On Fri, Aug 29, 2003 at 11:46:13PM +0200, Roman Kalukiewicz wrote: > > ps. ja wycinam po iptables i mac > > Jak do tego sie jeszcze dolozy DROP reszty ruchu i ciachanie po MAC > to sa bez szans. > > No i tego chyba tak latwo nie obleza :]
<fragment dla wszystkich> Nie bylbym taki pewny - MACa mozna swobodnie zmienic i nawet jesli filtrujesz wszystkie 'nielegalne' pary MAC<->IP, to taki juzer moze zawsze przypisac sobie pare nalezaca do innego (placacego) uzytkownika. <fragment dla nieplacacych;> Oczywiscie pojawia sie problem gdy uzytkownik od ktorego 'pozyczony' jest adres wlaczy swoj komputer i w sieci beda 2 karty z tym samym IP oraz MAC. W zapanowaniu nad tak taka sytuacja pomoze 'kradziejowi' prosty programik sluchajacy za pakietami przychodzacymi z zewnatrz, a posiadajacymi ten sam MAC i src-IP co 'jego'. pelny koncept dla nieplacacych (mozliwy do zrealizowania _nie tylko_ pod linuxem): narzedzia: a) lista 'legalnych' (przepuszczanych przez router) par adresow MAC<->IP nalezacych do innych uzytkownikow sieci b) skrypt, ktory pinguje kolejne hosty z ww. listy i zmienia ustawienia interfejsu na pierwsza napotkana wylaczona (nieodpowiadajaca na pingi) pare MAC<->IP c) program, ktory nasluchuje na 'kradzionym' interfejsie w oczekiwaniu na pakiety przychodzace z zewnatrz a posiadajace takie same adresy (src-IP, MAC) schemat: 1) odpalamy program (c) 2) odpalamy skrypt (b) i cieszymy sie dostepem do internetu 3) kiedy program (c) wykryje, ze uzytkownik od ktorego pozyczylismy IP<->MAC wlaczyl komputer odpala skrypt (b) [i tak w kolko :-] uwaga: czeste zmienianie IP oczywiscie powoduje zrywanie polaczen tudziez inne rewelacje, ale na dluzsza mete da sie z tego korzystac (darowanemu koniowi...) <fragment dla adminow i zbyt optymistycznych nieplacacych> Wszystkie metody programowe przy typowym schemacie sieci (klienci <-> prosty switch <-> router <-> internet) sa mozliwe do obejscia. Na wszystko jednak znajdzie sie metoda: - fizycznie odlaczamy typa od huba/switcha/routera (co jest z oczywistych wzgledow niewygodne) - inwestujemy w switcha, w ktorym mozna na sztywno przypisac jaki adres nalezy sie ktoremu fizycznemu gniazdku Czy cos pominalem, przeoczylem, przecenilem? gk -- _______________________________________________________ | /)/) | Grzegorz Kusnierz | GG: 1799993 | ( xx\ | [EMAIL PROTECTED] | http://www.bezkitu.com | /'-._) | [EMAIL PROTECTED] | * radio * bez * kitu * | /#/ U \__________________________________________________/#/