Re: Re: ARP Poisoning

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Settembre 2002 ml@sikurezza.org
Soggetto: Re: Re: ARP Poisoning
Mittente: crwm
Data: 6 Sep 2002 11:07:13 -0000


>On Mon, Sep 02, 2002 at 03:15:00AM +0200, Igor Falcomata' wrote:
>[cut]
>
>> Per risolvere il problema ti consiglio delle tabelle arp statiche (arp -s) se  
>> la rete non ? troppo grande.
>> 
>
>se non vuoi utilizzare le arp statiche, puoi usare anticap, una minipatch al 
>kernel che ho realizzato a causa di un utente che usava troppo ettercap
>nella mia lan ;)
>
>quando un kernel con anticap riceve un arp reply si comporta come di seguito:
>* se l`entry non e` presente, la inserisce nella arptable come di consueto
>* se l`entry e` presente nella arptable, syslogga e ignora l`arp reply
>
>ovviamente, ci sono delle controindicazioni: * non puo` essere utilizzato con 
>dhcp .. a meno di non utilizzare lease
>molto lunghi che limitino l`assegnamento di uno stesso ip a macaddress
>diversi quando viene effettuata la DHCPREQUEST in lassi di tempo brevi.
>questo e` effettuabile sempre e solo se il pool di ip disponibili sia >=
>del numero di macchine presenti
>
>* le entry della arptable invecchiano e muoiono, quando una entry muore, il 
>kernel della macchina manda una nuova arprequest. a questo punto, se
>sulla lan c`e` un interceptor, puo` mandare un`arpreply, e sperare che
>il suo kernel sia stato piu` veloce del legittimo destinatario:

Solaris ha gia' un sistema che ricorda questo.
Per aggirarlo in ettercap mando un icmp spoofato prima di mandare l'arp reply.
La macchina e' costretta a fare un arprequest.
L'attaccante sara' sicuramente piu' veloce della macchina vera a rispondere perche' la reply viene mandata subito dopo l'icmp.
Nella prossima release contavo di ottimizzare questa tecnica che puo' fallire se si cerca di fare posining su molte macchine, mandando direttamente i pacchetti accoppiati. 

 in
>questo caso resteresti poisonato fino al nuovo expire dell`arp entry, in
>cui potrebbe riverificarsi quest`evenienza.
>
>la patch e` per linux 2.{2,4}, freebsd 4.6 e netbsd 1.5
>
>non so se sia possibile fare qcs del genere su solaris, qualcuno lo sa ? se si, 
>mailto: vjt at users dot sf dot net , grazie :)
>
>ah dimenticavo, potete scaricare i diff su http://cvs.antifork.org/ (grazie awgn 
>! :)
>
>> Ciao, embyte
>> -- 
>> UIN: 48790142 && MAILTO: embyte<at>madlab.it || embyte<at>bglug.it
>> 
>
>vjt
>
>-- 
>pub  1024D/5201DC33 2002-01-24 vjt <vjt@users.sf.net>
>Key fingerprint = C80A DC06 E81C 4613 236B  833F C2C6 009F 5201 DC33
>http://bahamut-inet6.sourceforge.net/vjt.asc
>
>

-----------------------------------------------------
Invia una cartolina ad un amico!
http://cartoline.supereva.it/index.html

messaggio inviato con Freemail by www.superEva.it
-----------------------------------------------------


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: Re: strano bof nel traceroute..., snhyper
- successivo: RE: firewall "hardware" vs firewall software, marco misitano
- indice

Argomento:
- precedente: Re: ARP Poisoning, Dario Lombardo
- successivo: Fw: strano bof nel traceroute... [LUNGO], Defcon7
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005