Заблокировать ARP

← →
DLL (2004-06-10 19:42) [0]

Можно ли как-нибудь блокировать все ARP-запросы и ответы с определенного компа (чтоб не прописывать статически таблицу)? И как вообще программно работать с ARP-таблицей? Help! То достали уже в нашей сети такие атаки проводить!

← →
Rouse_ © (2004-06-10 20:44) [1]

> Можно ли как-нибудь блокировать все ARP-запросы и ответы
> с определенного
Можно, но что это тебе даст?

> чтоб не прописывать статически таблицу
Чего сказал? Она вообщето динамически строится...

> И как вообще программно работать с ARP-таблицей?
IP Helper IP

> То достали уже в нашей сети такие атаки проводить!
Какого плана атаки? Что-то новое...

← →
DLL (2004-06-10 21:11) [2]

>Чего сказал? Она вообщето динамически строится...
Да. Но есть же и утилитка arp, которая позволяет и статически "связывать" IP и MAC. А как это сделать из делфи?

>Можно, но что это тебе даст?
найти методом исключения того засранца, который парализует сеть.

>Какого плана атаки? Что-то новое...
Не слышал про ARP-атаки????? Это когда прходят тебе ARP-ответы с ложными связями IP и MAC для всех компов сети, и ты, ессно, их уже не видешь(опять же если не прописать таблицу статически)

>IP Helper IP
А если с англиским туговато???

Так что насчет моего вопроса? Как в делфи обрабатывать ARP?

← →
Verg © (2004-06-10 22:11) [3]

Заблокировать передачу пакетов ты не сможешь. Разве что отключив сетевой шнурок от компа злоумышлинника или повредив его систему (можно еще и в бубен прислать, но... это уже из другой оперы)

> Так что насчет моего вопроса? Как в делфи обрабатывать ARP?

Хм... ты не знаешь как обрабатывать пакеты канального уровня.... но ты точно знаешь, что атака именно ARP.... странно это.
Как? Откуда такие знания?

> Да. Но есть же и утилитка arp, которая позволяет и статически
> "связывать" IP и MAC. А как это сделать из делфи?

Зачем?

> найти методом исключения того засранца, который парализует
> сеть.

Поясни алгоритм, .... в словесной форме.

← →
DLL (2004-06-11 01:10) [4]

>Как? Откуда такие знания?
Догадался. Выполнил для известного компа что-то типа arp -s 192.168.0.1 00-01-02-03-04-05 и связь (по крайней мере в эксплорере) с этим компом восстановилась. И ничего здесь странного: вполне можно знать теоритически как проводится подобная атака, но неуметь "обрабатывать пакеты канального уровня".

>Заблокировать передачу пакетов ты не сможешь.
Почему? Разве нельзя заблокировать весь траффик определенного хоста? А как тогда это делают всякие фаерволы?

А насчет алгоритма идея примерно такая: блокировать по одному хосту и проверять связь с компом друга, если появится, то заблокированный и будет тот самый.

>Зачем?
Чтобы во время атаки прога прописала статически все соответствия IP и MAC, предварительно записанные, а по окончанию - сняла.

Так как насчет делфи?

← →
Verg © (2004-06-11 01:43) [5]

> [4] DLL (11.06.04 01:10)

> А как тогда это делают всякие фаерволы?

Нет, файеры тут не при чем. Они могут влиять на проходящий через них трафик, а не на распростроянющийся по сети на канальном уровне. Понимаешь - параллельно, т.е. если кто-то отправил, то это уже все (или кому надо) приняли, а дальше хоть "замахайся кулаками"...

> И ничего здесь странного: вполне можно знать теоритически
> как проводится подобная атака, но неуметь "обрабатывать
> пакеты канального уровн

Именно, что теоритически можно знать о сотнях вариантов атак и не тоьлко по ARP, но почему-то задуматься только об одном из этих вариантов.
К чему бы это?

← →
DLL (2004-06-11 02:21) [6]

Да, действительно ARP-запрос не содержит никакой :( информации об отправителе. Но опять же можно(есть такой фаер Conseal) и нужно "ловить" и зпрещать ARP-ответы (пусть даже все), предварительно записав в таблицу трансляций все соответствия.

Но как работать в делфи с ARP-пакетами? На основе сокетов можно? Если да, то как тогда его распознать?

← →
Verg © (2004-06-11 10:02) [7]

> Но как работать в делфи с ARP-пакетами? На основе сокетов
> можно?

Нет, на основе сокетов не получится. Я знаю только один способ - WinPCAP

> Если да, то как тогда его распознать?

Чего распознать?

> Но опять же можно(есть такой фаер Conseal) и нужно "ловить"
> и зпрещать ARP-ответы (пусть даже все),

Conseal - это тот, который от фирмы Signal9? Был такой.

Хм. А разве при его установке ты не заметил, что он устанавливает собственный драйвер ядра (Intermediate драйвер), что это не просто "апликуха" с баттонами?

← →
DLL (2004-06-11 10:17) [8]

>...он устанавливает собственный драйвер ядра
Да, ты прав :( Жаль, что низя обойтись простой ""апликухой" с баттонами?"

>Я знаю только один способ - WinPCAP
А есть доки по работе с ним из делфей? Скинь, если не влом, на мыло или дай пару ссылок.
И спасибо что разъяснил что к чему.

> Скинь, если не влом, на мыло или дай пару ссылок.

Не, не влом.

http://www.misalpina.com/ghost3k/delphi.php
http://winpcap.polito.it/

В интернете есть такое слово замечательное - google....

← →
DLL (2004-06-11 10:25) [10]

Ладно, спасибо большое

Заблокировать ARP Найти похожие ветки