IPB
Вход
Логин: Пароль:Забыли пароль?
Запомнить вас на этом компьютере?
Войти скрытым?

Здравствуйте, гость ( Вход | Регистрация )

8 страниц V   1 2 3 > »   
Reply to this topicStart new topic

ЗАЩИТА ОТ ПОДМЕНЫ РОУТЕРА


nekoth
Некотяй
Вставить ник
Цитата
*****
Группа: Администраторы
Сообщений: 584
Регистрация: 24.2.2006

Репутация:   134  


Сообщение #1 сообщение 26.12.2007, 15:12
Удав недавно писал уже про гуляющий у нас вирус, сейчас с ним стало совсем хреново, куча народа заражена и лечиться не хочет, от того страдает вся сеть.
Суть заключается в том, что зараженная машина подменяет собой роутер и работает вместо него, из-за чего всё глючит и тормозит.
С зараженным народом в меру сил и возможностей мы пытаемся разобраться, но тем не менее необходимо дополнительное решение.
К сообщению прилагается программа antispoof - фактически эта программа жестко привязывает ip-адрес любой машины к её mac-адресу (вирус подменяет mac-адрес роутера на свой). Таким образом, поставив эту программку в автозагрузку - вы получите защиту от подмены роутера.
Пока-что настраивать её придется вручную для каждой подсети, позже сделаю готовые пакеты для разных подсетей.
Настройка:
В файле antispoof.ini прописать ip-адрес вашего роутера и его-же mac-адрес в той форме, как показано в прилагающемся примере, а также указать номер адаптера (про номер адаптера не забывайте - он бывает разный!).
Все эти параметры вы можете посмотреть на своей машине введя arp -a в консоли.
Пример настроен для 6ой подсети, можно им и пользоваться smile.gif

MAC-адреса роутеров:
6.1/10.1/11.1 - 00:16:E0:24:90:60
1.1/2.1/3.1 - 00:16:E0:0B:8E:40
2.201/102.1 - 00:00:cd:24:4a:92
8.14/18.1 - 00:16:E0:25:CD:60
4.1/5.1/7.1 - 00:16:E0:BF:EE:00
14.1 - 00:16:E0:BF:61:00
14.14/17.14 - 00:1A:C1:95:B3:C0
18.222/19.1/20.1/21.1 - 00:16:E0:25:1E:E0
2.222/103.1/104.1/105.1/108.1/109.1/115.1 - 00:00:cd:23:8b:ae
115.14/114.1/112.1 - 00:16:E0:C0:49:80
Прикрепленные файлы
Прикрепленный файл  Antispoof.zip ( 5.16 килобайт ) Кол-во скачиваний: 255
 

Go to the top of the page
+Quote Post
QQZ
Злостный флудер
Вставить ник
Цитата
******
Группа: Пользователи
Сообщений: 3542
Регистрация: 25.2.2006

Репутация:   400  


Сообщение #2 сообщение 26.12.2007, 17:46
Ты бы выдал правильные мак-адресы для подсетей, а то что толку прописывать, если он вдруг подменен.

Go to the top of the page
+Quote Post
hell
[..............................................................]
Вставить ник
Цитата
******
Группа: Супермодераторы
Сообщений: 2295
Регистрация: 24.2.2006

Репутация:   470  


Сообщение #3 сообщение 26.12.2007, 17:56
по-моему это все непродуктивно.если уж пользователи на свои компы антивирус поставить не смогли,то эту прогу уж точно не установят.к томуже,большая часть просто не увидет твое сообщение.

Go to the top of the page
+Quote Post
Rusdiver
Читер
Вставить ник
Цитата
*****
Группа: Супермодераторы
Сообщений: 692
Регистрация: 3.12.2006
Из: интернета

Репутация:   727  


Сообщение #4 сообщение 26.12.2007, 18:06
А нельзя в UTM всем сообщения разослать? ведь ими пользуются все, а на форум намного меньше народу заходит! Разослать всем сообщение, так и так и дать ссылку на тему (их туча уже на форуме), чтобы скачали и установили и кого-нить консультантом назначить по возникающим вопросам.

Go to the top of the page
+Quote Post
Black-Shark
Герой нашего времени
Вставить ник
Цитата
*****
Группа: Пользователи
Сообщений: 967
Регистрация: 25.8.2007

Репутация:   109  


Сообщение #5 сообщение 26.12.2007, 18:17
Согласен с Русдивером, разошлите всем сообщение по УТМ! А то уже надоело, из-за этих нубов сеть вообще не пашет!!!! mad.gif

Go to the top of the page
+Quote Post
`silent`
Профайлер
Вставить ник
Цитата
******
Группа: Пользователи
Сообщений: 1568
Регистрация: 8.7.2006
Из: 666
Профиль ВКонтакте ВКонтакте

Репутация:   332  


Сообщение #6 сообщение 26.12.2007, 18:27
предлагаю зараженных забанить на 2.14 и 2.100. при звонке в совтен им объяснить, что они наносят вред сети. (без компенсации biggrin.gif ) . и сообщить чтоб антивирь ставили...

Go to the top of the page
+Quote Post
t-people
Вставить ник
Цитата
******
Группа: Администраторы
Сообщений: 3245
Регистрация: 24.2.2006
Из: Силламяэ, Эстония
Профиль ВКонтакте ВКонтакте

Репутация:   582  


Сообщение #7 сообщение 26.12.2007, 18:31
Не помогает...

Код
Интерфейс: 0.0.0.0 --- 0x2
  Адрес IP              Физический адрес      Тип
  192.168.3.1           00-16-e0-0b-8e-41     статический

Интерфейс: 192.168.1.82 --- 0x3
  Адрес IP              Физический адрес      Тип
  192.168.3.1           00-16-e0-0b-8e-41     динамический
  192.168.3.9           00-1b-11-87-cc-bf     динамический
  192.168.3.61          00-80-48-4e-18-6c     динамический
  192.168.3.95          00-e0-4c-45-3f-ef     динамический

Go to the top of the page
+Quote Post
nekoth
Некотяй
Вставить ник
Цитата
*****
Группа: Администраторы
Сообщений: 584
Регистрация: 24.2.2006

Репутация:   134  


Сообщение #8 сообщение 26.12.2007, 18:35
Цитата(`silent` @ 26.12.2007, 18:21) *
предлагаю зараженных забанить на 2.14 и 2.100. при звонке в совтен им объяснить, что они наносят вред сети. (без компенсации biggrin.gif ) . и сообщить чтоб антивирь ставили...

Дон, если бы это были единичные случаи - все было-бы так (в общем-то их и банили), но сейчас такого народа десятки... В этом-то и проблема.

Добавлено позже (26.12.2007, 18:31):
Цитата(UDAV @ 26.12.2007, 18:25) *
Не помогает...

Код
Интерфейс: 0.0.0.0 --- 0x2
  Адрес IP              Физический адрес      Тип
  192.168.3.1           00-16-e0-0b-8e-41     статический

Интерфейс: 192.168.1.82 --- 0x3
  Адрес IP              Физический адрес      Тип
  192.168.3.1           00-16-e0-0b-8e-41     динамический
  192.168.3.9           00-1b-11-87-cc-bf     динамический
  192.168.3.61          00-80-48-4e-18-6c     динамический
  192.168.3.95          00-e0-4c-45-3f-ef     динамический

Эмъ, а что не так-то? У тебя на 3.1 прописан один и тот-же mac, так что все ок. А остальные маки - это те, с кем ты связывался. И что-то у тебя с интерфейсами не так. Если у тебя основной интерфейс 0х3, то в проге пропиши его, а не 0х2 как у меня по умолчанию.

Добавлено позже (26.12.2007, 18:32):
Цитата(hell @ 26.12.2007, 17:50) *
по-моему это все непродуктивно.если уж пользователи на свои компы антивирус поставить не смогли,то эту прогу уж точно не установят.к томуже,большая часть просто не увидет твое сообщение.

Кому надо и кто способен - прочтет. А остальным уже ничего не поможет.

Go to the top of the page
+Quote Post
m!dn!ghte
ひきこもり
Вставить ник
Цитата
******
Группа: Модераторы
Сообщений: 2668
Регистрация: 25.6.2006
Из: Somalia

Репутация:   357  


Сообщение #9 сообщение 26.12.2007, 18:41
Возможно как-то вести публичный список зараженных ИП-адресов?

Go to the top of the page
+Quote Post
nekoth
Некотяй
Вставить ник
Цитата
*****
Группа: Администраторы
Сообщений: 584
Регистрация: 24.2.2006

Репутация:   134  


Сообщение #10 сообщение 26.12.2007, 18:58
Цитата(m!dn!ghte @ 26.12.2007, 18:35) *
Возможно как-то вести публичный список зараженных ИП-адресов?

Затруднительно. Необходимо вести мониторинг во всех подсетях одновременно и постоянно, а для этого нет ресурсов sad.gif
Буду пробовать ещё частично решить проблему на уровне роутеров, жестко замораживая arp в них, но опять-же это лишь частичное решение.
С 1ого декабря это в куче сетей, кстати, началось. Народ на hub.ru вопит, рвет и мечет smile.gif

Go to the top of the page
+Quote Post
`silent`
Профайлер
Вставить ник
Цитата
******
Группа: Пользователи
Сообщений: 1568
Регистрация: 8.7.2006
Из: 666
Профиль ВКонтакте ВКонтакте

Репутация:   332  


Сообщение #11 сообщение 26.12.2007, 18:58
надо сниффер найти нормальный... детектора подмены mac я не заметил ещё
з.ы. в своей подсети я заразу буду истреблять

Сообщение отредактировал `silent` - 26.12.2007, 18:58

Go to the top of the page
+Quote Post
QQZ
Злостный флудер
Вставить ник
Цитата
******
Группа: Пользователи
Сообщений: 3542
Регистрация: 25.2.2006

Репутация:   400  


Сообщение #12 сообщение 26.12.2007, 19:02
Как узнать какой интерфейс?
Команда arp -a 192.168.18.1 выдается как неизвестная команда.

Go to the top of the page
+Quote Post
nekoth
Некотяй
Вставить ник
Цитата
*****
Группа: Администраторы
Сообщений: 584
Регистрация: 24.2.2006

Репутация:   134  


Сообщение #13 сообщение 26.12.2007, 19:03
Цитата(QQZ @ 26.12.2007, 18:56) *
Как узнать какой интерфейс?
Команда arp -a 192.168.18.1 выдается как неизвестная команда.

Просто arp -a
Он выдаст тебе полную arp таблицу. WinXP sp2.

Добавлено позже (26.12.2007, 18:57):
Цитата(`silent` @ 26.12.2007, 18:52) *
надо сниффер найти нормальный... детектора подмены mac я не заметил ещё
з.ы. в своей подсети я заразу буду истреблять

Советую commview.

Добавлено позже (26.12.2007, 18:59):
В 2ке точно заражен человек с маком:
00:40:05:9b:63:01 - 192.168.2.118

Go to the top of the page
+Quote Post
hell
[..............................................................]
Вставить ник
Цитата
******
Группа: Супермодераторы
Сообщений: 2295
Регистрация: 24.2.2006

Репутация:   470  


Сообщение #14 сообщение 26.12.2007, 19:05
если статического роутинга в арп таблице нет,то надо его прописывать?

Go to the top of the page
+Quote Post
QQZ
Злостный флудер
Вставить ник
Цитата
******
Группа: Пользователи
Сообщений: 3542
Регистрация: 25.2.2006

Репутация:   400  


Сообщение #15 сообщение 26.12.2007, 19:09
Цитата(fatzer @ 26.12.2007, 18:57) *
Просто arp -a
Он выдаст тебе полную arp таблицу. WinXP sp2.

Добавлено позже (26.12.2007, 18:57):

Советую commview.

Добавлено позже (26.12.2007, 18:59):
В 2ке точно заражен человек с маком:
00:40:05:9b:63:01 - 192.168.2.118


C:\Documents and Settings\QQZ>arp -a

Интерфейс: 85.142.197.34 --- 0x2
Адрес IP Физический адрес Тип
85.142.197.1 00-0d-66-7c-48-0a динамический

Интерфейс: 192.168.18.3 --- 0x3
Адрес IP Физический адрес Тип
192.168.18.1 00-16-e0-25-cd-60 статический

C:\Documents and Settings\QQZ>


Фатзер, глянь типа у меня все чики-пики? Интерфейс бабахать 0х3? Правильно?

Сообщение отредактировал QQZ - 26.12.2007, 19:11

Go to the top of the page
+Quote Post
nekoth
Некотяй
Вставить ник
Цитата
*****
Группа: Администраторы
Сообщений: 584
Регистрация: 24.2.2006

Репутация:   134  


Сообщение #16 сообщение 26.12.2007, 19:11
Цитата(hell @ 26.12.2007, 18:59) *
если статического роутинга в арп таблице нет,то надо его прописывать?

Та прога, что я дал - как раз прописывает тебе статику в арп таблицу и каждые 100мс тебе её обновляет.

Добавлено позже (26.12.2007, 19:06):
Цитата(QQZ @ 26.12.2007, 19:03) *
Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\QQZ>arp -a

Интерфейс: 85.142.197.34 --- 0x2
Адрес IP Физический адрес Тип
85.142.197.1 00-0d-66-7c-48-0a динамический
192.168.18.1 00-16-e0-25-cd-60 статический

Интерфейс: 192.168.18.3 --- 0x3
Адрес IP Физический адрес Тип
192.168.18.1 00-16-e0-25-cd-61 динамический


Фатзер, глянь типа у меня все чики-пики? Интерфейс бабахать 0х3? Правильно?

Угу, все правильно.

Go to the top of the page
+Quote Post
t-people
Вставить ник
Цитата
******
Группа: Администраторы
Сообщений: 3245
Регистрация: 24.2.2006
Из: Силламяэ, Эстония
Профиль ВКонтакте ВКонтакте

Репутация:   582  


Сообщение #17 сообщение 26.12.2007, 19:12
Цитата(fatzer) *
И что-то у тебя с интерфейсами не так

Подправил.. но всеравно не пашет... (
из реадми проверку делал. все ок..

Код
C:\Documents and Settings\Удав>arp -a

Интерфейс: 192.168.1.82 --- 0x3
  Адрес IP              Физический адрес      Тип
  192.168.3.1           00-16-e0-0b-8e-41     статический
  192.168.3.10          00-e0-4c-48-39-b6     динамический
  192.168.3.95          00-e0-4c-45-3f-ef     динамический


пинг 4.1
Код
Ответ от 192.168.2.1: Превышен срок жизни (TTL) при передаче пакета.
Ответ от 192.168.2.1: Превышен срок жизни (TTL) при передаче пакета.
Ответ от 192.168.2.1: Превышен срок жизни (TTL) при передаче пакета.
Превышен интервал ожидания для запроса.
Ответ от 192.168.2.1: Превышен срок жизни (TTL) при передаче пакета.
Превышен интервал ожидания для запроса.
Ответ от 192.168.2.1: Превышен срок жизни (TTL) при передаче пакета.
Ответ от 192.168.2.1: Превышен срок жизни (TTL) при передаче пакета.
Ответ от 192.168.2.1: Превышен срок жизни (TTL) при передаче пакета.
Ответ от 192.168.2.1: Превышен срок жизни (TTL) при передаче пакета.

Go to the top of the page
+Quote Post
nekoth
Некотяй
Вставить ник
Цитата
*****
Группа: Администраторы
Сообщений: 584
Регистрация: 24.2.2006

Репутация:   134  


Сообщение #18 сообщение 26.12.2007, 19:15
Цитата(UDAV @ 26.12.2007, 19:06) *
Подправил.. но всеравно не пашет... (
из реадми проверку делал. все ок..

Ты пингуй не 2.1, а 3.1. С 2.1 сейчас проблемы - его 2.118 пытается подменить - отправил народ разбираться.


Добавлено позже (26.12.2007, 19:10):
Цитата(`silent` @ 26.12.2007, 19:06) *
вероятно
они? роутер динамический ? о.О
2.1 - 00:16:E0:0B:8E:40
2.201 - 00:00:cd:24:4a:92

Дон - я пост обновил наверху - там теперь маки все прописаны.

Go to the top of the page
+Quote Post
t-people
Вставить ник
Цитата
******
Группа: Администраторы
Сообщений: 3245
Регистрация: 24.2.2006
Из: Силламяэ, Эстония
Профиль ВКонтакте ВКонтакте

Репутация:   582  


Сообщение #19 сообщение 26.12.2007, 19:18
Цитата(fatzer @ 26.12.2007, 19:09) *
Ты пингуй не 2.1, а 3.1. С 2.1 сейчас проблемы - его 2.118 пытается подменить - отправил народ разбираться.

Дык я 4.1 пингую, 3.1 и 2.1 отлично всегда пингуются...

Цитата(fatzer) *
1.1/2.1/3.1 - 00:16:E0:0B:8E:40

у меня показало что мак на 41 заканчивается

Go to the top of the page
+Quote Post
nekoth
Некотяй
Вставить ник
Цитата
*****
Группа: Администраторы
Сообщений: 584
Регистрация: 24.2.2006

Репутация:   134  


Сообщение #20 сообщение 26.12.2007, 19:19
Цитата(UDAV @ 26.12.2007, 19:12) *
Дык я 4.1 пингую, 3.1 и 2.1 отлично всегда пингуются...

Дык. В 2ке пингуй 2.14/2.100 - они не подвержены вроде этой бяке. А 2.1 выпадает постоянно - его 2.118 забивает.

Go to the top of the page
+Quote Post

8 страниц V   1 2 3 > » 
Reply to this topicStart new topic

 



Текстовая версия Сейчас: 23.9.2019, 6:54