05.02.08, Grey Fenrir<[EMAIL PROTECTED]> написал(а): > В Tue, 5 Feb 2008 12:51:49 +0300 > Max Dmitrichenko <[EMAIL PROTECTED]> пишет: > > > On Tuesday 05 February 2008 12:42, Mikhail A Antonov wrote: > > > arping зовут > > > > arping не позволяет использвать чужой MAC-адрес в качестве источника. > > К тому же я тут подумал, что ARP - это жестковато в данном случае. Спуфить > > кэш всех компов в классе - задача не стоит. Необходимо лишь перехитрить свич > > так, чтобы пакеты определенного MAC-адреса он слал не только в ту дырку, где > > живет это MAC-адрес, но и в мою (ну или во все). Точнее адреса должно быть > > два - компутер жертва и default gateway. Соответственно, switch можно просто > > накормить какими-нить фреймами Ethernet. Даже не обязательно, чтобы arp. > > > > Мне казалось, что я где-то читал, что такой метод работает, правда не помню, > > что там за свичи были. > имхо врядли. arp-таблицы обычно содержат только последний запрос для данного > ip. > а хитрить особо не надо - arp не хранит состояние. Другими словами, от не > отличает отзыв на свой запрос от обычной лапши. Достаточно сформировать > arp-пакет с reply, что дескать такой-то ip соответствует такому-то адресу. > Для незаметной прослушки придётся вклинится между узлами - исказить кэш так, > чтобы обмен шел через тебя (та же схема, только не в один, а в два-три хода). > Это должны уметь dsniff, hunt, ettercap.
На свиче (который не 3го уровня) не ARP-таблица (она там есть, но не более чем для управления свичём), а таблица MAC-порт. ARP портят тому, кого хотят послушать. -- Regards, Yuri Kozlov