ARP-poisoning och BBB 10mbit

Arp-poisoning?
Förklara gärna lite mer om vad det är.

Kortfattat ett sätt att lura en dator att skicka data till en annan dator i nätverket än den var avsedd för. Jag skulle t.ex. kunna få min brors dator att skicka all hans internettrafik via min dator.

Dom har förmodligen skydd mot detta. Bostream hade det vet jag med STOR säkerhet.

Varje dator har dels en IP adress och dels en MAC-adress. För att veta vilken dator ett IP-paket skall skickas till görs en ARP request där routern frågar alla datorer i nätverket vilken dator som har just den IP-adressen. Den datorn som känner sig träffad svarar med ett paket innehållandes sin MAC-adress. Routern sparar denna informationen i en tabell.

Nu kan man med lite kunskaper skicka ett paket till routern som säger att alla paket som går till en viss IP-adress ska skickas till en annan MAC-adress istället och på det sättet omdirigera trafiken. Sedan låter man sin dator vidarebefodra all trafik, på detta sätt kan man ta del av all information som en annan dator på nätverket skickar. Jag antar att detta är ARP poisoning.

Aha, låter finurligt men dock inte så väldigt bra i "avlyssnings" avseende

BBB har någon automatisk funktion som låser ute en användare som börjar skicka med onormala MAC-adresser. Jag vet inte exakt hur det fungerar men det skyddar mot ARP poisoning. Sen borde väl BBBs nät vara ganska segmenterat så bara ett litet antal användare kan påverkas av varje angripare.

Om du nu styr trafiken från ett offers dator till din egna dator så kan du sniffa den mycket enkelt.

Klart att inte kundtjänst kan svara på en sådan teknisk fråga. Den här typen av skyddsåtgärder har ju teknikerna som var med och "skapade" tjänsten från börjat fixat och det är ingenting som vanliga användare skall känna till hur det fungerar. Därför så har supporten ingen aning om vad ARP-poisoning ens är.

De flesta switchar av rang har funktioner som kan begränsa antalet tillåtna mac-adresser per port.

Om du vill vara säker, gör följande: Pinga din gateway, och kolla sedan med arp vilken mac-adress den har. Lägg sedan denna mac-adress som ett statiskt entry i din arp-tabell, så kommer datorn inte göra arp-förfrågningar mot denna mer.

Om gatewayens mac-adress ändras måste förstås proceduren göras om.

Och till sist ett förtydligande om hur arp funkar: När en dator ska skicka ett paket (godtyckligt ip-protokoll), så görs en arp-förfrågan via broadcast till ALLA datorer i nätet, dvs inte endast routern. Rätt dator svarar sedan, och frågande dator (dvs din) sparar detta i en tabell. Tabellen hålls aktuell genom att rader i den tas bort efter en viss tid, och en ny förfrågan får då göras.

Attacken sker antingen genom att den attackerande datorn svarar på arp-paket innan rätt maskin hunnit göra det (osäkert pga timingen), eller genom att man skickar ett arp-paket spontant till en maskin (som i princip säger "hej, mitt ip är 1.2.3.4 och jag finns på mac aa:bb:cc.....). Vissa operativsystem accepterar dock inte sådana spontana arp-paket, t ex Solaris. Solaris går dock med på dem om man först pingat maskinen innan Den attackerande maskinen måste sedan förstås vidarebefodra paketen till dess rätta mottagare, annars lär inte mycket intressant information passera.
Det är enkelt att detektera arp-spoofing med program som t ex arpwatch, eftersom en maskin plötsligt ser ut att byta mac-adress.

Jag vet inte hur Bredbandsbolagets lösning ser ut. Vad jag hört har dom dessutom egenutvecklad IOS på sina cisco switchar.

Det finns dock flera lösningar på ARP-poisoning, bl.a. Cisco Dynamic ARP Inspection som i korthet går ut på att switchen lyssnat på DHCP-trafiken och har skapat en egen tabell på vilka MAC-addresser som bör finnas var.

Var är själva förtydligandet? Det är ju precis vad Cure skrev.

För er som vill läsa mer om detta.

http://www.arp-sk.org/
Moderator tar bort länken om ni anser den vara fel.

Jag kan garantera att ni får er BBB uppkoppling urkopplade.
Även om man loopar sin dator med två nätverkskort.

Efter samtal till BBB suport så öppnade dom uppkopplingen.

Visst kan man se vilka andra MACadresser som finns inkopplade på BBB routern som man själv är inkopplad på. Men börjar man laborera med det så stängs ens egen port ner.

Läs mer om proxyarp och vlan.
Vissa portar måste vara öppna för att detta ska funka. Och vad jag vet så har BBB stoppat dessa posrtar.
Dessa portar samverkar även med "lokal Fil och skrivar delning"

Och JAag har fått min port nerstängd. Inte för att jag försökte haxxa/sniffa andras datorer. Utan för att jag kollade av trafiken i mitt egna nätverk kopplat i en switch som är kopplad mot BBB lan.

Nej, läs igen.

Eh. Oki. Nu har jag läst igen. Var är förtydligandet?

Ok, för den som inte orkar läsa själv:

Vid en arp-förfrågan skickas en broadcast ut till alla datorer, inte till routern (är ändrat i inlägget ovan). Svaret skickas sedan till den dator som frågat, inte till routern (om det inte var routern som gjorde arp-frågan). Varje dator håller en egen arp-tabell, inte endast routern.

Duger det?

Var har Cure skrivit att ARPen skickas endast till routern?
Sedan agerar ju nätverkskortet på alla datorer även som en router. Det vet ju varenda kotte.

Ingen idé att försöka spela besserwisser när det inte finns någon att rätta.

Som jag skrev så har Cure's inlägg ändrats sedan jag skrev mitt första inlägg i tråden.

Att nätverkskortet agerar router i alla datorer var nog en nyhet för de flesta... Räkna inte in mig bland de kottarna.

Sammanfattningsvis försöker jag inte spela besserwisser, men om jag ser något som inte stämmer så tycker jag att det är värt att skriva ett inlägg. Även jag kan ha fel, och i så fall tar jag gärna emot rättelser.

Edit: Ok, läste fel på en punkt. Dock skriver Cure att routern skickar arp-förfrågan, vilket den iofs kan göra, om den själv letar efter en dator. När din egen dator letar efter en annan gör den själv arp-förfrågan. Cure's inlägg är alltså inte fel, men beskriver ett specialfall. Därav mitt "förtydligande":

Cures inlägg ändrades 17.41, ditt inlägg skrevs nästan 3 timmar senare.

Och att varje datorstation agerar som en lokal router är inget nytt. Alla stationer måste veta om de ska skicka data via loopbacken, inom nätet eller vidare till gatewayen, det är därför de har en routingtabell.

Testa själv genom att skriva netstat -r i kommandotolken.

Sim:

Läs ändringen av mitt inlägg ovan.

Och igen, NEJ, varje nätverkskort agerar inte router. Att routa är att skicka paket mellan nätverk, inte att endast välja interface för utgående paket. Det är en viktig skillnad.

Sim: du har säkert rätt i ditt påpekande, men det blev en onödig diskussion i en annars upplyftande tråd bland alla "hur funkar min haschibaschi router med Telia 23,4mbit DSL?" -trådar.

Razor-SWE & Sim: Lägg ned offtopic-diskutionen.