ARP шторм. Да, вот так бывает...

← →
Verg © (2004-12-14 22:51) [0]

Сетка вдруг встала. Сетевая карта показывает полную занятость при абслоютной неактивности никаких приложений.... "предохранитель" IP трафика молчит. Зато орет система о конфликте адресов!. Одеваем бронежилет, выходим на палубу (ETHERNET Sinffer)... "Мама дорогая!" А там такое! За секунду накапливаяется 200-кбайтный лог одних заголовков eth-пакетов примерно такого содержания

PROTO_ARP->00 DF B5 FD B9 FC ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 DF B5 FD B9 FC
PROTO_ARP->00 FD E0 7F 7E E0 ->EF FF FF FF FF FF
PROTO_ARP->00 AA F8 17 50 D8 ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 AA F8 17 50 D8
PROTO_ARP->00 49 FA CA 24 64 ->EF FF FF FF FF FF
PROTO_ARP->00 2D EC CE 7B 69 ->EF FF FF FF FF FF
PROTO_ARP->00 ED 58 DE 2D 11 ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 ED 58 DE 2D 11
PROTO_ARP->00 5D A6 31 4D F1 ->EF FF FF FF FF FF
PROTO_ARP->00 89 C2 15 94 60 ->EF FF FF FF FF FF
PROTO_ARP->00 99 A4 CD 9F B3 ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 99 A4 CD 9F B3
PROTO_ARP->00 2D EC CE 7B 69 ->EF FF FF FF FF FF
PROTO_ARP->00 ED E9 0C 51 A7 ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 ED E9 0C 51 A7
PROTO_ARP->00 FE CC 12 5C 98 ->EF FF FF FF FF FF
PROTO_ARP->00 4C D3 23 B9 DB ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 4C D3 23 B9 DB
PROTO_ARP->00 CC DF 94 16 60 ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 CC DF 94 16 60
PROTO_ARP->00 52 55 35 CA 9B ->EF FF FF FF FF FF
PROTO_ARP->00 D0 9D EA 98 BF ->EF FF FF FF FF FF
PROTO_ARP->00 2D EC CE 7B 69 ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 2D EC CE 7B 69
PROTO_ARP->00 90 4C 9D 8D C5 ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 90 4C 9D 8D C5
PROTO_ARP->00 05 B9 1F 17 A5 ->EF FF FF FF FF FF
PROTO_ARP->00 CD 56 5E 4F 91 ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 CD 56 5E 4F 91
PROTO_ARP->00 DF 5C DC 65 E0 ->EF FF FF FF FF FF
PROTO_ARP->00 5D A6 31 4D F1 ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 5D A6 31 4D F1
PROTO_ARP->00 2D EC CE 7B 69 ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 2D EC CE 7B 69
PROTO_ARP->00 ED 58 DE 2D 11 ->EF FF FF FF FF FF
PROTO_ARP->00 F5 06 61 5B 3D ->EF FF FF FF FF FF
PROTO_ARP->00 B6 3F 7A 34 F8 ->EF FF FF FF FF FF
PROTO_ARP->00 C5 E7 4E 63 32 ->EF FF FF FF FF FF
PROTO_ARP->00 DB B2 8A 9C 86 ->EF FF FF FF FF FF
PROTO_ARP->00 99 A4 CD 9F B3 ->EF FF FF FF FF FF
PROTO_ARP->00 2D EC CE 7B 69 ->EF FF FF FF FF FF
PROTO_ARP->00 E0 2B F1 9B DB ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 E0 2B F1 9B DB
PROTO_ARP->00 C7 B1 96 6D 04 ->EF FF FF FF FF FF
PROTO_ARP->00 2D EC CE 7B 69 ->EF FF FF FF FF FF
PROTO_ARP->00 52 55 35 CA 9B ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 52 55 35 CA 9B
PROTO_ARP->00 9F 35 DF 0D B0 ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 9F 35 DF 0D B0
PROTO_ARP->00 C7 B1 96 6D 04 ->00 80 48 25 1E 9C

ARP пакеты прут с чудовищной скоростью, полностью вытесняя все остальное! Звоню в техслужбу... Сонный голос сначала долго пытается врубиться в реальность. Говорю "Сеть стоит, я даже Ваш шлюз пингануть не могу, путти встал, ходят только UDP и то раз на через десятый. Я работать не могу, SOS!". - "А.....? Кому работа, зачем вам UDP, я сейчас, я не понял, Вы можете назвать свой логин?....". Так, думаю, на вахте спят, черти морские. "Я в интернет не могу выйти!, ни один порносайт не доступен! бяда, говорю, полундра!". Тогда то тело окончательно просыпается и слышны все ускоряющиеся "щелкания" клавиатуры. "Да.... че-т.... даааа!..... ух ты..... блин... даааа!... Я разобраться попытаюсь.... Эта, вы потом перезвоните еще, если что. А как Вы узнали?"
Еще полчаса "праздника ARP протокола" и все успокоилось.......

Хожу, собираю разбросанный штормом по палубе скарб....

← →
vecna © (2004-12-14 23:04) [1]

да... в свое время был эффективный способ сделать свич хабом, когда оказалось, что на свичах не все приваты в вайпресс чате можно читать =) правда с тех пор свичи "поумнели"..

← →
Piter © (2004-12-14 23:37) [2]

ну и чего удивительного? Кто-то решил снифернуть логин и пароль Verg"а. И может даже и снифернул.

Это была обычная ARP аттака, направленная на переполнение буфера свитча, чтобы он стал работать как хаб - то есть, ретранслировать пакеты не только на порт назначения, но и сразу всем...

правда с тех пор свичи "поумнели"..

а можно поподробнее? Чем они поумнели?

а вот и по умнели в этом месте...
> переполнение буфера свитча
буфер теперь работает по принципу FIFO: естественно он ограничен, но фактического переполнения не происходит, хранится какое-то количество последних адресов. Если раньше свич нада было перегружать, чтобы сделать его снова свичем, то сейчас этот финт не пройдет. ARP всегда будет на том порте, на котором он последний раз засветился, и свич сам придет в нормальное состояние очень быстро.

ARP шторм. Да, вот так бывает... Найти похожие ветки