я добавляю в target 2 всю сеть (50+ человек) их всех начинает "тормозить"
Конечно тормозит... ведь вся нагрузка получается на один канал, возможно проблема с "блокировкой" как раз с этим и связана. Попробуйте снизить количество целевых компьютеров.
oleg2015 писал(а): Просто если я сменю свой айпи на айпи другого человека скажем с 10.100.5.15 на 10.100.5.25 то уже мак адрес останется старым, они потом поймут по моему маку что я сменил айпи, будет конфликт айпи адресов.
Так выберете IP который не зарегистрирован в сети на данный момент (который не пингуется), пропишите его (IP) у себя, а мак можно не менять вообще.


Автор темы
oleg2015
Новичок
Сообщения: 8
Зарегистрирован: 16 ноя 2015, 22:13
Репутация: 0
Статус: Не в сети

блокировка в локальной сети за ARP атаку

Сообщение oleg2015 » 17 ноя 2015, 00:56

Я понимаю, но ведь они же увидят мой мак но уже с другим айпи, это вызовет подозрения. Уже пробовал добавлять несколько компьютеров, все-равно блокируют, но уже вручную (админ сети) спустя какое-то время, они думают что у меня вирусы на ПК, которые тормозят всю сеть. 8-) Сейчас попробую поставить другой айпи, но вряд ли что-то выйдет, я уже заблокирован, придется ждать утра..

Аватара пользователя

DesignerMix
Администратор
Администратор
Сообщения: 5211
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 189
Репутация: 601
Откуда: Белгород
Контактная информация:
Статус: Не в сети

блокировка в локальной сети за ARP атаку

Сообщение DesignerMix » 17 ноя 2015, 00:59

Бросали-бы вы это дело, я понимаю там ради интереса или в целях защиты сети этим интересоваться но вот когда атака делается явно на виду админов и систематически + не для целей тестирования то это на мой взгляд не правильно. ИМХО


Автор темы
oleg2015
Новичок
Сообщения: 8
Зарегистрирован: 16 ноя 2015, 22:13
Репутация: 0
Статус: Не в сети

блокировка в локальной сети за ARP атаку

Сообщение oleg2015 » 17 ноя 2015, 01:55

Но как они определят это? Есть специальный софт для отслеживания арп атак в сети, но как я писал выше - там работают некомпетентные люди... Тестировал разные способы смены айпи\мак адреса ничего не получилось, даже вставлял цифры участников сети - тщетно. Да я ничего такого вредного по сути не делаю, ради интереса всё делается. Видимо ничего не сделаешь в этой ситуации?

Аватара пользователя

DesignerMix
Администратор
Администратор
Сообщения: 5211
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 189
Репутация: 601
Откуда: Белгород
Контактная информация:
Статус: Не в сети

блокировка в локальной сети за ARP атаку

Сообщение DesignerMix » 17 ноя 2015, 07:58

Раз ни смена ip ни смена mac-адреса не помогает то очень вероятно что блокируется порт роутера или свича к которому вы подключены. Обойти это можно наверное только получив доступ к управлению свичом или роутером

Отправлено спустя 20 минут 48 секунд:
Было-бы вернее узнать если известно оьорудование. Попробуйте сделать дамп wireshark'ом (без проведения arp-атаки) и потом посмотреть пакеты, возможно свитч или роутер транслирет собственную модель.


Автор темы
oleg2015
Новичок
Сообщения: 8
Зарегистрирован: 16 ноя 2015, 22:13
Репутация: 0
Статус: Не в сети

блокировка в локальной сети за ARP атаку

Сообщение oleg2015 » 17 ноя 2015, 10:19

Да, сегодня узнал. Кабель подключен к свичу на крыше. Видимо блокировка идет по нему. Или только ждать пока включат опять в сеть, потом попробовать выставить мак и айпи другого человека и пропинговать, но тогда отключат его или опять меня). Выходит что ничего тут уже не сделаешь? :thinking:

Аватара пользователя

DesignerMix
Администратор
Администратор
Сообщения: 5211
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 189
Репутация: 601
Откуда: Белгород
Контактная информация:
Статус: Не в сети

блокировка в локальной сети за ARP атаку

Сообщение DesignerMix » 17 ноя 2015, 10:40

oleg2015, наверное можно что-то сделать но надо знать модель свича и то, как именно он блокирует а уже исходя из этих данных разбираться есть-ли способ обхода. Главное узнать среду в которой вы работаете, иначе получается слепое гадание.


Автор темы
oleg2015
Новичок
Сообщения: 8
Зарегистрирован: 16 ноя 2015, 22:13
Репутация: 0
Статус: Не в сети

блокировка в локальной сети за ARP атаку

Сообщение oleg2015 » 17 ноя 2015, 11:33

DesignerMix, звонил лично админу, он сказал что не блокировал, система автоматически блокирует, но с промежутком каким-то оО. Ну получается чтобы это узнать нужно пойти туда поработать) Спасибо за помощь!)

Аватара пользователя

DesignerMix
Администратор
Администратор
Сообщения: 5211
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 189
Репутация: 601
Откуда: Белгород
Контактная информация:
Статус: Не в сети

блокировка в локальной сети за ARP атаку

Сообщение DesignerMix » 17 ноя 2015, 11:44

oleg2015, почему-же, можно попробовать и так разобраться. Скажите MAC-адрес (можно только первые символы) свича или роутера который предположительно блокирует вас.


Автор темы
oleg2015
Новичок
Сообщения: 8
Зарегистрирован: 16 ноя 2015, 22:13
Репутация: 0
Статус: Не в сети

блокировка в локальной сети за ARP атаку

Сообщение oleg2015 » 17 ноя 2015, 12:04

DesignerMix, выслал в лс

Аватара пользователя

DesignerMix
Администратор
Администратор
Сообщения: 5211
Зарегистрирован: 25 апр 2014, 10:51
Есть ответ: 189
Репутация: 601
Откуда: Белгород
Контактная информация:
Статус: Не в сети

блокировка в локальной сети за ARP атаку

Сообщение DesignerMix » 17 ноя 2015, 12:24

Вы мне в личку прислали скриншот WireShark с пакетом PVST+ попробуйте почитать о том, как работает протокол RAPID-PVST и посмотреть эту статью и разобраться как этот протокол может влиять на ваш вопрос заданный в этой теме - http://shop.nag.ru/article/rabota-proto ... ks-i-cisco

Самому мне некогда пока что это изучить так что если разберетесь буду рад если отпишитесь, а там решайте сами интересно вам это на столько чтобы разобраться или нет.


Автор темы
oleg2015
Новичок
Сообщения: 8
Зарегистрирован: 16 ноя 2015, 22:13
Репутация: 0
Статус: Не в сети

блокировка в локальной сети за ARP атаку

Сообщение oleg2015 » 17 ноя 2015, 12:30

DesignerMix, спасибо) буду разбираться сейчас. Я ещё вспомнил, когда первый раз арп атаку производил, то в качестве gateway выставлял не 10.1 а рандомный айпи (то есть любого члена сетки) и пакеты шли от других пользователей так же и меня не блокировали, даже не знаю с чем это связано.

Ответить

Вернуться в «Информационная безопасность»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 1 гость