Форум / Безопасность / Защита компьютера и анонимность в сети. / IP свича

  

Привет,
Вот в чем у меня вопрос.
Как можно определить IP свича к которому ты подключен?
И вопрос по свичу. Если ты в сети меняеш свой IP и МАС то это изменения записываеться на портсвича.
Можно как-то обнулить таблицу подобных записей?

спс

  

1-й ответ:

Все что тебе нужно, это установить соединение со свичем (обратиться к нему или через него), после чего, винда разрезолвит его МАС и ИП посредством широковещательных пакетов, и рез-т занесет в кеш АРП. Далее смотриш содержимое кеша АРП командой "arp -a".

2-й ответ:

А зачем ее обнуливать? У свичей в среднем емкость таблицы МАС адресов около 9000.
Если таблица МАС адресов переполниться, то старые МАС адреса стираются, а на место их записываются новые адреса.

Во-первых, хороший свич будет динамически таблицу освежать (какой уж там алгоритм - FIFO, LRU или что еще, зависит от реализации).

Во-вторых, просто флудить один порт свича пакетами с разными случайными мак-адресами особого смысла нет. Разве что проверить свич на хорошесть. Все остальные порты будут работать как работали, поскольку нет пакетов идущих на эти _случайные_ мак-адреса.

В-третьих, если заняться спуфингом, и кинуть на свой порт свича пакет с мак-адресом машины с другого порта, то _возможно_ некоторое время локальный трафик, предназначенный для той, другой, машины можно будет ловить. Но только пока она молчит. А также все кто ей посылал удивятся - чё это она не отвечает ? А хороший свич это отловит, запретит и запишет в административный лог предупреждение, чтобы админ знал, кому рога обламывать

А что касается изменения мак-адреса программно, очевидно это делается на уровне драйвера. Т.е. можно написать что-нибудь вроде SendPacket(MAС=00-00-00-00-00-00) и драйвер найдет способ договориться с картой.

Алгоритм работы таблицы LRU - при необходимости записи нового адреса (отсутствующего в таблице) из неё будет выкинут самый старый по времени доступа адрес.
Таблица хранит адреса источников - SMAC. Таким образом, атакующая станция должна непрерывно генерировать пакеты с фиктивными SMAC адресами. Если DMAC адрес будет отсутствовать в таблице, то этот пакет уйдёт на все порты. То есть, атакующая станция должна в своих пакетах ставить и DMAC адрес фиктивным (причём - несовпадающим с уже сгенерированными за некий промежуток времени SMAC адресами!).
Интенсивность потока должна быть очень высока, чтобы таблица непрерывно обновлялась. Программа будет очень сложной и далеко не любой стек способен поддержать достаточную интенсивность потока.
А равно - я вовсе не уверен, что даже 100 МбитФД будет достаточно для поддержания таблицы в переполненном состоянии - ведь процессор, память и шина коммутации гораздо быстрее, чем всего один порт...

  

Ну правильно переполнения в 9000 на одном порту?
Мне надо что бы никто не знал что я вообще менял мак и ип. Просто в дабличе состоял только мой мак и ип.
Насчет спуфа. То я использовал ARP, перенаправлея потока на меня а я ретрансфлирую на машину которая была задана в начале. ну можна просеч, но или я тупой или просто не знаю как это сделать.
И если менять мак и ип на чужой, то все работает по принцыпу к то первый.
Ну а если перед изменениям выйнять сетевой шнур а потом при подключении вставить. То машина параметры которой ты установил через сек 2-3 вылитает из сети ) Вот так.

  

Вот только что попробовал зделать как ты сказал.
Так сначала ввожу arp -d - чтобы очистить таблицу.
Потом захожу на сайт после того как сайт пролоадился пишу arp -a.
D таблице только один ип . но это айпи моего DNS и основного шлюза. Вот так.

  

Ну а если перед изменениям выйнять сетевой шнур а потом при подключении вставить. То машина параметры которой ты установил через сек 2-3 вылитает из сети ) Вот так.


Вчес

  

Да вылетает)