On Thu, Nov 25, 2004 at 01:54:01PM +0200, Vesselin Kolev wrote: > Peter Pentchev wrote: > > > > >Това ми звучи като различен проблем, но все пак - traceroute не е > >най-добрият инструмент за откриване на man-in-the-middle атаки в > >Ethernet (а всъщност и в почти която и да е друга) среда. Погледни ARP > >cache-а на машините, които "минават" през другия IP адрес, и виж дали > >това, което те си мислят, че е MAC адрес на рутера (или по-точно на > >техния default gateway), е вярно - дали наистина това е MAC адресът на > >рутера. Можеш да видиш ARP кеша с команда 'arp -a -n' или нещо много > >подобно, разликите между операционните системи са съвсем малки, и самата > >arp(1) ще си каже :) > > > >А в този ред на мисли, като си говорим за MAC адрес на default > >gateway... всъщност сигурно ли е, че тези машини наистина имат рутера за > >свой default gateway? Правилен ли е резултатът от 'route print' (под > >Windows) или 'netstat -rn' (под кажи-речи всички други операционни > >системи)? > > Може да има съвсем друга схема на атака с ip spoofing над Windows машини > в една локална мрежа. Никой не е казал, че измамата може да се намери по > проверка на MAC адреса на default gateway. Достатъчно е Windows клиента > да има активиран RIP listener и някой тарикат да пусне един RIP демон и > да подава анонси. [snip остатъка от превъзходното обяснение]
Мдаааа.. сега на теория бих могъл да се измъкна и да кажа, че, разбира се, това ми е било много добре известно и е покрито от въпроса ми дали изходът на 'route print' е *правилен*, и че под "правилен" съвсем не съм имал предвид само default gateway, ами и всичко останало... но, разбира се, това няма да е вярно :) Изобщо не бях се сетил за анонси на мрежички и подмрежички, а наистина е възможно... Само че.. това няма ли също да се види с 'route print' или съответно 'netstat -rn'? :) > Разбира се, не твърдя, че точно това е наблюдаваното явление. Но е една > възможна причина. Мда, май това беше идеята на първоначалния въпрос - човекът има проблем и търси идеи за това на какво може да се дължи. Поздрави, Петър -- Peter Pentchev [EMAIL PROTECTED] [EMAIL PROTECTED] [EMAIL PROTECTED] PGP key: http://people.FreeBSD.org/~roam/roam.key.asc Key fingerprint FDBA FD79 C26F 3C51 C95E DF9E ED18 B68D 1619 4553 This sentence is false.
pgpFou16Picgw.pgp
Description: PGP signature
