Dom@Net и вирусы

[fatman]

troppus, напомни
Ильфа и Петрова тоже часть Вильямса? или нет?

[f3ss]

Подскажи, что такое "APR аттака" ?

ARP Poison Routing
Это и есть когда злоумышленник перехватывает данные между двумя машинами, подделывая свой мак под чужой
В нормальных свичах от этого есть защита, тоесть как минимум привязка мака к порту.
вот статья про это - http://xgu.ru/wiki/ARP-spoofing , вроде нормальная


так вы вычислили хулигана?

[grinch]

Так вот в чем дело О.о Фигасе. У меня почему-то в АРП не содержиться записи МАК адрес шлюза. Я в Генпетрова 2. Скажи, пожалуйста, если я не ошибаюсь и шлюз 10.0.213.250

[fatman]

f3ss, об ARP спуффинге здесь и речи не ведется. Ты немножко не понял.
"Гений" то как раз сидит на своем маке в порту свича (который, AFAIK, как раз такой, о которых ты говоришь). Но дело в том, что вирь выступает также еще и сервером адресов в сети, и когда клиент дает запрос на получение локального адреса, зараженка ему отдает себя в качестве локального шлюза. СО своим нормальным маком. Почему, спросишь, клиент берет зараженку, а не нормального тенетовского шлюза? DHCP запросы клиент рассылает широковещательно, и тут, как говорится, кто первее - тот и папа. А так как зараженка сидит ближе, чем тенетовский сервер (и физически, и по-сетевому) - то он и оказывается первее.
Конкретно применительно к тому, о чем пишет troppus, зараженный комп мака у себя не меняет (поэтому привязка порта свича к его маку его не пугает), но выступает для соседних компов в качестве шлюза локальных ресурсов.
Возьмем конкретный пример (мой).
У меня адрес шлюза 10.0.203.250 (к примеру), адрес DHCP сервера 10.0.203.1.
Если смотреть с моей стороны, в нормальной работе эти адреса - это легитимные тенетовские шлюзы, и мой трафф роутится туда, куда положено. ТЕперь в пределах моей подсети появился "враг". почему именно важно, чт ов пределах моей подсети - потому что адреса шлюзов у нас одинаковые. Он их читает и привязывается к сетевому интерфейсу подобно снифферу.
Чтобы была понятней - представьте себе садовый шланг, который связывает кран-истоник с ведром-приемником. Шланг цельный - все красиво. И в ведро попадает чистая водичка. Пришел какой-то козел, рубанул шланг и в рассечку вставил ржавую трубу со стенками, обмазанными дерьмом. И теперь из крана по-прежнему вытекает чистая водичка, а во тв ведро попадает какое-то дерьмо. Знает ли кран, что где-то на пути что-то происходит? Нет. Зато об этом знает ведро, и именно ведро может сказать крану "Эй, там что-то не то". И тогда "водопроводчики" идут по шлангу и выбрасывают участок с говенной трубой.
Так вот что делает враг, присосавшись таким образом? он по прежнему выступает для "ведра" прежним адресом шлюза, но только вот уже с другим MAC. Ну уровне маков для крана (свича абонента) - все нормально. Физически-то МАС зараженного компа не изменился. Но для "ведра", несмотря на то, что IP шлюза остался вроде-бы и тем, МАС этого шлюза - уже другой. А значит пакета, отправляемые и получаемые от абонента нормального - будут (согласно принципам маршрутизации в IP сетях) поступать на левый шлюз.
Забиванием статической записи у себя с правильным маком шлюза - мы исключаем возможность влияния на подмену СВОЕЙ ARP-таблицы.
Отключением привязки к TCP/IP в свойствах сетевого интерфейса - мы вообще больше не волнуемся на предмет того, что происходит в подсети и кто там живет с вирусами.
Но если мы таки хотим, чтобы этого не было - увидев, что что-то не то - смотрим СВОЮ ARP-таблицу и сообщаем о ней ТП. А ТП по МАСу "спонтом шлюза" его вмиг найдет и обрубит эту "трубу с какашками"

[Пилигрим]

f3ss

так вы вычислили хулигана?

в подсети Гайдара, как минимум одно тело уже слили ...
вчера включал локалку .. на протяжении получаса было чисто, но все равно локалку обратно отрубил

[grinch]

Добавления трояна на странице тенета (к примеру) происходит когда зараженный комп получает пакеты с атакующего компьютера, так? Я не совсем понял как при этом всем работает "точка-точка"? Атакующий что раздает свой интернет?

[fatman]

Добавления трояна на странице тенета (к примеру) происходит когда зараженный комп получает пакеты с атакующего компьютера, так? Я не совсем понял как при этом всем работает "точка-точка"? Атакующий что раздает свой интернет?

Во первых - конь добавляет свой код ТОЛЬКО в те страницы, на которых есть запросы пароля-логина. В нашем случае - это страницы tenet.ua, mclub и videoClub. Речь идет о тех, которые работают через локальную сеть, а не через РРР-сервер. Р2Р обмен траффиком идет по маршруту через виртуальный интерфейс WAP/PPP, проще - РРРоЕ.
Я тут изобразил такой сегмент графически

зеленные - это нормальные.
Синий - это враг
красный - это жертва.
Обратите внимание, что по отношению к свичу МАСи клиентов не изменились (это к вопросу о видимости ситуации со стороны провайдера)
Как переправляются пакеты у "зеленых":
У них прописан в динамчиеской (статической) ARP-таблице корректный МАС шлюза. Сам же роутинг пакетов происходит примерно так : клиент говорит "вот пакет на адрес 192.168.100.250 (шлюз) с МАСом 01:02:03:04:05:06 от 192.168.100.2". Свич принимает этот пакет и смотрит, где у него такой МАС. Найдя, отдает его серверу. Сервер получает пакет, анализирует, делает что надо и отдает результаты примерно по такому алгоритму "пакет для 192.168.100.2 с МАС 00:01:02:03:04:05 от 192.168.100.250". Свич получает, опять смотри, где у него такой МАС и отправляет его по назначению.
Как видим в "зеленой" сети участвуют только сервер, клиент и свичи. Вируса нет. Вышеописанное - волное изложение понятие об IP заголовках пакетов.
А теперь рассмотрим "сине-красную" сеть.
Опять-таки, по отношению к прову - ничего не изменилось. Снова на портах вполне правильные клиентские МАСи, только вот клиент3 получил от врага-носителя коня не серверный МАС, а его МАС. И что происходит.
клиент говорит "вот пакет на адрес 192.168.100.250 (шлюз) с МАСом 00:04:04:04:04:04 от 192.168.100.4". Свич принимает этот пакет и смотрит, где у него такой МАС. Найдя, отдает его не серверу, а клиенту4. НА клиенте4 крутится злой вирус. Получив этот пакет, зараженная машина пересылает его дальше в таком виде "вот пакет на адрес 192.168.100.250 (шлюз) с МАСом 01:02:03:04:05:06 от 192.168.100.5". При это пакет - тот, который был послан клиентом3. То есть то, что хотел клиент3
Для сервера и свича это очень правильный пакет от клиента4. А клиент3 хотел на сайт тенета например. Сервер готовит и отдает согласно запросу клиент4 контент сайта тенета: " вот сайт тенета для 192.168.100.5 с МАСом 00:04:04:04:04:04 от 192.168.100.250". Злобный вирус потирает ручки, гнусно хихикает и зная, кому был это пакет - анализирует, нет ли там авторизаций. Найдя, дописывает свой код в контент странички и отправляет клиенту3 такое "вот Я+сайт тенета для 192.168.100.4 с МАСом 00:03:03:03:03:03 от 192.168.100.250", подменяя тем самым IP-заголовки. Свич получает такой пакет, анализирует МАС получателя и отдает его клиенту3. На клиенте3 антивирус начинает панику - человеческая часть клиента3 начинает кричать о вирусах на сайте провайдера.
ПОЧЕМУ ИМЕНННО ПРОВАЙДЕРА, ТО ЕСТЬ НА ЛОКАЛЬНЫХ РЕСУРСАХ?
Еще раз : потому что подмена идет МАС локального шлюза. Сайты, на которые маршрут идет через vipa (то есть сервер внешнего интернета) - не проходят через локальные шлюзы, а значит - не приходят с конями в HTML.
Насчет свичей: почему они доставляют пакеты приоритетно не на тот адрес с связке клиент3 и клиент4. Да потому что они маршрутизируют пакеты на основании МАСов. Любой свич любого уровня делает это так. Только роутеры (совершенно другой класс оборудования) маршрутизируют пакеты на основании IP адресов (и в итоге все равно сводится все к МАСам).
Как можно вычислить нарушителя? Думаю, из вышеизложенного становится понятно, что ситуация наблюдаема ТОЛЬКО со стороны клиента3. И ничем не проявляется на стороне провайдерского сервера.
Как это называется для клиента3? Именно. Это самый что ни на есть ARP Poisoning.
Что должен предпринять клиент3? Изучить свою ARP-таблицу и доложить о ней ТП. Даже если он не знает, какой был МАС у шлюза до заражения - увидев вирус на сайте тенета - можно без всяких лишних слов звонить в ТП, а лучше отправить почту по адресу ТП примерно в таком виде:

Код:

//Номер договора/Логин
//Подсеть
У меня есть вирус на локальном ресурсе тенета
//результат вывода команды ipconfig /all
//результат вывода команды arp -a
Спасибо Вам за заботу
Искренее Ваш, абонент Тенета

[Moke]

Зачотно все расписано, думаю теперь разберутся даже домохозяйки..

[grinch]

ПОЧЕМУ ИМЕНННО ПРОВАЙДЕРА, ТО ЕСТЬ НА ЛОКАЛЬНЫХ РЕСУРСАХ?
Еще раз : потому что подмена идет МАС локального шлюза. Сайты, на которые маршрут идет через vipa (то есть сервер внешнего интернета) - не проходят через локальные шлюзы, а значит - не приходят с конями в HTML.

Теперь кое-что прояснилось. Я ж почему дергаться стал когда у нас в генпетрова2 эта подмена МАКов началась - под Линуксом вобще инета не стало. Если б на винде сидел, и бровью бы не повел, ибо если инет есть, то чего вдруг смотреть какой там адрес присвоил мне dhcp. А то, что инета не было, это скорей всего как-то связано с тем, что при поднятии ррр у меня устанавливаеться для него маршрут по умолчанию. При этом, насколько я вижу, даже домашние сайты идут через vipa (и именно поэтому, насколько я понял, на ВК не выдаются прямые ссылки на страницах). Но мои скудные знания о маршрутизации не дают мне закончить мысль И еще: я думал, как же это в нескольких сетях одновременно? Получается, что какой-то обычный пользователь тенета подхватывает вирус, который сам начинает атаку. Так получается что ли?

[troppus]

troppus, напомни
Ильфа и Петрова тоже часть Вильямса? или нет?

Улица Ильфа и Петрова достаточно большая. По этой улице есть три сети домнет. Уточни адрес проживания, логин или ИП (по локальной сети), тогда я смогу ответить.

[troppus]

ARP Poison Routing
Это и есть когда злоумышленник перехватывает данные между двумя машинами, подделывая свой мак под чужой
В нормальных свичах от этого есть защита, тоесть как минимум привязка мака к порту.
вот статья про это - http://xgu.ru/wiki/ARP-spoofing , вроде нормальная

Такая ситуация возможна, но после внутреннего расследования решили, что в данном конкретном случае она исключена.

так вы вычислили хулигана?

уже почти два десятка заблокировали. Охота продолжается, так как единоразово всех вычислить не удается. А те из задротов, которые якобы уже излечили свои компы от заразы в 50% случаев через полчаса-час снова являются нелегальными шлюзами.

[troppus]

"Гений" то как раз сидит на своем маке в порту свича (который, AFAIK, как раз такой, о которых ты говоришь). Но дело в том, что вирь выступает также еще и сервером адресов в сети, и когда клиент дает запрос на получение локального адреса, зараженка ему отдает себя в качестве локального шлюза. СО своим нормальным маком. Почему, спросишь, клиент берет зараженку, а не нормального тенетовского шлюза? DHCP запросы клиент рассылает широковещательно, и тут, как говорится, кто первее - тот и папа. А так как зараженка сидит ближе, чем тенетовский сервер (и физически, и по-сетевому) - то он и оказывается первее.

Это верно в ситуации "левый ДХЦП", а к рассматриваемой проблеме подмены ИП адреса шлюза - не относится.

Конкретно применительно к тому, о чем пишет troppus, зараженный комп мака у себя не меняет (поэтому привязка порта свича к его маку его не пугает), но выступает для соседних компов в качестве шлюза локальных ресурсов.
Возьмем конкретный пример (мой).
У меня адрес шлюза 10.0.203.250 (к примеру), адрес DHCP сервера 10.0.203.1.
Если смотреть с моей стороны, в нормальной работе эти адреса - это легитимные тенетовские шлюзы, и мой трафф роутится туда, куда положено. Теперь в пределах моей подсети появился "враг". Почему именно важно, что в пределах моей подсети - потому что адреса шлюзов у нас одинаковые. Он их читает и привязывается к сетевому интерфейсу подобно снифферу.
Чтобы была понятней - представьте себе садовый шланг, который связывает кран-истоник с ведром-приемником. Шланг цельный - все красиво. И в ведро попадает чистая водичка. Пришел какой-то козел, рубанул шланг и в рассечку вставил ржавую трубу со стенками, обмазанными дерьмом. И теперь из крана по-прежнему вытекает чистая водичка, а во тв ведро попадает какое-то дерьмо. Знает ли кран, что где-то на пути что-то происходит? Нет. Зато об этом знает ведро, и именно ведро может сказать крану "Эй, там что-то не то". И тогда "водопроводчики" идут по шлангу и выбрасывают участок с говенной трубой.
Так вот что делает враг, присосавшись таким образом? он по прежнему выступает для "ведра" прежним адресом шлюза, но только вот уже с другим MAC. Ну уровне маков для крана (свича абонента) - все нормально. Физически-то МАС зараженного компа не изменился. Но для "ведра", несмотря на то, что IP шлюза остался вроде-бы и тем, МАС этого шлюза - уже другой. А значит пакета, отправляемые и получаемые от абонента нормального - будут (согласно принципам маршрутизации в IP сетях) поступать на левый шлюз.

Очень хороший пример! Спасибо!

Забиванием статической записи у себя с правильным маком шлюза - мы исключаем возможность влияния на подмену СВОЕЙ ARP-таблицы.
Отключением привязки к TCP/IP в свойствах сетевого интерфейса - мы вообще больше не волнуемся на предмет того, что происходит в подсети и кто там живет с вирусами.
Но если мы таки хотим, чтобы этого не было - увидев, что что-то не то - смотрим СВОЮ ARP-таблицу и сообщаем о ней ТП. А ТП по МАСу "спонтом шлюза" его вмиг найдет и обрубит эту "трубу с какашками"

[Vader]

f3ss, об ARP спуффинге здесь и речи не ведется. Ты немножко не понял.
"Гений" то как раз сидит на своем маке в порту свича (который, AFAIK, как раз такой, о которых ты говоришь). Но дело в том, что вирь выступает также еще и сервером адресов в сети, и когда клиент дает запрос на получение локального адреса, зараженка ему отдает себя в качестве локального шлюза

Фиктивный DHCP сервер. И этим все сказано
Нужна изоляция юзер-портов друг от друга. Решается на стороне провайдера.

[fatman]

К вирусной ситуации это не имеет отношения, я слегка перепутал.
Зачастую в одной подсети наблюдаются и фиктивные сервера, а вирусы.
Тут мы о вирусах.

Нужна изоляция юзер-портов друг от друга

а зачем тогда вообще локальная сеть?

[CR@ZY_KOT]

Нужна изоляция юзер-портов друг от друга. Решается на стороне провайдера.

Закажи себе выделеную линию... и будешь изолирован...

А домнет это локальные сети

[Ubin]

Прикольно, это значит любая локадка не защищена от такой атаки? Например в Соборке можно такое сделать? Его бы талант да в полезных целях, скажем сайт webmoney перехватить, а то какое то мелкое хулигаство
Но все таки непонятно, то речь шла о фиктивном dchp, но это уровень ip, причем тут тогда arp и mac? Это все совершенно разные вещи. А от arp спуфинга вроде как уже много лет научились защищаться. Я б на его месте лучше бы не шлюз подделал, а dns сервер, тогда можно было бы создавать зеркала любых сайтов
И еще не понятно, каким же образом вирус через подделаные странички поражал компы юзеров?

[grinch]

И еще не понятно, каким же образом вирус через подделаные странички поражал компы юзеров?

Впаять в странчку можно любой вирус. Мало ли...

[lentjy]

Если у меня в DNS шлюзе был всего 1 адрес, вместо обычных 2, это значит что я заражен?? зы я щас на новой винде, глюки были в старой, хотя могу в нее загрузиться и глянуть

[Ewgen]

Варианта три.
1. Продолжать мучаться дальше, осознавая свою безграмотность и безнадежность.
2. Научиться пользоваться компьютером в степени достаточной для понимания основных происходящих процессов.
3. Женить на себе компьютерщика.

А это уже не этически... я думаю что не все понимают вообще о чем тут идет речь..А ТеНеТ должен обеспечивать нормальную работу..есть люди которым нафик это все не надо, а нужно просто качественный интернет

[fatman]

Ewgen, ты где-то видел "этических" технарей? по-моему, выше все более чем обьяснено. И почему тенет своими силами не может разрулить эту проблему - тоже. Со стороны тенета проблема не видна!!!
еще остались какие-то вопросы? задавай их по существу, а не подымай вечные вопросы этики.