Главная страница
Top.Mail.Ru    Яндекс.Метрика
Текущий архив: 2005.01.02;
Скачать: CL | DM;

Вниз

ARP шторм. Да, вот так бывает...   Найти похожие ветки 

 
Verg ©   (2004-12-14 22:51) [0]

Сетка вдруг встала. Сетевая карта показывает полную занятость при абслоютной неактивности никаких приложений.... "предохранитель" IP трафика молчит. Зато орет система о конфликте адресов!. Одеваем бронежилет, выходим на палубу (ETHERNET Sinffer)... "Мама дорогая!" А там такое! За секунду накапливаяется 200-кбайтный лог одних заголовков eth-пакетов примерно такого содержания

PROTO_ARP->00 DF B5 FD B9 FC ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 DF B5 FD B9 FC
PROTO_ARP->00 FD E0 7F 7E E0 ->EF FF FF FF FF FF
PROTO_ARP->00 AA F8 17 50 D8 ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 AA F8 17 50 D8
PROTO_ARP->00 49 FA CA 24 64 ->EF FF FF FF FF FF
PROTO_ARP->00 2D EC CE 7B 69 ->EF FF FF FF FF FF
PROTO_ARP->00 ED 58 DE 2D 11 ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 ED 58 DE 2D 11
PROTO_ARP->00 5D A6 31 4D F1 ->EF FF FF FF FF FF
PROTO_ARP->00 89 C2 15 94 60 ->EF FF FF FF FF FF
PROTO_ARP->00 99 A4 CD 9F B3 ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 99 A4 CD 9F B3
PROTO_ARP->00 2D EC CE 7B 69 ->EF FF FF FF FF FF
PROTO_ARP->00 ED E9 0C 51 A7 ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 ED E9 0C 51 A7
PROTO_ARP->00 FE CC 12 5C 98 ->EF FF FF FF FF FF
PROTO_ARP->00 4C D3 23 B9 DB ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 4C D3 23 B9 DB
PROTO_ARP->00 CC DF 94 16 60 ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 CC DF 94 16 60
PROTO_ARP->00 52 55 35 CA 9B ->EF FF FF FF FF FF
PROTO_ARP->00 D0 9D EA 98 BF ->EF FF FF FF FF FF
PROTO_ARP->00 2D EC CE 7B 69 ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 2D EC CE 7B 69
PROTO_ARP->00 90 4C 9D 8D C5 ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 90 4C 9D 8D C5
PROTO_ARP->00 05 B9 1F 17 A5 ->EF FF FF FF FF FF
PROTO_ARP->00 CD 56 5E 4F 91 ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 CD 56 5E 4F 91
PROTO_ARP->00 DF 5C DC 65 E0 ->EF FF FF FF FF FF
PROTO_ARP->00 5D A6 31 4D F1 ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 5D A6 31 4D F1
PROTO_ARP->00 2D EC CE 7B 69 ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 2D EC CE 7B 69
PROTO_ARP->00 ED 58 DE 2D 11 ->EF FF FF FF FF FF
PROTO_ARP->00 F5 06 61 5B 3D ->EF FF FF FF FF FF
PROTO_ARP->00 B6 3F 7A 34 F8 ->EF FF FF FF FF FF
PROTO_ARP->00 C5 E7 4E 63 32 ->EF FF FF FF FF FF
PROTO_ARP->00 DB B2 8A 9C 86 ->EF FF FF FF FF FF
PROTO_ARP->00 99 A4 CD 9F B3 ->EF FF FF FF FF FF
PROTO_ARP->00 2D EC CE 7B 69 ->EF FF FF FF FF FF
PROTO_ARP->00 E0 2B F1 9B DB ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 E0 2B F1 9B DB
PROTO_ARP->00 C7 B1 96 6D 04 ->EF FF FF FF FF FF
PROTO_ARP->00 2D EC CE 7B 69 ->EF FF FF FF FF FF
PROTO_ARP->00 52 55 35 CA 9B ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 52 55 35 CA 9B
PROTO_ARP->00 9F 35 DF 0D B0 ->00 80 48 25 1E 9C
PROTO_ARP->00 80 48 25 1E 9C ->00 9F 35 DF 0D B0
PROTO_ARP->00 C7 B1 96 6D 04 ->00 80 48 25 1E 9C

ARP пакеты прут с чудовищной скоростью, полностью вытесняя все остальное! Звоню в техслужбу... Сонный голос сначала долго пытается врубиться в реальность. Говорю "Сеть стоит, я даже Ваш шлюз пингануть не могу, путти встал, ходят только UDP и то раз на через десятый. Я работать не могу, SOS!". - "А.....? Кому работа, зачем вам UDP, я сейчас, я не понял, Вы можете назвать свой логин?....". Так, думаю, на вахте спят, черти морские. "Я в интернет не могу выйти!, ни один порносайт не доступен! бяда, говорю, полундра!". Тогда то тело окончательно просыпается и слышны все ускоряющиеся "щелкания" клавиатуры. "Да.... че-т.... даааа!..... ух ты..... блин... даааа!... Я разобраться попытаюсь.... Эта, вы потом перезвоните еще, если что. А как Вы узнали?"
Еще полчаса "праздника ARP протокола" и все успокоилось.......

Хожу, собираю разбросанный штормом по палубе скарб....


 
vecna ©   (2004-12-14 23:04) [1]

да... в свое время был эффективный способ сделать свич хабом, когда оказалось, что на свичах не все приваты в вайпресс чате можно читать =) правда с тех пор свичи "поумнели"..


 
Piter ©   (2004-12-14 23:37) [2]

ну и чего удивительного? Кто-то решил снифернуть логин и пароль Verg"а. И может даже и снифернул.

Это была обычная ARP аттака, направленная на переполнение буфера свитча, чтобы он стал работать как хаб - то есть, ретранслировать пакеты не только на порт назначения, но и сразу всем...

правда с тех пор свичи "поумнели"..

а можно поподробнее? Чем они поумнели?


 
vecna ©   (2004-12-15 00:53) [3]

а вот и по умнели в этом месте...
> переполнение буфера свитча
буфер теперь работает по принципу FIFO: естественно он ограничен, но фактического переполнения не происходит, хранится какое-то количество последних адресов. Если раньше свич нада было перегружать, чтобы сделать его снова свичем, то сейчас этот финт не пройдет. ARP всегда будет на том порте, на котором он последний раз засветился, и свич сам придет в нормальное состояние очень быстро.



Страницы: 1 вся ветка

Текущий архив: 2005.01.02;
Скачать: CL | DM;

Наверх




Память: 0.48 MB
Время: 0.024 c
14-1102531328
begin...end
2004-12-08 21:42
2005.01.02
Выбор монитора


11-1084616878
hammer
2004-05-15 14:27
2005.01.02
Глючит Delphi c kol ом


4-1100697304
cautur
2004-11-17 16:15
2005.01.02
Формат даты Windows


1-1103186106
Mishenka
2004-12-16 11:35
2005.01.02
Добавление элементов в GroupBox?


14-1103051762
Юрий Зотов
2004-12-14 22:16
2005.01.02
Оба-на! Бывает же такое...