2010/2/4 lonely wolf <wo...@prolinux.ro>: > Florin Popovici wrote: >> 2010/2/2 lonely wolf <wo...@prolinux.ro>: >> >>> [...] >>> eu stiu ce face netvision? >>> acum stind si gindindu-ma, s-ar putea totusi sa gresesc: in mod normal >>> linuxul ar trebui sa tipe si sa anunte daca observa un conflict de MAC >>> sau IP , mai ales la ridicarea interfetei. >>> >> >> Umpic de lumina pe ethernet layer2 :) >> >> Un host nu are cum sa afle daca ii este furat MAC-ul in retea. Poate >> doar sa deduca asta din faptul ca dintr-o data are heavy packet loss >> pe incoming. Din cate stiu, placile de retea nu pun pe sarma frame-uri >> cu dst_mac = own_mac; si si daca ar pune, in microsecunda >> receptionarii frame-ului, > ... care microsecunda dureaza si 30 de sec pe unele ciscoace ... > >> Furtul de MAC se poate detecta pe switch-uri, prin activarea detectiei >> de MAC-flapping. Cand un MAC flapeaza intre 2 porturi, ori e furt de >> MAC (1 MAC flapeaza), ori bucla nedetectata (N MAC-uri flapeaza). >> > cu conditia sa ai switchuri suficient de inteligente, ceea ce nu e > neaparat cazul la retelele de cartier. e suficient sa ai o cascada de > 2-3 switchuri chioare si 2 baieti "destepti" si incepi sa faci referiri > la rude si sarbatori crestine. > > > > > si da, ai dreptate, doar conflictul de IP e detectabil local.
"... fara sa-ti dai jos orice ip, sa setezi alt mac, sa pui interfata in promiscuous si sa lasi un tcpdump pornit o zi sa vezi daca animalul n-a scapat ceva protocoale care fac broadcast" sau "... sa astepti cat sa faci colectie de clasele de ip-uri care-s la tine in retea, sa-ti ridici un ip care pare nefolosit (cu tot cu un mac de vmware sau ceva) si sa faci un arp scan pe toate clasele alea pana gasesti animalu' (desi cine iti fura macul iti fura in general si ip-ul ca na)" -- Petre "don't thread on me" Ratiu _______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
