November 9, 2001
kan man känna/blocka/störa arp posion i ett windows system?
vi har en hackare på vårt bredband
sydkraft bredband 0.512KBps ner 125 upp)
Som sitter med linux, ethercap/dsniff och spoffar/sniffar han har hackat dns och dhcp och byta lösenord på pop3 kontona mm.
snart tar han slingan med och lösen så
hjälp önskas innan vi har cabelmoden på 64 upp och ner ;-(.
November 9, 2001
arp posion är när användaren förstör paketen och korrupterar orginal mac och orginal sändare av paketet.
dett innebär att det blir skräp ut/in för servern om man försöker kolla men det finns en bergänsning man kan bara köra det om man sitter på samma subnät och bara en användare kan göra det åt gången. annars finns det två svarta hål som snor paket på nätet.
November 9, 2001
en brandvägg i windows är inte en portlyssnare den ser inte arp/spofing mm efter pakten lämnat datorn har man ingen kontroll.
i linux så har nästan varje brandvägg detta skyddet.
Jag kör själv zonealarm pro och tilåter nästan inget in, han underfär 300 larm om dagen;-)
July 2, 2001
On 2001-11-09 01:15, abraggg wrote:
arp posion är när användaren förstör paketen och korrupterar orginal mac och orginal sändare av paketet.
Nja, inte riktigt. ARP poison är att man fakear MAC-addressen på IP-paket i det egna subnätet.
På så sätt kan man lura en switch att ens egna dator är gateway. Vilket gör att man kan sniffa ett switchat nätverk.
Dator1 vill skicka trafik mot gateway, switchen vet att gateway sitter på port 7 och skickar all trafik som ska över gateway till port 7. Elakingen på dator 11 kör ettercap eller annat program och lurar switchen med att säga att dator 11 har den macadress som gateway egentligen har. Därför kommer nu switchen att skicka all trafik från dator 1 som ska över gateway via port 11 (där datorn 11 finns), dator 11 kan nu meckla med trafiken och skicka vidare till riktiga gateway. BOYAKASCHA!!!!
Dock så kan moderna switchar hantera detta genom bl.a. låsa macadresserna på switchens portar så att dom inte uppdateras dynamiskt.
May 29, 2001
On 2001-11-09 10:49, 69link wrote:
On 2001-11-09 01:15, abraggg wrote:
arp posion är när användaren förstör paketen och korrupterar orginal mac och orginal sändare av paketet.Nja, inte riktigt. ARP poison är att man fakear MAC-addressen på IP-paket i det egna subnätet.
På så sätt kan man lura en switch att ens egna dator är gateway. Vilket gör att man kan sniffa ett switchat nätverk.
Dator1 vill skicka trafik mot gateway, switchen vet att gateway sitter på port 7 och skickar all trafik som ska över gateway till port 7. Elakingen på dator 11 kör ettercap eller annat program och lurar switchen med att säga att dator 11 har den macadress som gateway egentligen har. Därför kommer nu switchen att skicka all trafik från dator 1 som ska över gateway via port 11 (där datorn 11 finns), dator 11 kan nu meckla med trafiken och skicka vidare till riktiga gateway. BOYAKASCHA!!!!
Dock så kan moderna switchar hantera detta genom bl.a. låsa macadresserna på switchens portar så att dom inte uppdateras dynamiskt.
bra förklarat, då har man lärt sig något nytt
November 9, 2001
ja. ett kunnigt svar.
jag har ingen utbildning men läst mig till det lilla som jag skrev och förstod.
finns det någon function i windows man kan aktivera för att störa överhuvet taget?
i windows 2000 finns det en hel den nätverksinstälningar som inte finns i win9x.
något borde göra en lite säkrare?.
July 2, 2001
Felet ligger ju hos Sydkraft som inte kan designa ett bredbandsnät.
Telia ADSL hade i början en knepig IP-addressering som några av er säkert känner till typ: 213.13.13.58/255.255.255.252
Där är ju
.56 nätadressen
.57 gateway
.58 IP för hosten
.59 broadcast för det lilla subnätet
Jag antar att dom hade detta innan för att motverka ARP poisoning. Ingen kan ju ta ett giltigt IP och lura switchen där.. Men nu tror jag dom har löst det på en helt annan nivå redan i deras switch/router.
July 2, 2001
Du kan komma förbi elakingen (antar jag, inte testat) genom att sätta en statiskt mac-address i din arp-tabell som pekar på den riktiga gatewayens MAC-address. Det går i NT/w2k/XP/linux iaf.
Example:
> arp -s 157.55.85.212 00-aa-00-62-c6-09 .... Adds a static entry.
Jag hittade en riktigt teknisk sida här:
http://packetstorm.decepticons.....v_1.00.htm
Jag tycker du ska polisanmäla personen som gör detta. Hade detta hänt mig så skulle jag bli så f-ns j**la förbannad!!!
[ Detta Inlägg ändrades av: 69link den 2001-11-09 20:02 ]
3 Guest(s)