Re: R: [ml] strana attività arp

Il 02/09/06, Massimo Baschieri<massimo.baschieri@xxxxxxxx> ha scritto:

> Non à che ti sei sforzato molto nei dettagli, ad esempio un veloce
> schemettino della rete e la descrizione del tipo di connettività internet
> avrebbero aiutato, ma tant'Ã.

purtroppo non ho molti dettagli sulla rete poichà non la gestisco io.
Anyway à la tipica rete di un datacenter: la mia macchina à collegata
ad uno switch
il quale à collegato a 2 cisco pix rindodati (credo).
Esiste una vlan al quale sono collegati altri server oltre al mio perÃ
non ho la minima
idea di quanti siano le porte dedicate alla vlan oltre a quella dedicata a me.

entrando pià in dettaglio per quanto riguarda lo scenario sopra descritto:

io ho assegnati 2 ip pubblici sul mio server; uno assegnato alla eth0
e uno assegnato
ad un alias eth0:1. L'unica interfaccia collegata alla rete di cui
sopra à la eth0.
La eth1 non à collegata ed era configurata con un altro ip ma in stato
di down al momento
della segnalazione.

> Per me sei tu che devi lamentarti, se la tua macchina risponde a traffico
> non tuo vuol dire che tu RICEVI dal provider del traffico destinato ad
> altri, quantomeno dei broadcast.....ergo sei autorizzato a pensare che la
> banda che paghi vada in parte in fumo per queste cose, ma ancora peggio sei
> autorizzato a pensare che anche il tuo traffico venga allo stesso modo visto
> da altri.

Se il mio server à collegato ad uno switch questo dovrebbe accedere
solo se viene condotto
un attacco di arp-poisoning no? Oppure usando ettercap...

> Detto questo, tecnicamente la faccenda si puà spiegare con una funzionalitÃ
> chiamata "proxy arp" che se attiva sul server o su qualunque altro
> dispositivo che abbia un interfaccia su internet ed un'interfaccia
> configurata sulla stessa sottorete incriminata provoca esattamente il
> comportamento da te descritto.

Quindi dovrei supporre che il mio server sia stato compromesso e
qualcuno abbia installato un proxy arp?

--
Alessandro