2010/2/4 Petru Ratiu <rpe...@gmail.com>: > 2010/2/4 lonely wolf <wo...@prolinux.ro>: >> Florin Popovici wrote: >>> 2010/2/2 lonely wolf <wo...@prolinux.ro>: >>> >>>> [...] >>>> eu stiu ce face netvision? >>>> acum stind si gindindu-ma, s-ar putea totusi sa gresesc: in mod normal >>>> linuxul ar trebui sa tipe si sa anunte daca observa un conflict de MAC >>>> sau IP , mai ales la ridicarea interfetei. >>>> >>> >>> Umpic de lumina pe ethernet layer2 :) >>> >>> Un host nu are cum sa afle daca ii este furat MAC-ul in retea. Poate >>> doar sa deduca asta din faptul ca dintr-o data are heavy packet loss >>> pe incoming. Din cate stiu, placile de retea nu pun pe sarma frame-uri >>> cu dst_mac = own_mac; si si daca ar pune, in microsecunda >>> receptionarii frame-ului, >> ... care microsecunda dureaza si 30 de sec pe unele ciscoace ... >> >>> Furtul de MAC se poate detecta pe switch-uri, prin activarea detectiei >>> de MAC-flapping. Cand un MAC flapeaza intre 2 porturi, ori e furt de >>> MAC (1 MAC flapeaza), ori bucla nedetectata (N MAC-uri flapeaza). >>> >> cu conditia sa ai switchuri suficient de inteligente, ceea ce nu e >> neaparat cazul la retelele de cartier. e suficient sa ai o cascada de >> 2-3 switchuri chioare si 2 baieti "destepti" si incepi sa faci referiri >> la rude si sarbatori crestine. >> >> >> >> >> si da, ai dreptate, doar conflictul de IP e detectabil local. > > "... fara sa-ti dai jos orice ip, sa setezi alt mac, sa pui interfata > in promiscuous si sa lasi un tcpdump pornit o zi sa vezi daca animalul > n-a scapat ceva protocoale care fac broadcast" sau "... sa astepti cat > sa faci colectie de clasele de ip-uri care-s la tine in retea, sa-ti > ridici un ip care pare nefolosit (cu tot cu un mac de vmware sau ceva) > si sa faci un arp scan pe toate clasele alea pana gasesti animalu' > (desi cine iti fura macul iti fura in general si ip-ul ca na)" >
exact. Si daca lasi un ping sa mearga tot timpul atunci toti de pe traseul layer2 stiu MAC-ul tau in permanenta. In alta ordine de ideei intr-o astfel de retea fara portsecurity sau ACL cu mac predefinit/port il poti baga si pe macof din dsniff >:) macof => individul ce baga mii de macuri/secunda intr-o retea. Pentru ca tot am deviat de la subiect... oamenii de rand aseamana retelele utp layer 2 cu tevile de apa. Cine vrea sa se documenteze despre ce se poate intampla intr-o retea layer 2 recomand Security Features on Switches de la ciscopress. Imi cer scuze pt offtopic, Bazy _______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
