Форум: "Сети";
Текущий архив: 2004.08.08;
Скачать: [xml.tar.bz2];
ВнизЗаблокировать ARP Найти похожие ветки
← →
DLL (2004-06-10 19:42) [0]Можно ли как-нибудь блокировать все ARP-запросы и ответы с определенного компа (чтоб не прописывать статически таблицу)? И как вообще программно работать с ARP-таблицей? Help! То достали уже в нашей сети такие атаки проводить!
← →
Rouse_ © (2004-06-10 20:44) [1]> Можно ли как-нибудь блокировать все ARP-запросы и ответы
> с определенного
Можно, но что это тебе даст?
> чтоб не прописывать статически таблицу
Чего сказал? Она вообщето динамически строится...
> И как вообще программно работать с ARP-таблицей?
IP Helper IP
> То достали уже в нашей сети такие атаки проводить!
Какого плана атаки? Что-то новое...
← →
DLL (2004-06-10 21:11) [2]>Чего сказал? Она вообщето динамически строится...
Да. Но есть же и утилитка arp, которая позволяет и статически "связывать" IP и MAC. А как это сделать из делфи?
>Можно, но что это тебе даст?
найти методом исключения того засранца, который парализует сеть.
>Какого плана атаки? Что-то новое...
Не слышал про ARP-атаки????? Это когда прходят тебе ARP-ответы с ложными связями IP и MAC для всех компов сети, и ты, ессно, их уже не видешь(опять же если не прописать таблицу статически)
>IP Helper IP
А если с англиским туговато???
Так что насчет моего вопроса? Как в делфи обрабатывать ARP?
← →
Verg © (2004-06-10 22:11) [3]Заблокировать передачу пакетов ты не сможешь. Разве что отключив сетевой шнурок от компа злоумышлинника или повредив его систему (можно еще и в бубен прислать, но... это уже из другой оперы)
> Так что насчет моего вопроса? Как в делфи обрабатывать ARP?
Хм... ты не знаешь как обрабатывать пакеты канального уровня.... но ты точно знаешь, что атака именно ARP.... странно это.
Как? Откуда такие знания?
> Да. Но есть же и утилитка arp, которая позволяет и статически
> "связывать" IP и MAC. А как это сделать из делфи?
Зачем?
> найти методом исключения того засранца, который парализует
> сеть.
Поясни алгоритм, .... в словесной форме.
← →
DLL (2004-06-11 01:10) [4]>Как? Откуда такие знания?
Догадался. Выполнил для известного компа что-то типа arp -s 192.168.0.1 00-01-02-03-04-05 и связь (по крайней мере в эксплорере) с этим компом восстановилась. И ничего здесь странного: вполне можно знать теоритически как проводится подобная атака, но неуметь "обрабатывать пакеты канального уровня".
>Заблокировать передачу пакетов ты не сможешь.
Почему? Разве нельзя заблокировать весь траффик определенного хоста? А как тогда это делают всякие фаерволы?
А насчет алгоритма идея примерно такая: блокировать по одному хосту и проверять связь с компом друга, если появится, то заблокированный и будет тот самый.
>Зачем?
Чтобы во время атаки прога прописала статически все соответствия IP и MAC, предварительно записанные, а по окончанию - сняла.
Так как насчет делфи?
← →
Verg © (2004-06-11 01:43) [5]
> [4] DLL (11.06.04 01:10)
> А как тогда это делают всякие фаерволы?
Нет, файеры тут не при чем. Они могут влиять на проходящий через них трафик, а не на распростроянющийся по сети на канальном уровне. Понимаешь - параллельно, т.е. если кто-то отправил, то это уже все (или кому надо) приняли, а дальше хоть "замахайся кулаками"...
> И ничего здесь странного: вполне можно знать теоритически
> как проводится подобная атака, но неуметь "обрабатывать
> пакеты канального уровн
Именно, что теоритически можно знать о сотнях вариантов атак и не тоьлко по ARP, но почему-то задуматься только об одном из этих вариантов.
К чему бы это?
← →
DLL (2004-06-11 02:21) [6]Да, действительно ARP-запрос не содержит никакой :( информации об отправителе. Но опять же можно(есть такой фаер Conseal) и нужно "ловить" и зпрещать ARP-ответы (пусть даже все), предварительно записав в таблицу трансляций все соответствия.
Но как работать в делфи с ARP-пакетами? На основе сокетов можно? Если да, то как тогда его распознать?
← →
Verg © (2004-06-11 10:02) [7]
> Но как работать в делфи с ARP-пакетами? На основе сокетов
> можно?
Нет, на основе сокетов не получится. Я знаю только один способ - WinPCAP
> Если да, то как тогда его распознать?
Чего распознать?
> Но опять же можно(есть такой фаер Conseal) и нужно "ловить"
> и зпрещать ARP-ответы (пусть даже все),
Conseal - это тот, который от фирмы Signal9? Был такой.
Хм. А разве при его установке ты не заметил, что он устанавливает собственный драйвер ядра (Intermediate драйвер), что это не просто "апликуха" с баттонами?
← →
DLL (2004-06-11 10:17) [8]>...он устанавливает собственный драйвер ядра
Да, ты прав :( Жаль, что низя обойтись простой ""апликухой" с баттонами?"
>Я знаю только один способ - WinPCAP
А есть доки по работе с ним из делфей? Скинь, если не влом, на мыло или дай пару ссылок.
И спасибо что разъяснил что к чему.
← →
Verg © (2004-06-11 10:22) [9]
> Скинь, если не влом, на мыло или дай пару ссылок.
Не, не влом.
http://www.misalpina.com/ghost3k/delphi.php
http://winpcap.polito.it/
В интернете есть такое слово замечательное - google....
← →
DLL (2004-06-11 10:25) [10]Ладно, спасибо большое
Страницы: 1 вся ветка
Форум: "Сети";
Текущий архив: 2004.08.08;
Скачать: [xml.tar.bz2];
Память: 0.47 MB
Время: 0.038 c