PDA

Просмотр полной версии : Подмена ip



belfigor
24.06.2007, 06:25
Доброго всем дня или ночи , люди добрые помогите советом , в нашей локальной сети постоянно кто то подменяет свой ip , суть : Outpost Firewall Pro постоянно выдаёт сообщение : атака-подмена ip , ip -атакующего 255.255.255.255 , просмотреть все подключения с помощью команды netstat , мне не помогает, так как я держу хаб и у меня бывает до 100 подключений к моему компу , скажите с помощью какой программы можно определить настоящий ip атакующего , и если не сложно объясните , как он это делает ??? Я пробывал подменить свой ip , но после этого вообще не могу выйти в сеть , прокси, как я знаю у нас нет, подлючение , например в WAN- DML **** , в локалку LDML , пожалуйста помогите , просто задолбали уже ...cry

drongo
24.06.2007, 09:36
Похоже по теме ;)Насчёт защиты там тоже есть абзац.
:http:cherepovets-city.ru/insecure/runmap/runmap-idlescan.htm

SDA
24.06.2007, 16:01
Подмена сетевого адреса (IP-spoofing)

IP-спуфинг происходит, когда хакер, находящийся внутри или вне корпорации, выдаёт себя за санкционированного пользователя. Это можно сделать двумя способами. Во-первых, хакер может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определённым сетевым ресурсам.

Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример – атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера.

Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверных приложением или по каналу связи между одноранговыми устройствами.

Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:

1. Контроль доступа. Самый простой способ предотвращения IP-спуфинга состоит в правильной настройке управления доступом. Чтобы снизить эффективность IP-спуфинга, настройте контроль доступа на отсечение любого трафика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри вашей сети. Заметим, что это не помогает бороться с IP-спуфингом на транзитных узлах сети.



1. Фильтрация RFC2827. Можно пресечь попытки спуфинга чужих сетей пользователям вашей сети (и стать добропорядочными “сетевым гражданином ”). Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации. Этот тип фильтрации, известный под названием “RFC2827”, может выполнять и ваш провайдер (ISP). В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определённом интерфейсе.

Наиболее эффективный метод борьбы с IP-спуфингом тот же, что и в случае со перехватом (sniffing) пакетов: необходимо сделать атаку абсолютно неэффективной. IP-спуфинг может функционировать только при условии, что аутентификация происходит на основе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает этот вид атак бесполезными.

Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.
и здесь http://project.net.ru/security/article9/g2.html

Gluconate
24.06.2007, 18:57
Outpost Firewall Pro постоянно выдаёт сообщение : атака-подмена ip , ip -атакующего 255.255.255.255
Outpost глючит.

belfigor
24.06.2007, 22:52
Да вроде нет , всё настроенно правельно , и не только такое бывает у меня , многие жалуются , не может же он глючить сразу у 10 человек ???

Numb
25.06.2007, 01:26
Да вроде нет , всё настроенно правельно , и не только такое бывает у меня , многие жалуются , не может же он глючить сразу у 10 человек ???

http://forum.five.mhost.ru/showthread.php?t=2419&highlight=%EF%EE%E4%EC%E5%ED%E0+ip+255.255.255.255 Ваш случай? Если да, то там же общие рекомендации и предположения о природе атак.

belfigor
25.06.2007, 04:05
http://forum.five.mhost.ru/showthread.php?t=2419&highlight=%EF%EE%E4%EC%E5%ED%E0+ip+255.255.255.255 Ваш случай? Если да, то там же общие рекомендации и предположения о природе атак.

Да, большое спасибо :) Хорошо бы было если бы это было ложное срабатывание .

belfigor
25.06.2007, 04:06
Подмена сетевого адреса (IP-spoofing)

IP-спуфинг происходит, когда хакер, находящийся внутри или вне корпорации, выдаёт себя за санкционированного пользователя. Это можно сделать двумя способами. Во-первых, хакер может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определённым сетевым ресурсам.

Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример – атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера.

Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверных приложением или по каналу связи между одноранговыми устройствами.

Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:

1. Контроль доступа. Самый простой способ предотвращения IP-спуфинга состоит в правильной настройке управления доступом. Чтобы снизить эффективность IP-спуфинга, настройте контроль доступа на отсечение любого трафика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри вашей сети. Заметим, что это не помогает бороться с IP-спуфингом на транзитных узлах сети.



1. Фильтрация RFC2827. Можно пресечь попытки спуфинга чужих сетей пользователям вашей сети (и стать добропорядочными “сетевым гражданином ”). Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации. Этот тип фильтрации, известный под названием “RFC2827”, может выполнять и ваш провайдер (ISP). В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определённом интерфейсе.

Наиболее эффективный метод борьбы с IP-спуфингом тот же, что и в случае со перехватом (sniffing) пакетов: необходимо сделать атаку абсолютно неэффективной. IP-спуфинг может функционировать только при условии, что аутентификация происходит на основе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает этот вид атак бесполезными.

Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.
и здесь http://project.net.ru/security/article9/g2.html

И вам спасибо , тоже нашёл много интересного :)

Jolly Rojer
25.06.2007, 08:56
Скорей всего у когото стоит снифер он и осуществляет временную подмену IP

alabama
24.07.2007, 00:16
Посмотри wireshark'ом кто тебе что присылает. Особенно протокол ARP и найди там MAC "атакующего", он правда скорее всего будет левым. Посмотри также пакеты ICMP.