PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : arp-poisoning



slime
08.12.02, 22:33
hallo,
evtl kennt schon einer von euch das tool ettercap.

gibts denn eine möglichkeit seinen rechner vor solchen "arp-angriffen" zu schützen?
kann man das mit iptables bewerkstelligen?

HangLoose
08.12.02, 22:43
hi

imho soll snort *arp-angriffe* aufspüren können, hab ich aber selbst noch nicht probiert.

ein weiteres tool wäre ARPWatch


Gruß HL

RapidMax
08.12.02, 23:24
Ich hab mir mal die Projektseite angeschaut: es ist im Wesentlichen ein Sniffer für ethernet, der Switches mit arp-Anfragen dermassen überfluten kann, dass sie die Daten an alle Ports schicken und dadurch das Sniffen erst möglich machen?

Wenn ja, dann gibts eine Lösung, falls der Switch das unterstützt: Den Ports des Switch werden die MAC-Adressen der Clients explizit zugewiesen.

Gruss, Andy

slime
09.12.02, 19:41
was ein möglicher angriff ist

- arp anfrage senden
- falsch antworten
- das ganze nur an einen rechner schicken

dieser rechner hat dann eine "verseuchte" arp-tabelle und ist meh oder weniger vom netz isoliert.
mir ist klar das ich das mit snort erkennen kann (schon gemacht)
leider kann ich das nicht abwehren. es ist dann immer bein benutzereingriff lokal erforderlich.
über ssh komme ich dann ja nicht mehr an die kiste.

RapidMax
09.12.02, 19:45
Hmm, dieser Angriff kann nur lokal erfolgen (je nachdem wie "lokal" das Netz ist). Zumindest hilft ein Router ein "trustet" Network-Segment zu erstellen. Natürlich ist das nicht die Lösung für alle Fälle, vielfach geht das nicht.
Eine Weitere Möglichkeit währen statische arp-Tabellen, zumindest für wichtige Server und Gateways/Router. Das zieht natürlich wieder enormen Konfigurations-Aufwand nach sich.

Gruss, Andy

slime
09.12.02, 23:50
das problem bezieht sich auf eine lan-party

die verwundbaren rechner haben Gigabit anbindung, router kommt da nixht in frage.
statische tabellen auch nicht, für eine 200mann lan.

ich denke ich muss mir was einfallen lassen um die angreifer zu finden und die dann von der lan zu kicken.
das einzige problem ist das diese auch ihre source-mac und ip immer ändern können.
mal sehen ob ich da an den switches was konfigurieren kann.

Flyerman
10.12.02, 00:55
auf der lan auf jeden fall feste ips vergeben ...

Jinto
10.12.02, 00:58
Es gibt ein Tool namens arpwatch (hoffe mich richtig erinnern zu können), damit kannst du dich über ändernde MAC-IP Zuordnungen informieren lassen.

HTH

HangLoose
10.12.02, 01:00
hi Jinto


Original geschrieben von HangLoose
hi

imho soll snort *arp-angriffe* aufspüren können, hab ich aber selbst noch nicht probiert.

ein weiteres tool wäre ARPWatch


Gruß HL

auf mich hört ja keiner ;)

Gruß HL

Jinto
10.12.02, 01:34
Ach tröste dich, dass denk ich manchmal auch :)

rabenkind
10.12.02, 10:55
hi Jinto

widerspruch deine argumentation zu portscans im internet hat mich zum nachdenken angeregt und letztendlich bewogen meinen standpunkt zu ändern. ;)

@HL
dito bei nem anderen thema ;)

greetz rabenkind :))

ps ausserdem warum müssen andere karten ausser die des jeweiligen admin im promiscuos mode laufen, meines wissens nach ist dieser mode nur für netzwerkanalyse (welcher art auch immer) notwendig, die sollte nur der jeweilige admin machen.
sollten spiele diesen mode für ihre funktionalität brauchen, würde ich mich freuen wenn mich da mal jemand aufklärt.

in den zwei von mir beruflich betreuten netzwerken dürfen nur die beiden adminrechner ihre interfaces in dem prm. mode setzen alle anderen fliegen direkt aus dem netz wenn sie es versuchen.

HangLoose
10.12.02, 12:12
moin moin

@rabenkind


@HL dito bei nem anderen thema

helf mir mal auf die sprünge, steh wohl grade auf'm schlauch, du hast übrigens post ;)


zum thema:

snort kann auch *aktiv* werden.

2.3.24 React

Be warned that causing a network traffic generation loop is very easy to do with this functionality.

The react keyword based on flexible response (Flex Resp) implements flexible reaction to traffic that matches a Snort rule. The basic reaction is blocking interesting sites users want to access: New York Times, slashdot, or something really important - napster and porn sites. The Flex Resp code allows Snort to actively close offending connections and/or send a visible notice to the browser (warn modifier available soon). The notice may include your own comment. The following arguments (basic modifiers) are valid for this option:

* block - close connection and send the visible notice

* warn - send the visible, warning notice (will be available soon)

The basic argument may be combined with the following arguments (additional modifiers):

* msg - include the msg option text into the blocking visible notice

* proxy: <port_nr> - use the proxy port to send the visible notice (will be available soon)

Multiple additional arguments are separated by a comma. The react keyword should be placed as the last one in the option list.

Format

react: <react_basic_modifier[, react_additional_modifier...]>;

alert tcp any any <> 192.168.1.0/24 80 (content-list: "adults";

msg: "Not for children!"; react: block, msg;)

alert tcp any any <> 192.168.1.0/24 any (content-list: "adults";

msg: "Adults list access attempt"; react: block;)

also müßte es doch möglich sein, sobald snort einen arp angriff feststellt, diesen zu blocken.


Gruß HL

RapidMax
10.12.02, 12:30
Es gibt Tools, die feststellen können, ob gewisse Karten im promiscuos mode betrieben werden. z.B. AntiSniff von L0pht Heavy Industries.

Ist es tatsächlich gerade so "in" an LANs arp-poisoning einzusetzen? Du musst halt auf einem Podest einen Pranger stellen, auf dem gross steht: Arp-Poisoner. Dem Opfer steht dann ein Eimer Tomaten für den Täter und ein Vorschlaghammer für den Rechner zur Verfügung ;)

Gruss, Andy

slime
10.12.02, 17:20
sorry, das mit dem arp-watch hatte ich einfach überlesen.

ich habe außerdem bei fm noch ein programm namens itsentinel gefunden. das werde ich auch mel testen.

wie soll ich denn user kicken die ihre karten in den promisc. modus schalten? kann ich das bei den switches einstellen? oder wie kann man das sonst feststellen?

Jinto
10.12.02, 17:43
Bei den "großen" Switches kann man AFAIK den Port abschalten.

@rabenkind
ich ahbe deinen Satz leider nicht so richtig vertsanden, erklärst du mir es nochmal (besser per PN)

@RapidMax
AFAIR können dir diese Tools aber nicht mit 100% Sicherheit sagen, ob eine Karte im promisc Modus läuft oder nicht.

RapidMax
10.12.02, 17:56
@Jinto: stimmt.

Mir ist gerade eine Idee gekommen: Grössere Switch erlauben einem Zugang per telnet o.ä. Dabei lässt sich doch oft die arp-Tabelle anzeigen. Wenn jetzt einer arp-Poisoning betreibt, müsste eigentlich ersichtlich sein, woher es kommt, auch wenn er ethernet-Packete spoofed. Voraussetzung ist natürlich, dass er einen Port für sich hat. Aber auch sonst lässt sich zumindest der Täterkreis Eingrenzen. Das Problem wird nur sein, dass die Einträge nach kurzer Zeit wieder verschwinden.

Hat da jemand Erfahrungen mit solchen Switch? Ich habe nur ein 70sFr. Switch der manchmal abstürzt :-/

Gruss, Andy

HangLoose
10.12.02, 18:25
moin moin

also die sache mit snort -> react -> block funktioniert wunderbar. hab mich soeben erfolreich von meinem router gekickt :D:D:D

hab zur sicherheit mal eine ganz einfache rule genommen, die auch wirklich anschlägt ;).

alert tcp 192.168.99.2 any -> 192.168.99.1 any (msg:"test erfolgreich"; react: block;)

ich hatte mich vorher per ssh auf den router eingeloggt und die regel in der snort.conf eingefügt. nach dem restart von snort, wurde die verbindung sofort gekappt. ;)

wie man allerdings so einen arp angriff in eine rule *verpackt* weiß ich nicht.


Gruß HL