Re: ARP Poisoning

On Mon, Sep 02, 2002 at 03:15:00AM +0200, Igor Falcomata' wrote:
[cut]

> Per risolvere il problema ti consiglio delle tabelle arp statiche (arp -s) se 
> la rete non ? troppo grande.
> 

se non vuoi utilizzare le arp statiche, puoi usare anticap, una minipatch al
kernel che ho realizzato a causa di un utente che usava troppo ettercap
nella mia lan ;)

quando un kernel con anticap riceve un arp reply si comporta come di
seguito:
* se l`entry non e` presente, la inserisce nella arptable come di consueto
* se l`entry e` presente nella arptable, syslogga e ignora l`arp reply

ovviamente, ci sono delle controindicazioni:
* non puo` essere utilizzato con dhcp .. a meno di non utilizzare lease
molto lunghi che limitino l`assegnamento di uno stesso ip a macaddress
diversi quando viene effettuata la DHCPREQUEST in lassi di tempo brevi.
questo e` effettuabile sempre e solo se il pool di ip disponibili sia >=
del numero di macchine presenti

* le entry della arptable invecchiano e muoiono, quando una entry muore,
il kernel della macchina manda una nuova arprequest. a questo punto, se
sulla lan c`e` un interceptor, puo` mandare un`arpreply, e sperare che
il suo kernel sia stato piu` veloce del legittimo destinatario: in
questo caso resteresti poisonato fino al nuovo expire dell`arp entry, in
cui potrebbe riverificarsi quest`evenienza.

la patch e` per linux 2.{2,4}, freebsd 4.6 e netbsd 1.5

non so se sia possibile fare qcs del genere su solaris, qualcuno lo sa ?
se si, mailto: vjt at users dot sf dot net , grazie :)

ah dimenticavo, potete scaricare i diff su http://cvs.antifork.org/
(grazie awgn ! :)

> Ciao, embyte
> -- 
> UIN: 48790142 && MAILTO: embyte<at>madlab.it || embyte<at>bglug.it
> 

vjt

-- 
pub  1024D/5201DC33 2002-01-24 vjt <vjt@users.sf.net>
Key fingerprint = C80A DC06 E81C 4613 236B  833F C2C6 009F 5201 DC33
http://bahamut-inet6.sourceforge.net/vjt.asc

PGP signature