05.02.08, Grey Fenrir<[EMAIL PROTECTED]> написал(а):
> В Tue, 5 Feb 2008 12:51:49 +0300
> Max Dmitrichenko <[EMAIL PROTECTED]> пишет:
>
> > On Tuesday 05 February 2008 12:42, Mikhail A Antonov wrote:
> > > arping зовут
> >
> > arping не позволяет использвать чужой MAC-адрес в качестве источника.
> > К тому же я тут подумал, что ARP - это жестковато в данном случае. Спуфить
> > кэш всех компов в классе - задача не стоит. Необходимо лишь перехитрить свич
> > так, чтобы пакеты определенного MAC-адреса он слал не только в ту дырку, где
> > живет это MAC-адрес, но и в мою (ну или во все). Точнее адреса должно быть
> > два - компутер жертва и default gateway. Соответственно, switch можно просто
> > накормить какими-нить фреймами Ethernet. Даже не обязательно, чтобы arp.
> >
> > Мне казалось, что я где-то читал, что такой метод работает, правда не помню,
> > что там за свичи были.
> имхо врядли. arp-таблицы обычно содержат только последний запрос для данного 
> ip.
> а хитрить особо не надо - arp не хранит состояние. Другими словами, от не 
> отличает отзыв на свой запрос от обычной лапши. Достаточно сформировать 
> arp-пакет с reply, что дескать такой-то ip соответствует такому-то адресу.
> Для незаметной прослушки придётся вклинится между узлами - исказить кэш так, 
> чтобы обмен шел через тебя (та же схема, только не в один, а в два-три хода). 
> Это должны уметь dsniff, hunt, ettercap.

На свиче (который не 3го уровня) не ARP-таблица (она там есть,
но не более чем для управления свичём), а таблица MAC-порт.
ARP портят тому, кого хотят послушать.

-- 
Regards,
Yuri Kozlov

Ответить