Создал тему в "Новичках", потому что в сетевых технологиях я - полный нуль, знания дальше сокетов и Internet API не идут никуда, а возникла проблема следующего рода. На днях мне тупо отрубили инет. Позвонил провайдеру, типа, так и так, он мне ответил, что пока я не перестану, он в сеть меня не пустит. Слово за слово, и выяснилось следующее. По его словам, моя машина через broadcast шлёт ему пакеты, которые блокируют работу всех остальных точек доступа. Это достигается за счёт того, что при определении MAC-адреса моя машина (дальше цитирую) "шлёт пакет, который вместо уведолмления о том, что всё нормально, посылает информацию о том, что это - единственная машина в сети, каждые секунд 10 ситуация повторяется". Дальше или я чё-то не понял, или он не так объяснил, но суть такая, что каким-то способом у всех остальных физических адресов значение мака меняется на мой поддельный, и сеть падает. По его словам, либо я сам заюзал зачем-то такую программу, либо какой-то трой, но пока я это не исправлю, в сеть он меня не пустит. Предложил переустановить винду. Но это не выход хотя б потому, что я её переустановлю, а всё повторится. Нужно разобраться, что к чему. Кто что посоветует?

Что было сделано?

Чере RkU глянул систему на наличие скрытых процессов, перехватов и т.д., но никаких аномалий не обнаружил. Пытался сканить докотором вэбом - он тоже ничего не нашёл. Сегодня буду пробовать сниффером найти хоть какие-то соединения и перехватить траффик, но т.к. сети у меня нет, вполне вероятно, что это ничего не даст, т.к. нечего будет перехватывать. Хочу ещё попробовать позакрывать фаерволом порты и поблочить соединения, но что может мешать зловреду юзать вполне легитимный канал, ведь на 100 % всё заблочить нельзя - сеть не будет работать.

Ещё вопрос такого рода - каким способом такое может достигаться? Т.е. может ли зловред делать такое простыми сокетами, или тут нужны Raw Sockets и инжект в ядро? Могут ли помочь антивири или это дохлый номер?

Чисто с теоретической точки зрения интересно, чьи это бока. Т.е. если так можно положить любую сеть, то, понятно, мои. А если это их косяки в настройке, то тогда это уже не только (и не столько) моя вина, т.к. они берут деньги, а предоставляют некачественные услуги.

Ещё пров что-то говорил про АРП, наверное, имелось ввиду вот это --> Инфа <--. Из прочитанного я понял, что елси б у меня в этой таблице было какое-то значение, то широковещательная рассылка не велась бы. Значит трою, минимум, пришлось бы её (таблицу) чистить. Или не пришлось бы?

Да, кстати, что ещё интереснее - какой интерфейс сниффать? Т.е. есть TCP и UDP, каким способом передаются эти пакеты (ARP)? Или я ввобще вася, и эти арп ничего общего не имеют с TCP и UDP?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Если у меня NTFS
Загрузишся, но возможно не сможешь читать/писать на NTFS раздел. Флешку воткни чтобы сбросить результат.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

В общем, лайв сиди слил, до провайдера дозвонился (вообще невозмутимый человек мой провайдер, первый вопрос был: "Ну, как у вас дела?". Это при том, что уже 4 дня нет инета). Далее по ходу дела админ подтвердил, что то, что происходит - не что иное, как ARP-Spoofing. На предложения сегодня включить мне сеть, сбросить лог и т.д. отреагировал положительно. Ну что ж, посмотрим...

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

HandMill пишет:
http://www.slax.org
создан на базе slackware linux.
slax - уже давно заморожен. Вот очень хороший liveCD/USB www.sysresccd.org

| Сообщение посчитали полезным:

Если это WiFi (судя по антенне он родимый), то нужно как минимум убедится что канал зашифрован по WPA2, это даст хотя бы кое-какие гарантии по канальному уровню - например что сосед не шалит в попытках получить интернет на халяву.
Потом не понятна топология сети - WiFI карта воткнута в комп или там еще рутер есть, который у тебя дома уже сеть раздает ? Если рутер - номер паршивки и модель в студию.
Судя по описанию твой пров конечно зажигает ;) Отгребешь ты еще с ним.

| Сообщение посчитали полезным:

Oleg_Kaa как livecd slax справляется со своими задачами на все сто. Может быть sysresccd и лучше, не знаю, не пользовался таким. Со слаксом проблем не возникало, поэтому порекомендовал то что знаю, то что проверял сам.
Rus, вы лупите без баяна. Проблемы которые вы описали касаются только провайдера, а не пользователей интернетом. По фотке достаточно понятно что к антенне прикреплена точка доступа, к которой коннектятся пользователи. А от ТД, в свою очередь, спускается обычный ethernet пользователям в дом. Стало быть речи о "халявном вай-фае" и быть не может. WPA2 по сути и нафиг не нужно, поскольку для раздачи интернетов большинство провайдеров предоставляют доступ к сети через vpn.
Rus пишет:
Потом не понятна топология сети - WiFI карта воткнута в комп или там еще рутер есть, который у тебя дома уже сеть раздает ? Если рутер - номер паршивки и модель в студию.
это всё не нужная информация, и если бы так и было - топикстартер бы давно это описал.
Rus пишет:
Судя по описанию твой пров конечно зажигает ;) Отгребешь ты еще с ним.
Что вы человека пугаете какой-то ...? Пров вполне себе адекватный, он просто ожидает что ARCHANGEL окажется обычным пользователем и как все - послушно перельёт винду. А так как он является "не совсем обычным" пользователем, то сидит вот 4 дня без инета и действительно пытается разобраться в проблеме, а не поступает как рядовой юзер. Если проблема грамотно решится - возможно пров сам будет обращаться к ТС со своими проблемами.

От модератора: будешь ругаться плохими словами-карма испортится

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным: VodoleY

HandMill пишет:
По фотке достаточно понятно что к антенне прикреплена точка доступа

Именно так и есть. Это мне даже провайдер подтвердил.

Rus
От точки доступа обычный эзернет-кабель идёт по дому и напрямую втыкается в разъём сетевой карты. Никаких роутеров нет.

Теперь про события вчерашнего дня. Созвонился с провайдером и предлдожил ему подключить к инету мой старый ноутбук, который я уже недели две вообще не включал. (предполагается, что если и есть на основной машине какой-то трой, то ноутбук чист) Он согласился. Но до этого подключил мне основную машину, чтоб я через шарк увидел пакеты, которые, якобы, идут от меня к нему. Да, arp пакеты действительно в сети есть, их много, я даже лог сохранил, но по своей забывчивости его сегодня не приложу - завтра тогда уж. Потом подключили ноут - всё тоже самое. Правда, я задал ему вопрос, с чего он взял, что пакеты идут от меня? Т.к. из лога я вижу только то, что с каких-то трёх-четырёх роутеров (Router_bo xx xx, где хх - последние два хекс-значения мак-адреса) шлют мне эти арп-пакеты (роутеры стоят в графе Source). Завтра обязательно приложу лог, т.к. может я что-то не понимаю. Короче, версию с троянами мы отбросили, ведь примерно месяц назад я юзал ноутбук в командировке, где он нормально работал в локалке. Ничего на него я с тех времён не ставил, даже дома к инету не подключал. Потом провайдер что-то долго делал, перезвонил мне, сказал, что перевёл точку доступа в режим роутера, продиктовал мне значения моего нового IP (я вручную задавал его в настройках TCP/IP), маску сети, шлюз и т.д. Потом сказал мне запустить ping как говорил HandMill, но ни один пакет не дошёл до адресата. Жду завтра админа в гости, говорит, что возмёт другую точку доступа, возможно, придётся менять мою. Ещё говорит, что это, возможно, конфликт адресов.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

;) "Точка доступа" и есть роутер. Обычно там стоит встроенный Linux (BusyBox, iptables на 2 соски wlan0, eth0), яркий пример такого девайса - точки EOC-XXXX. Что написано на "точке доступа" ? Дело в том что точка действительно может работать в режиме bridge/router/repeater, но пакеты в wlan0 и eth0 такие точки могут генерировать сами (тот же демоны DHCP, BOOTP, хакнутые или поломанные точки at last). ARP пакеты это нормальное явление в сети, любой провайдер их должен корректно обрабатывать, так сказать невзирая - твой их почему-то боится ;).
Также на точки EOC, for example, можно зайти телнетом с внутренней соски и поковыряться в linux shell'е - это позволяет определить например слетели ли у нее настройки или кто девайс хакнул.
Sorry, но ты так и не ответил на вопрос о том шифрованный у тебя эфир или нет. Если нет - любой умник с WiFi мобильником/ноутом/компом рядом сможет положить твой домашний инет (даже не смотря на то что у тебя типа направленная антенна).

| Сообщение посчитали полезным:

HandMill пишет:
Rus, вы лупите без баяна. Проблемы которые вы описали касаются только провайдера, а не пользователей интернетом. По фотке достаточно понятно что к антенне прикреплена точка доступа, к которой коннектятся пользователи. А от ТД, в свою очередь, спускается обычный ethernet пользователям в дом. Стало быть речи о "халявном вай-фае" и быть не может. WPA2 по сути и нафиг не нужно, поскольку для раздачи интернетов большинство провайдеров предоставляют доступ к сети через vpn.

Халявный WiFi как-раз и получается при отсутствии шифрования. Ну ка, обьясните по шагам нам недалеким, как происходит подключение к VPN, например на широко-распространенном PPPoE варианте ? Перед VPN я всегда получу IP, а сделать это я могу как раз послав broadcast на DHCP прова, этих то пакетов он и боится судя по описанию. Если бы эфир был шифрован, то фиг бы проистекла ассоциация точки юзера с access поинтом прова. Согласен, что и WPA2 ломается, но это уже другая тема.

| Сообщение посчитали полезным:

Потом не понятна топология сети - WiFI карта воткнута в комп или там еще рутер есть, который у тебя дома уже сеть раздает ? Если рутер - номер паршивки и модель в студию.
это всё не нужная информация, и если бы так и было - топикстартер бы давно это описал.


Это как-бы имеет немаловажное значение - если wifi карта стоит у человека прямо в компе - то пакеты генерит только венда. Если стоит роутер/точка - то пакеты может генерить и она, кроме венды.

HandMill пишет:
Что вы человека пугаете какой-то хуитой? Пров вполне себе адекватный, он просто ожидает что ARCHANGEL окажется обычным пользователем и как все - послушно перельёт винду. А так как он является "не совсем обычным" пользователем, то сидит вот 4 дня без инета и действительно пытается разобраться в проблеме, а не поступает как рядовой юзер. Если проблема грамотно решится - возможно пров сам будет обращаться к ТС со своими проблемами.

1. Адекватному прову пофиг какие-то там пакеты в эфире
2. Адекватный пров шифрует свой эфир
3. Адекватный пров не перекладывает свои проблемы на юзверей
4. --//-- не отключает пользователей не предупредив их

Еще добавить ? ;) Я бы разобрался с проблемой и сменил бы такого прова нафиг

| Сообщение посчитали полезным:

Пользуйся кнопкой "Правка", не создавай сообщения подряд и не плоди ненависть.

| Сообщение посчитали полезным: Oleg_Kaa

Rus пишет:
Я бы разобрался с проблемой и сменил бы такого прова нафиг

Альтернативы нет в том районе, никто другой не берётся меня подключать. А разобраться с проблемой сам я не могу - не хватает знаний ((

ARP пакеты это нормальное явление в сети, любой провайдер их должен корректно обрабатывать, так сказать невзирая - твой их почему-то боится

Он не боится, он сам говорит, что такие пакеты вполне нормальны, но говорит, что с моего компа они приходят не нормальные.

Что написано на "точке доступа" ?
Сегодня полезу, посмотрю.

но ты так и не ответил на вопрос о том шифрованный у тебя эфир или нет
Да я б с удовольствием ответил бы, если бы знал. Как это можно определить?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
но ты так и не ответил на вопрос о том шифрованный у тебя эфир или нет
Да я б с удовольствием ответил бы, если бы знал. Как это можно определить?


1. Заходишь на точку изнутри по Web и смотришь характеристики WLAN
2. Заходишь на точку по telnet/ssh и набираешь iwconfig
3. Если есть телефон с WiFi - лезешь на крышу ближе к антенне/внутрь ее и включаешь "поиск сети", напротив ESSID будет закрытый замочек или надпись WEP/WPA.
4. Звонишь прову и задаешь ему вопрос

| Сообщение посчитали полезным:

крыша интересная, еще бы фото всего дома глянуть

| Сообщение посчитали полезным:

Rus пишет:
"Точка доступа" и есть роутер
смотря что иметь ввиду под функционалом "роутер", для меня ТД и роутер имеют кардинальные отличия в функционале. Иначе бы на крышах вместо точек доступа все лепили бы беспроводные роутеры и все точки доступа назывались бы роутерами, что б не заморачиваться.
Rus пишет:
Sorry, но ты так и не ответил на вопрос о том шифрованный у тебя эфир или нет. Если нет - любой умник с WiFi мобильником/ноутом/компом рядом сможет положить твой домашний инет (даже не смотря на то что у тебя типа направленная антенна).
что делать если SSID скрыто ?
Rus пишет:
Я бы разобрался с проблемой и сменил бы такого прова нафиг
а если рядом нет другого прова?
ARCHANGEL пишет:
Что написано на "точке доступа" ?
Сегодня полезу, посмотрю.
не нужно так париться ..., эту информацию можно будет узнать у админа, но реально она вообще не нужна.
Rus пишет:
1. Заходишь на точку изнутри по Web и смотришь характеристики WLAN
что делать если нет логина и пароля?
Rus пишет:
2. Заходишь на точку по telnet/ssh и набираешь iwconfig
что делать если тоже нет логина и пароля?
Rus пишет:
3. Если есть телефон с WiFi - лезешь на крышу ближе к антенне/внутрь ее и включаешь "поиск сети", напротив ESSID будет закрытый замочек или надпись WEP/WPA.
что делать если нет SSID?

ARCHANGEL пишет:
Жду завтра админа в гости, говорит, что возмёт другую точку доступа, возможно, придётся менять мою.
на фотке оборудования в глаза сразу бросается пигтейл(чёрный кабель соеденяющий антенну и ТД), если есть возможность - пусть ставит ubiquiti bullet 2/5(в зависимости от того на каких частотах построена сеть, но скорее всего на 2), проверенные, годные точки, очень легко настраивающиеся, имеющие широкий функционал, хорошую выходную мощность и очень даже хорошие по цене(я бы даже сказал что дешёвые). NanoStation'ы ещё хорошее решение для построения беспроводных сетей. Вообще работа с оборудованием ubiquiti оставляло только положительные впечатления //делюсь своими впечатлениями

Модератор пишет:
будешь ругаться плохими словами-карма испортится
после тех аццких постов ... очень руки чесались написать много нехороших слов в его адрес, но я держусь

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным: ARCHANGEL

По поводу WiFi и просмотра, зашифрована ли сеть.

Я включил свой ноутбук, начал с его помощью искать доступные беспроводные сети, но он ничего не нашёл: "Нет доступных беспроводных сетей". Я так полагаю, что это как раз тот случай:
HandMill пишет:
что делать если нет SSID?

Понятно дело, что никаких логинов и паролей у меня нет.

r99 пишет:
крыша интересная, еще бы фото всего дома глянуть

Я побоялся, что фото дома будет отвлекать от сути вопроса

Скажите, а что подразумевают под хаком точки доступа? Я так понимаю, что хакнутая точка доступа позволяет ещё какому-то левому челу бесплатно пользоваться инетом. Но тогда бы он просто пользовался и всё. А провайдер говорит, что когда я в сети, вся сеть ложится. Зачем бы этому халявщику, если он есть, так палиться?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Я так полагаю, что это как раз тот случай
врядли Антенны используются направленного действия(это видно на изображении) и что б что-то поймать необходимо находиться "на направленнии"(или весьма близко быть к нему приближенным). Короче это опять нужно выбираться на крышу (а этого делать без причин не считаю нужным). Ну и ещё по отношению к ТД вы находитесь "под крышей", тоесть вне зоны прямой видимости(то что нужно для уверенного сигнала wifi). И да, вдобавок, это может оказаться именно "тот случай" ;)
ARCHANGEL пишет:
Я так понимаю, что хакнутая точка доступа позволяет ещё какому-то левому челу бесплатно пользоваться инетом.
что б начать пользоваться инетом после подключения к ТД вам же скорее всего в винде необходимо будет поднять VPN-сессию(большиство провайдеров так делает).
Под "хаком" ТД можно подразумевать:
1. Слив инфы которая проходит через неё(но если соединение идёт через VPN то слить что-либо будет весьма затруднительно)
2. Полное управление оной, например точку можно вывести вообще из ЛВС провайдера, чем позлить его и пользователей подключенных к этой ТД, но тогда уже её проще украсть физически

ARCHANGEL пишет:
Понятно дело, что никаких логинов и паролей у меня нет.
Можешь их узнать на тот случай если ТД зависнет(с ними это случается довольно-таки частенько, если они не настроены должным образом, а именно - отсутствуют вотчдоги), и для прова это будет только пользой что прошаренный чел может в случае чего её перегрузить. Если есть возможность аппаратной перезагрузки(у тебя дома находится PoE адаптер // питание для ТД), то пожалуй пароли тебе не особо то и нужны будут, но за спрос, как говорится, не ударят в нос.

ARCHANGEL пишет:
Но если я не могу "поймать необходимое", находясь в доме, на три метра ниже точки доступа, то как какой-то злоумышленник может поймать траффик и хакнуть точку, находясь хрен знает где?
ну по всем мотивам жанра злоумышленник должен будет на твоём/соседнем "по линии" доме влепить собственную ТД, подключить к ней свой комп и делать что-то чёрное. При этом злоумышленник обязан быть "где-то рядом", как вы догадываетесь. Но это фигня и такое можно зарубить на корю настройками ТД, допустим ввести фильтры по макам/ip (для беспроводных клиентов)/авторизациями по WPA/WEP/Radius короче "игра должна стоить свечь" что б злоумышленник решился на такое.

-----
все багрепорты - в личные сообщения

| Сообщение посчитали полезным:

HandMill пишет:
у тебя дома находится PoE адаптер // питание для ТД

Да, именно так и есть. Вчера провайдер как раз просил меня перезагрузить её, я спросил, как. Он ответил: "Выдерните шнур питания".

Но если я не могу "поймать необходимое", находясь в доме, на три метра ниже точки доступа, то как какой-то злоумышленник может поймать траффик и хакнуть точку, находясь хрен знает где?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

HandMill пишет:
смотря что иметь ввиду под функционалом "роутер", для меня ТД и роутер имеют кардинальные отличия в функционале. Иначе бы на крышах вместо точек доступа все лепили бы беспроводные роутеры и все точки доступа назывались бы роутерами, что б не заморачиваться.

Гы, ну вообще роутер - это такая фигня, которая умеет роутить сетевой трафик между интерфейсами или есть возражения ? Точка доступа - это роутер у которого один интерфейс типа WLAN.

что делать если SSID скрыто ?

SSID и ее тип никакого отношения к определению факта шифрования не имеет.

а если рядом нет другого прова?

Чепуха, я тоже живу в частном доме и у соседей слышу такие же заявления. Только я сменил уже 4 прова. Первый был такой-же как и ТС - WiFi, только антенна у меня была другая, так как 10 км надо было пробить.

что делать если тоже нет логина и пароля?

Вежливо спрашиваешь на этом форуме, предварительно указав модель и тип устройства.

что делать если нет SSID?

Как вариант - применяешь моск, читаешь доку на эфирный сканер и т.д.

после тех аццких постов ... очень руки чесались написать много нехороших слов в его адрес, но я держусь

Ну твои аццкие посты про то, что наличие или отсутствие роутера и его тип никак не влияет на решение вопроса ТС или незнание принципов установления соединений по простейшим VPN тоже бросаются в глаза. Но как говорит старая восточная пословица - "в засохшее дерево камней не кидают".

Но если я не могу "поймать необходимое", находясь в доме, на три метра ниже точки доступа, то как какой-то злоумышленник может поймать траффик и хакнуть точку, находясь хрен знает где?

У тебя стоит узконаправленная антенна, у провайдера - нет. У него обычно ставится штырь с диаграммой 360. Точка у провайдера, если глянешь на трафик, представляет собой хаб, даже не свитч, что значит - делай с эфиром что хочешь, включая тебя.

| Сообщение посчитали полезным:

Наконец выкладываю долгожданный лог из шарка. Надеюсь, что он прояснит ситуацию.

Rus пишет:
Чепуха, я тоже живу в частном доме и у соседей слышу такие же заявления.

Перед тем, как подключиться, я обзвонил всех провайдеров своего города - ни один, кроме нынешнего, даже рассматривать не стал мой вариант. Так что выбора нет. Его точно нет. Это факт!



bae0_28.07.2011_EXELAB.rU.tgz - TheLog.rar

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Перед тем, как подключиться, я обзвонил всех провайдеров своего города - ни один, кроме нынешнего, даже рассматривать не стал мой вариант. Так что выбора нет. Его точно нет. Это факт!


А их не надо обзванивать - сканируешь сеть, выбираешь тех кого твоя точка ловит с уровнем хотя-бы -80дБ и подключаешься на тестовый период.

ARCHANGEL пишет:
Наконец выкладываю долгожданный лог из шарка. Надеюсь, что он прояснит ситуацию.

Ok, а MAC адрес твоей точки ? Дамп я так понимаю снят на eth0 венды и точка опять в режиме bridge ?

| Сообщение посчитали полезным:

Rus пишет:
Ok, а MAC адрес твоей точки ?

По памяти не скажу, но, открыв лог, чисто по смыслу я так понял, что вот это он:
00:e0:52:92:d3:3b Или это - адрес компа?

Дамп я так понимаю снят на eth0 венды и точка опять в режиме bridge ?
Eth0 - это, если я правильно понял, сокращение от Ethernet. При этом 0 - это номер моей сетевой платы? Т.е. 0 значит, что она идёт первой в списке сетевых адаптеров? Если это так, то какая разница? Но если разница есть, то да - именно eth0.

Режим bridge - тот, что мост? Да, он.

Обрисую ситуацию, в которой был записан лог. Я включил комп, запустил шарк, он стал ловить редкие пакеты DHCP (видно в начале лога), сети не было. Далее я позвонил админу и попросил меня подключить. Как только меня подключили, пришли первые арп-пакеты. Потом меня отключили опять, и запись лога я прекратил.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

не?

http://forum.ixbt.com/topic.cgi?id=14:40808

| Сообщение посчитали полезным:

Av0id
Я не знаю, попробую прописать в реестре следующее:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters\
MaintainServerList = false
IsDomainMaster = false

А там - посмотрим. Но у меня встречный вопрос - почему вы сделали такой вывод?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL пишет:
По памяти не скажу, но, открыв лог, чисто по смыслу я так понял, что вот это он:

Вряд-ли, судя по логу на карту Brocadec вообще ничего не приходило, да и запросы у нее не DHCP а BOOTPC. Как я уже говорил - точка в режиме bridge покажет весь эфир провайдера - в логе это четко видно. Для разбора полетов нужно знать твои MAC'и :

MAC eth0 венды -> MAC eth0 точки -> MAC wlan0 точки -> MAC wlan провайдера (необязательно)

Ok, закрой в своем firewall исходящий трафик на порты UDP 67-68 и TCP 137-138, включи интернет и спроси у своего провайдера пропали "страшные пакеты" или нет ;)

| Сообщение посчитали полезным:

Rus
Попробую сегодня Агнитум настроить согласно --> Ссылке <-- и вашим рекомендациям. Но почему провайдеру не нравятся именно арп?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

who has arp -это стандратный запрос, он от всех клиентов должен(может) идти
вообщем твоя проблема, это тупость твоего провайдер-админа
решить ее можно только притворившись тупой марионеткой, и под сюсимуси спрашивать у твоего админа что тебе и как нужно сделать
скажет переставь винду, черт возьми - найди другой hdd, просетапь новую винду и отчитайся твоему админу что все сделано и пусть подключает инет
будут идти какие то левые запросы, скажи что ты ничего не делал, винда нулячая, пусть сам приедет посмотрит если не верит
если админ настолько туп что не может каждому клиенту по vlan нарезать, там разбиратся даже неочем

| Сообщение посчитали полезным:

ARCHANGEL пишет:
Попробую сегодня Агнитум настроить согласно --> Ссылке <-- и вашим рекомендациям. Но почему провайдеру не нравятся именно арп?

Я думаю что провайдер ляпнул первое умное слово, которое у него вертелось на языке. С ARP, судя по логу все OK. Да, там есть пару SMNP/NetBios пакетов, которые могут доставлять мелкие проблемы, в случае ракообразных настроек у конкретных участников сети.
Еще как вариант - кто-то пытается работать под твоим wlan0 MAC'ом. Тогда ты своий шарком ничего не увидишь, а вот провайдер увидит кашу из ARP ответов, так как на один его ARP запрос будет приходить 2 ответа - от тебя и от клона.

| Сообщение посчитали полезным:

Rus
Если я правильно понял, то любой участник локалки может выбрать любого другого участника локалки в качестве жертвы, и тупо посылать прову запросы от несуществующей машины в сети с таким же маком, как у жертвы? В таком случае злоумышленника никак не вычислить. И это явление просто положит локалку (поскольку широковещательные пакеты идут не только прову, но и всем участникам сети), а вот если пров отключит жертву, то злоумышленник путём сниффанья локалки определит, что жертва офф-лайн, и прекратит такую рассылку - в результате сеть заработает нормально, а злоумышленник останется анонимом. При таком сценарии любой юзер может отключить любого, и ему за это ничего не будет? Но это ж, минимум, очень странно. Неужели пакеты арп постоянно идут туда-сюда, чем не только захламляют эфир, но и позволяют левым людям узнать, когда я он-лайн?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Локалку не положит, положит только тебя - вот почему непонятна паника твоего прова (правда тут еще надо подумать о маловероятном случае когда твой MAC совпадает с wlan0 прова - но тогда ты бы в жизни ни разу не попал в инет). Увы ARP по природе своей никак не защищен (см. http://xgu.ru/wiki/ARP-spoofing). Есть конечно решения, которые позволяют защититься от нескольких типов атак и похожих на твои проблем, но полностью они вопрос не решают - обычно разбор каждой ситуации происходит вручную. Ну и ясен пень - открытый эфир - это 99% источник таких проблем - в некоторых европейских странах за нешифрованый wifi положен штраф (германия for example 100 евров за точку). У нас отношение как обычно - до спины. Ну еще можно добавить что иметь дома оборудование и не знать/не сменить пароль к панели управления ... no comments
В твоем случае узнать что тебя пытаются спуфить довольно просто - меняешь на 1 последний байт MAC'а своего wlan0 и посылаешь arping'ом запрос на свой старый MAC - если придет ответ - то заодно тебе будет известен и IP клона. Дальше NMAP, логи провайдера и все такое - найти его обычно не проблема пока он в сети - главное не спугнуть сгоряча ;)

| Сообщение посчитали полезным:

Если я правильно понял, то возможно вручную создать абсолютно любой пакет, тот же арп. Причём со всеми необходимыми мне параметрами. Допустим, у меня в сети есть редиска, которого я хочу проучить. Я ручками создаю пакеты арп с Sender hardware address равному маку редиски. Плюс от компа редиски такие пакеты генерирует винда. В результате пров получает просто два таких пакета. Не знаю, как это положит сеть, или абонента, или локалку, но вопрос в другом - меня никто не запалит, т.к. мой комп реально не будет (не отвечает) отвечать на арп по редискиному маку. Или я что-то понял неправильно?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным: