abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 17:02 | Pozvánky

Přijďte si popovídat o open source obecně a openSUSE konkrétně s dalšími uživateli a vývojáři. Oslava nového vydání openSUSE Leap se uskuteční 16. prosince od 17:00 v nových prostorách firmy SUSE v Praze. K dispozici bude nějaké občerstvení a DVD pro ty, kdo je sbírají nebo ještě mají mechaniku. Po párty v kanceláři se bude pokračovat v některé z hospod v okolí.

Miška | Komentářů: 7
dnes 14:55 | Zajímavý software

Byla vydána verze Alpha 1.0 otevřeného operačního systému pro chytré hodinky AsteroidOS. Podporovány jsou hodinky LG G Watch, LG G Watch Urbane, Asus ZenWatch 2 a Sony Smartwatch 3. Ukázka ovládání hodinek na YouTube. Jaroslav Řezník přednášel o AsteroidOS na chytrých hodinkách (videozáznam) na letošní konferenci OpenAlt.

Ladislav Hagara | Komentářů: 0
dnes 13:30 | Zajímavý software

Byly uvolněny zdrojové kódy známé rogue-like hry DoomRL. Počátky hry jsou v roce 2002. Je napsána ve FreePascalu a zdrojový kód je nyní k dispozici na GitHubu pod licencí GNU GPL 2.0. Autor pracuje na nové hře Jupiter Hell, která je moderním nástupcem DoomRL a na jejíž vývoj shání peníze prostřednictvím Kickstarteru.

Blaazen | Komentářů: 0
dnes 13:15 | Pozvánky

Přijďte s námi oslavit vydání Fedory 25. Na programu budou přednášky o novinkách, diskuse, neřízený networking atd. Release Party se bude konat 16. prosince v prostorách společnosti Etnetera. Na party budou volně k dispozici také propagační materiály, nová DVD s Fedorou 25 a samozřejmě občerstvení. Přednášky budou probíhat v češtině. Pro více informací se můžete podívat na web MojeFedora.cz. Jen připomínám, že tentokrát jsme zavedli

… více »
frantisekz | Komentářů: 0
včera 16:38 | Komunita

Byly zveřejněny videozáznamy přednášek a workshopů z letošní konference OpenAlt konané 5. a 6. listopadu v Brně. K videozáznamům lze přistupovat ze stránky na SuperLectures nebo přes program konference, detaily o vybrané přednášce nebo workshopu a dále kliknutím na ikonku filmového pásu. Celkově bylo zpracováno 65 hodin z 89 přednášek a workshopů.

Ladislav Hagara | Komentářů: 0
včera 11:30 | Komunita

Bylo oznámeno, že bude proveden bezpečnostní audit zdrojových kódů open source softwaru pro implementaci virtuálních privátních sítí OpenVPN. Audit provede Matthew D. Green (blog), uznávaný kryptolog a profesor na Univerzitě Johnse Hopkinse. Auditována bude verze 2.4 (aktuálně RC 1, stabilní verze je 2.3.14). Audit bude financován společností Private Internet Access [reddit].

Ladislav Hagara | Komentářů: 4
včera 06:00 | Komunita

Na YouTube byl publikován Blender Institute Reel 2016, ani ne dvouminutový sestřih z filmů, které vznikly za posledních 10 let díky Blender Institutu. V institutu aktuálně pracují na novém filmu Agent 327. Dění kolem filmu lze sledovat na Blender Cloudu. Videoukázka Agenta 327 z června letošního roku na YouTube.

Ladislav Hagara | Komentářů: 0
včera 01:02 | Zajímavý článek

Minulý týden byly vydány verze 1.2.3 a 1.1.7 webového poštovního klienta Roundcube. V oznámení o vydání bylo zmíněno řešení bezpečnostního problému nalezeného společností RIPS a souvisejícího s voláním funkce mail() v PHP. Tento týden byly zveřejněny podrobnosti. Útočník mohl pomocí speciálně připraveného emailu spustit na serveru libovolný příkaz. Stejně, jak je popsáno v článku Exploit PHP’s mail() to get remote code execution z roku 2014.

Ladislav Hagara | Komentářů: 1
8.12. 16:00 | Nová verze

Byla vydána verze 0.98 svobodného nelineárního video editoru Pitivi. Z novinek lze zmínit například přizpůsobitelné klávesové zkratky. Videoukázka práce s nejnovější verzí Pitivi na YouTube.

Ladislav Hagara | Komentářů: 1
8.12. 15:00 | Zajímavý software

Stop motion je technika animace, při níž je reálný objekt mezi jednotlivými snímky ručně upravován a posouván o malé úseky, tak aby po spojení vyvolala animace dojem spojitosti. Jaký software lze pro stop motion použít na Linuxu? Článek na OMG! Ubuntu! představuje Heron Animation. Ten bohužel podporuje pouze webové kamery. Podpora digitálních zrcadlovek je začleněna například v programu qStopMotion.

Ladislav Hagara | Komentářů: 5
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (23%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 809 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: ARP dotazy od stejné MAC adresy

31.12.2004 15:17 Alešek
ARP dotazy od stejné MAC adresy
Přečteno: 381×
Dobrý den,

předem se omlouvám, že se ptám na otázku, kterou bych mohl jistě někde najít, jenže to se nestalo (byť jsem je hledal poctivě po několik dní resp. hodin) :/

Takže...
Je normální, že většina ARP packetů, které jsou mi doručovány, pocházejí od jedné MAC adresy? Nemůže se jednat o spoofing?
Dočetl jsem se, že jde o dotazování ostatních počítačů v síti, a že je to běžné... Proč ale většina z nich pochází od stejného adaptéru (s tou jistou MAC adresou) mi ale neni jasné.

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
K monitoringu jsem použil tcpdump, netwatch a nast

Jsem připojen k internetu pomocí kabelovky od UPC

Za odpověď Vám všem předem děkuji, a přeji hodně štěstí a úspěchů do nového roku. ;o)

Odpovědi

31.12.2004 15:45 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: ARP dotazy od stejné MAC adresy
Těžko takhle budeme usuzovat zda je to v pořádku.

Prostě nejednoduší je se kouknout etheralem a podívat se co se děje.

Jaké IP jsou v tom ARP a jak často se ten dotaz provádí atd....

Samozřejmě pokud vám chodí ten stejný ARP třeba co 1s tak je to divné.
31.12.2004 16:21 Alešek
Rozbalit Rozbalit vše Re: ARP dotazy od stejné MAC adresy
Ano to je právě ten problém - ARP dotazy se provádí opravdu často (možná i častěji naž jedou za vteřinu), jinak by mě to ani neznepokojovalo.

Pro přesnost přidávám krátký výpis z nastu ->

---[ ARP ]-----------------------------------------------------------
00:0E:A6:90:CC:35 -> FF:FF:FF:FF:FF:FF
Type: ARP request: Who has 62.24.88.1? Tell 62.24.88.86
Hardware size: 6 - Protocol size: 4
Packet Number: 1

---[ ARP ]-----------------------------------------------------------
00:11:5D:45:A0:00 -> FF:FF:FF:FF:FF:FF
Type: ARP request: Who has 84.42.131.212? Tell 84.42.131.2
Hardware size: 6 - Protocol size: 4
Packet Number: 2

---[ UDP ]-----------------------------------------------------------
160.0.84.42:0(unknown) -> 131.2.0.0:0(unknown)
Version: 0 Total Lenght: 2048TTL: 0
Packet Number: 2

---[ ARP ]-----------------------------------------------------------
00:11:5D:45:A0:00 -> FF:FF:FF:FF:FF:FF
Type: ARP request: Who has 84.42.131.17? Tell 84.42.131.2
Hardware size: 6 - Protocol size: 4
Packet Number: 3

---[ UDP ]-----------------------------------------------------------
160.0.84.42:0(unknown) -> 131.2.0.0:0(unknown)
Version: 0 Total Lenght: 2048TTL: 0
Packet Number: 3

---[ ARP ]-----------------------------------------------------------
00:0E:5C:C0:4D:CB -> FF:FF:FF:FF:FF:FF
Type: ARP request: Who has 62.24.84.1? Tell 62.24.84.125
Hardware size: 6 - Protocol size: 4
Packet Number: 4

---[ ARP ]-----------------------------------------------------------
00:0F:35:29:B0:00 -> FF:FF:FF:FF:FF:FF
Type: ARP request: Who has 62.24.72.111? Tell 62.24.72.3
Hardware size: 6 - Protocol size: 4
Packet Number: 5

---[ ARP ]-----------------------------------------------------------
00:0F:35:29:B0:00 -> FF:FF:FF:FF:FF:FF
Type: ARP request: Who has 62.24.72.59? Tell 62.24.72.3
Hardware size: 6 - Protocol size: 4
Packet Number: 6

---[ ARP ]-----------------------------------------------------------
00:0F:35:29:B0:00 -> FF:FF:FF:FF:FF:FF
Type: ARP request: Who has 62.24.84.140? Tell 62.24.84.3
Hardware size: 6 - Protocol size: 4
Packet Number: 7

---[ ARP ]-----------------------------------------------------------
00:0F:35:29:B0:00 -> FF:FF:FF:FF:FF:FF
Type: ARP request: Who has 62.24.72.194? Tell 62.24.72.3
Hardware size: 6 - Protocol size: 4
Packet Number: 8

---[ ARP ]-----------------------------------------------------------
00:0F:35:29:B0:00 -> FF:FF:FF:FF:FF:FF
Type: ARP request: Who has 62.24.72.157? Tell 62.24.72.3
Hardware size: 6 - Protocol size: 4
Packet Number: 9

---[ ARP ]-----------------------------------------------------------
00:0F:35:29:B0:00 -> FF:FF:FF:FF:FF:FF
Type: ARP request: Who has 62.24.84.90? Tell 62.24.84.3
Hardware size: 6 - Protocol size: 4
Packet Number: 10

---[ ARP ]-----------------------------------------------------------
00:0F:35:29:B0:00 -> FF:FF:FF:FF:FF:FF
Type: ARP request: Who has 62.24.88.44? Tell 62.24.88.3
Hardware size: 6 - Protocol size: 4
Packet Number: 11

---[ ARP ]-----------------------------------------------------------
00:0E:A6:90:CC:35 -> FF:FF:FF:FF:FF:FF
Type: ARP request: Who has 62.24.88.1? Tell 62.24.88.86
Hardware size: 6 - Protocol size: 4
Packet Number: 12

---[ ARP ]-----------------------------------------------------------
00:C0:4F:83:C3:C4 -> FF:FF:FF:FF:FF:FF
Type: ARP request: Who has 62.24.88.1? Tell 62.24.88.216
Hardware size: 6 - Protocol size: 4
Packet Number: 13

---[ ARP ]-----------------------------------------------------------
00:0F:35:29:B0:00 -> FF:FF:FF:FF:FF:FF
Type: ARP request: Who has 62.24.84.6? Tell 62.24.84.3
Hardware size: 6 - Protocol size: 4
Packet Number: 14

---[ ARP ]-----------------------------------------------------------
00:0D:87:96:7E:C2 -> FF:FF:FF:FF:FF:FF
Type: ARP request: Who has 84.42.131.1? Tell 84.42.131.231
Hardware size: 6 - Protocol size: 4
Packet Number: 15

---[ ARP ]-----------------------------------------------------------
00:11:5D:45:A0:00 -> FF:FF:FF:FF:FF:FF
Type: ARP request: Who has 84.42.131.224? Tell 84.42.131.2
Hardware size: 6 - Protocol size: 4
Packet Number: 16

---[ UDP ]-----------------------------------------------------------
160.0.84.42:0(unknown) -> 131.2.0.0:0(unknown)
Version: 0 Total Lenght: 2048TTL: 0
Packet Number: 16

---[ ARP ]-----------------------------------------------------------
00:11:5D:45:A0:00 -> FF:FF:FF:FF:FF:FF
Type: ARP request: Who has 84.42.131.79? Tell 84.42.131.2
Hardware size: 6 - Protocol size: 4
Packet Number: 17

---[ UDP ]-----------------------------------------------------------
160.0.84.42:0(unknown) -> 131.2.0.0:0(unknown)
Version: 0 Total Lenght: 2048TTL: 0
Packet Number: 17

---[ ARP ]-----------------------------------------------------------
00:0F:35:29:B0:00 -> FF:FF:FF:FF:FF:FF
Type: ARP request: Who has 62.24.84.18? Tell 62.24.84.3
Hardware size: 6 - Protocol size: 4
Packet Number: 18
-----
-----
Jde o tu adresu 00:0F:35:29:B0:00, jak je asi i vidět... 4 ivok: Ethereal zkusím... jen co se ho naučím ovládat :) Jinak díky za link, rád si o tom něco přečtu ;)
31.12.2004 16:30 Michal Marek (twofish) | skóre: 55 | blog: { display: blog; } | Praha
Rozbalit Rozbalit vše Re: ARP dotazy od stejné MAC adresy
Není to jenom nějaký windowsí virus?
31.12.2004 17:13 Michal Kubeček
Rozbalit Rozbalit vše Re: ARP dotazy od stejné MAC adresy
Nevidím na tom nic divného. Je tam sice pár dotazů ze stejného zdroje, ale ptá se na různé adresy (ze stejného rozsahu), takže je to celkem normální.
31.12.2004 17:18 Libor Klepac | skóre: 45 | Mýto
Rozbalit Rozbalit vše Re: ARP dotazy od stejné MAC adresy
mel bys videt to peklo, co tu mam ja na wifi ... provider ma ten jeden segment bridgovanej snad po celym okrese ...tech arp dotazu je tam ...hodne
Urine should only be green if you're Mr. Spock.
31.12.2004 17:53 unchallenger | skóre: 69 | blog: unchallenger
Rozbalit Rozbalit vše Re: ARP dotazy od stejné MAC adresy
Jsem doma na UPC a 10 ARP dotazů za sekundu je tam úplně normální. Spouštím tcpdump a ethereal jedině s not arp, chci-li něco vidět...
31.12.2004 19:16 Libor Klepac | skóre: 45 | Mýto
Rozbalit Rozbalit vše Re: ARP dotazy od stejné MAC adresy
hmmm ...ja to ted zkousel ...jenom arp dotazy a bylo jich 130 za 30sekund ...takze mas vic ... a ja to povazoval za peklo

vetsina jich je z brany, ale obcas se tam ukazuji i z podivnych adres typu 10.9.8.254 a tak (ta sit jede na normalnich verejnych adresach, ne v privatnim rozsahu) ...neco tam asi cmucha ...obcas se mi sem pripojuje kamarad na jeden port a chvili potom se z nejake takove adresy typu 10... neco taky zkousi pripojit ....
Urine should only be green if you're Mr. Spock.
31.12.2004 20:08 Petr Šobáň | skóre: 79 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: ARP dotazy od stejné MAC adresy
Jak jsem se na ten log díval tak je to normální :-) Pokaždé se to dotazuje na jinou IP.

A že to má stejnou MAC to zaleží přes jaký HW to prošlo.

K neveřejným adresám je to tak že někdo má za modemem připojenou celou síť a prostě má špatně nastaven firewall a posílá neveřejné IP do internetu.

Pomoc filtrovat neveřejné IP pomocí iptables a nepouštět je do své sítě.
31.12.2004 20:13 Libor Klepac | skóre: 45 | Mýto
Rozbalit Rozbalit vše Re: ARP dotazy od stejné MAC adresy
no jasne ze je filtruju, tedka me to dokonce vytocilo a zahazuju je rovnou v preroutingu (doufam, ze to neni spatne ;-)
Urine should only be green if you're Mr. Spock.
1.1.2005 01:28 Michal Kubeček
Rozbalit Rozbalit vše Re: ARP dotazy od stejné MAC adresy
Špatně... jak se to vezme. Řekněme, že názvy tabulek ukazují, k čemu by pravidla v dané tabulce měla sloužit. Tedy obsah tabulky filter k filtrování paketů, obsah tabulky nat k překladu adres a obsah tabulky mangle k manipulacím s obsahem paketu (nebo jeho metadat), které nespadají pod překlad adres. Filtrovat v tabulce nat nebo mangle sice můžete v zásadě také, ale není to moc vhodné, protože jednak máte omezenou škálu podmínek, jednak musíte dávat daleko větší pozor např. na správnou souhru s překladem adres.
1.1.2005 01:39 Libor Klepac | skóre: 45 | Mýto
Rozbalit Rozbalit vše Re: ARP dotazy od stejné MAC adresy
ja uz na to mel retez normlane ...ale proste me to nejak nastavalo, tak jsem se toho chtel zbavit co nejdriv
Urine should only be green if you're Mr. Spock.
31.12.2004 15:48 ivok
Rozbalit Rozbalit vše Re: ARP dotazy od stejné MAC adresy
ARP pakety ale nejsou "doručovány" vám, jak píšete, jsou doručovány všem :-) Přečtěte si někde, k čemu vlastně ARP slouží a jak funguje... Co je vám vlastně konkrétně podezřelé?
1.1.2005 11:55 Tomáš Bláha
Rozbalit Rozbalit vše Re: ARP dotazy od stejné MAC adresy
Jen bych doplnil, že například ISC DHCP server, který se běžně na GNU/Linuxu používá, před přidělením dynamické adresy kterémukoliv počítači ověřuje, zda danou adresu nikdo nepoužívá. Po obdržení požadavku vyšle dva ARP dotazy a když nedostane odpověď teprve adresu přidělí. Možná je to původ těchto dotazů i u Vašeho poskytovatele.
2.1.2005 00:55 Alešek
Rozbalit Rozbalit vše Re: ARP dotazy od stejné MAC adresy
Ano, zřejmě to tak bude... Všechno se tím tak hezky vysvětluje. Pak se už nemusím tímto znepokojovat, pokud jsem vše dobře pochopil ;) Navíc jsem se kdesi dočetl, že se ARP spoofing využívá k zjištění adres počítačů v lokální síti (jestli se dá využít i k něčemu jinému mi není známo, ale domnívám se, že ne). Tenhle spoofing jsem také zaznamenal pomocí netwatch, kde se dají pozorovat určité interakce na lokálních adresách (192.168.xxx.xxx), které ovšem nepoužívám (zatím), protože se jako začátečník neodvažuji pouštět do konfigurace routeru... snad časem :)

ad ARP dotazy od počítače s IP začínající 10.xxx.xxx.xxx, toto jsem také pozoroval... Jestli se dobře rozpomínám, tak právě tato IP měla co do činění s šmuchání po těch lokálních adresách, jak jsem psal.

Protože jsem si prve myslel, že ARP dotazy jsou něco špatného (alespoň většina z nich, vzhledem k množstí, které se dá v promiskuitním módu odchytávat), pokusil jsem nastavit iptables s parametry -m mac --mac-source xx:xx:xx:xx:xx:xx, s tím, že jsem všechny příchozí packety z této MAC chtěl zahazovat (DROP). Nemělo to ale žádný výsledek. No a vlastně dosud nevím, jestli je to tak správně (že třeba ARP pakety nejdou blokovat), nebo jestli jsem neudělal chybu v tom nastavování iptables. Typuji to spíš na tu druhou možnost, protože zrovna o blokování mac adres jsem toho moc nenašel (man & --help mlčeli). Našel jsem jen několik příspěvků na různých diskusních serverech, takže jsem to podle toho nějak sesmolil. :o)

díky všem za vysvětlení... ;c)
2.1.2005 15:08 8an | skóre: 30
Rozbalit Rozbalit vše Re: ARP dotazy od stejné MAC adresy
Pomocí ARP spoofingu se dají dělat i lepší věci :-) Pokud chceš odposlouchávat komunikaci mezi 2 stanicemi, tak každé pošleš ARP paket se IP adresou té druhé stanice a svojí MAC. Bránit se tomu dá pomocí static ARP (nastaví se ARP tabulka (tj. páry IP-MAC) napevno).

To "čmuchání" lokální adresy po lokálních adresách můžou být klidně normální ARP dotazy ve vnitřní síti, které nějak vytekly ven přes špatně nastavený router.

O filtrování ARP dotazů toho moc nevím, je možné že to iptables neumí (když to jsou IPtables, tak možná umí jenom IP pakety). Existují ještě ebtables, ale to je tak všechno co nich vím.
If you build an operating system that even an idiot can use, only idiots will use it.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.