Подмена ip

Доброго всем дня или ночи , люди добрые помогите советом , в нашей локальной сети постоянно кто то подменяет свой ip , суть : Outpost Firewall Pro постоянно выдаёт сообщение : атака-подмена ip , ip -атакующего 255.255.255.255 , просмотреть все подключения с помощью команды netstat , мне не помогает, так как я держу хаб и у меня бывает до 100 подключений к моему компу , скажите с помощью какой программы можно определить настоящий ip атакующего , и если не сложно объясните , как он это делает ??? Я пробывал подменить свой ip , но после этого вообще не могу выйти в сеть , прокси, как я знаю у нас нет, подлючение , например в WAN- DML **** , в локалку LDML , пожалуйста помогите , просто задолбали уже ...cry

Похоже по теме ;)Насчёт защиты там тоже есть абзац.
:http:cherepovets-city.ru/insecure/runmap/runmap-idlescan.htm

Подмена сетевого адреса (IP-spoofing)

IP-спуфинг происходит, когда хакер, находящийся внутри или вне корпорации, выдаёт себя за санкционированного пользователя. Это можно сделать двумя способами. Во-первых, хакер может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определённым сетевым ресурсам.

Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример – атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера.

Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверных приложением или по каналу связи между одноранговыми устройствами.

Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:

1. Контроль доступа. Самый простой способ предотвращения IP-спуфинга состоит в правильной настройке управления доступом. Чтобы снизить эффективность IP-спуфинга, настройте контроль доступа на отсечение любого трафика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри вашей сети. Заметим, что это не помогает бороться с IP-спуфингом на транзитных узлах сети.



1. Фильтрация RFC2827. Можно пресечь попытки спуфинга чужих сетей пользователям вашей сети (и стать добропорядочными “сетевым гражданином ”). Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации. Этот тип фильтрации, известный под названием “RFC2827”, может выполнять и ваш провайдер (ISP). В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определённом интерфейсе.

Наиболее эффективный метод борьбы с IP-спуфингом тот же, что и в случае со перехватом (sniffing) пакетов: необходимо сделать атаку абсолютно неэффективной. IP-спуфинг может функционировать только при условии, что аутентификация происходит на основе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает этот вид атак бесполезными.

Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.
и здесь [url]http://project.net.ru/security/article9/g2.html[/url]

[QUOTE=belfigor;117819]Outpost Firewall Pro постоянно выдаёт сообщение : атака-подмена ip , ip -атакующего 255.255.255.255[/QUOTE]
Outpost глючит.

Да вроде нет , всё настроенно правельно , и не только такое бывает у меня , многие жалуются , не может же он глючить сразу у 10 человек ???

[quote=belfigor;117943]Да вроде нет , всё настроенно правельно , и не только такое бывает у меня , многие жалуются , не может же он глючить сразу у 10 человек ???[/quote]

[URL]http://forum.five.mhost.ru/showthread.php?t=2419&highlight=%EF%EE%E4%EC%E5%ED%E0+ip+255.255.255.255[/URL] Ваш случай? Если да, то там же общие рекомендации и предположения о природе атак.

[quote=Numb;117958][URL]http://forum.five.mhost.ru/showthread.php?t=2419&highlight=%EF%EE%E4%EC%E5%ED%E0+ip+255.255.255.255[/URL] Ваш случай? Если да, то там же общие рекомендации и предположения о природе атак.[/quote]

Да, большое спасибо :) Хорошо бы было если бы это было ложное срабатывание .

[quote=SDA;117869]Подмена сетевого адреса (IP-spoofing)

IP-спуфинг происходит, когда хакер, находящийся внутри или вне корпорации, выдаёт себя за санкционированного пользователя. Это можно сделать двумя способами. Во-первых, хакер может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определённым сетевым ресурсам.

Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример – атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера.

Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверных приложением или по каналу связи между одноранговыми устройствами.

Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:

1. Контроль доступа. Самый простой способ предотвращения IP-спуфинга состоит в правильной настройке управления доступом. Чтобы снизить эффективность IP-спуфинга, настройте контроль доступа на отсечение любого трафика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри вашей сети. Заметим, что это не помогает бороться с IP-спуфингом на транзитных узлах сети.



1. Фильтрация RFC2827. Можно пресечь попытки спуфинга чужих сетей пользователям вашей сети (и стать добропорядочными “сетевым гражданином ”). Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации. Этот тип фильтрации, известный под названием “RFC2827”, может выполнять и ваш провайдер (ISP). В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определённом интерфейсе.

Наиболее эффективный метод борьбы с IP-спуфингом тот же, что и в случае со перехватом (sniffing) пакетов: необходимо сделать атаку абсолютно неэффективной. IP-спуфинг может функционировать только при условии, что аутентификация происходит на основе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает этот вид атак бесполезными.

Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.
и здесь [URL]http://project.net.ru/security/article9/g2.html[/URL][/quote]

И вам спасибо , тоже нашёл много интересного :)

Скорей всего у когото стоит снифер он и осуществляет временную подмену IP

Посмотри wireshark'ом кто тебе что присылает. Особенно протокол ARP и найди там MAC "атакующего", он правда скорее всего будет левым. Посмотри также пакеты ICMP.