Создал тему в "Новичках", потому что в сетевых технологиях я - полный нуль, знания дальше сокетов и Internet API не идут никуда, а возникла проблема следующего рода. На днях мне тупо отрубили инет. Позвонил провайдеру, типа, так и так, он мне ответил, что пока я не перестану, он в сеть меня не пустит. Слово за слово, и выяснилось следующее. По его словам, моя машина через broadcast шлёт ему пакеты, которые блокируют работу всех остальных точек доступа. Это достигается за счёт того, что при определении MAC-адреса моя машина (дальше цитирую) "шлёт пакет, который вместо уведолмления о том, что всё нормально, посылает информацию о том, что это - единственная машина в сети, каждые секунд 10 ситуация повторяется". Дальше или я чё-то не понял, или он не так объяснил, но суть такая, что каким-то способом у всех остальных физических адресов значение мака меняется на мой поддельный, и сеть падает. По его словам, либо я сам заюзал зачем-то такую программу, либо какой-то трой, но пока я это не исправлю, в сеть он меня не пустит. Предложил переустановить винду. Но это не выход хотя б потому, что я её переустановлю, а всё повторится. Нужно разобраться, что к чему. Кто что посоветует?

Что было сделано?

Чере RkU глянул систему на наличие скрытых процессов, перехватов и т.д., но никаких аномалий не обнаружил. Пытался сканить докотором вэбом - он тоже ничего не нашёл. Сегодня буду пробовать сниффером найти хоть какие-то соединения и перехватить траффик, но т.к. сети у меня нет, вполне вероятно, что это ничего не даст, т.к. нечего будет перехватывать. Хочу ещё попробовать позакрывать фаерволом порты и поблочить соединения, но что может мешать зловреду юзать вполне легитимный канал, ведь на 100 % всё заблочить нельзя - сеть не будет работать.

Ещё вопрос такого рода - каким способом такое может достигаться? Т.е. может ли зловред делать такое простыми сокетами, или тут нужны Raw Sockets и инжект в ядро? Могут ли помочь антивири или это дохлый номер?

Чисто с теоретической точки зрения интересно, чьи это бока. Т.е. если так можно положить любую сеть, то, понятно, мои. А если это их косяки в настройке, то тогда это уже не только (и не столько) моя вина, т.к. они берут деньги, а предоставляют некачественные услуги.

Ещё пров что-то говорил про АРП, наверное, имелось ввиду вот это --> Инфа <--. Из прочитанного я понял, что елси б у меня в этой таблице было какое-то значение, то широковещательная рассылка не велась бы. Значит трою, минимум, пришлось бы её (таблицу) чистить. Или не пришлось бы?

Да, кстати, что ещё интереснее - какой интерфейс сниффать? Т.е. есть TCP и UDP, каким способом передаются эти пакеты (ARP)? Или я ввобще вася, и эти арп ничего общего не имеют с TCP и UDP?

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

Немного неверно - подменить MAC для одного пакета нельзя - это ограничение на уровне hardware. MAC в типичных железках меняется только через процедуру "положил/поднял" интерфейс со всеми вытекающими пересогласованиями. Т.е. можно поменять MAC на карте на супостатский, "нагадить" и вернуть его назад. Конечно никто не мешает найти или сделать железо, которое будет работать как хочется, но придется писать под него свой хитрый драйвер, так как сетевой стек OS обычно таких резких поворотов не ожидает.

| Сообщение посчитали полезным:

У меня полгода назад была не совсем похожая, но всё же проблема. Суть такова:

инет был раньше через vpn, белый ip ещё стоил денег. И вот моя провайдер-компания объявила о переоборудовании сети, чуть позже - о бесплатной раздаче белых ip. Взял белый ip... Через 2 недели нет инета, не могу автоматом получить ip. Я сменил на свой старый из 10.0.0.0 - сеть есть, могу оставить заявку на форме обратной связи, пообщаться на форуме, но инета естественно нет, т.к. и vpn уже убрали за ненадобностью. Мой админ мне тогда объяснил, что это связано как-то с ошибками в настройках их таблиц (ip - mac) на их серверах и проявляет себя данный дефект только для 2-3 абонентов (зависит от объёма косяков) и только тогда, когда опредёленный абонент включает комп. Выключает - всё нормально. Из-за ошибок в таблицах, не понял каким образом, но происходит смещение таблиц, что ли, при включении компа этого самого абонента. Ошибки были допущены нанятым на время программистом (типа - фриланс).

Косяки были устранены в течении 2-3 часов. Исправлялся скрипт на питоне, как мне объяснили...

-----
IZ.RU

| Сообщение посчитали полезным:

Вполне кошерно подменяется MAC для одного пакета через тот же WinPCap, не обманывай народ.

| Сообщение посчитали полезным:

ARCHANGEL
Найти "клона" (который шлет пакеты от твоего МАКа) раз плюнуть при наличии более или менее умных свичей у прова. Свичи (на то они и свичи) запоминают в каком порту находится тот или иной мак и эту информацию можно посмотреть на свичке. Соответственно проходимся по свичам и ищем откуда пришли пакетики с твоим маком. Админ кстати мог бы сразу вычислить данную ситуацию. У нас каждый абонент был прописан на порту и если каким то образом мак клиента появлялся в другом порту, то билась тревога и фиксировалась данная аномалия. Дальше разбор полетов с клиентом и выезд монтажников к "клону"

Из твоего лога видно:
Имя компа AHTEAM-5CC5A3DA
МАК твоей сетевухи в компе 00:e0:52:92:d3:3b
Шлюз скорей всего 192.168.230.254 и его МАК 00:1b:21:4e:ee:00 (скорей всего обычный тазик с Интеловой сетевухой).

ARP spoofing в основном то делается с помощью генерации arp ответов (reply) которых в твоем логе не так то и много (30 штук) и половина которых прилетела из-за шлюза, тоесть 100% не с твоей стороны. Так что ничего подозрительного не вижу.

Админа я думаю напрягла картина кучки арп запросов (~1200 запросов за минуту) от МАКа 00:0c:42:a4:e7:63 и 00:0c:42:80:8b:b3. Они впринципе без вредны, но их много и его это напрягает. А раз его напрягает пускай и ищет откуда они и кто их шлет (скорей всего какое то глючное оборудование).

Это точно не ARP poison, так как МАКи источника должны генериться разные дабы свичка захлебнулась от кол-ва МАКов и превратилась в самый обычный хаб, который в итоге будет во все порты слать весь трафик и втаком случае можно снифать чужой трафик.

Интересный МАК 00:15:6d:f2:18:b4 - шлет спам на странные ящики не понятно каким образом эти пакеты попали к тебе на комп.

Так же в логе заметил что пров зачем то оставил общедоступный snmp комьюнити (public) на своё оборудование и любой желающий может посмотреть инфу по оборудованию. Надеюсь хоть на запись комьюнити сменили.

-----
Computer Security Laboratory

| Сообщение посчитали полезным: ARCHANGEL

Rus
МАК это 6 байтиков в пакете, а сгенерировать пакет и выплюнуть его в сетевуху как нефиг делать! Так что никакого спецефичного железа не нужно городить.

-----
Computer Security Laboratory

| Сообщение посчитали полезным: DenCoder

учитывая что MAC можно сменить в винде как для сетевухи так и для wifi в опциях свойств сетевки

| Сообщение посчитали полезным: DenCoder

Archer пишет:
Вполне кошерно подменяется MAC для одного пакета через тот же WinPCap, не обманывай народ.

Да, был не прав. Проверил через player pcap файлов - легко посылается любой ARP пакет.

| Сообщение посчитали полезным:

[HEX]
Спасибо за разъяснения. По поводу двух маков, с которых идёт множество арп - я говорил о них провайдеру, он сказал, что это маршрутизаторы, за которыми располагается очень большая сеть, говорил, что посмотрит за их активностью, но так это ничем больше не кончилось. Видимо, с ними всё норм.

Наконец-то свершилось чудо - в субботу приехал провайдер, он же админ! Снял точку доступа и увёз её. Во вторник привезёт другую. Говорит, что она "глюканула", причины глюков неизвестны. Правда не поверил мне на слово, что у меня нет никакой малвари - подключал свой ноут и проверял, результат был тот же. Только после этого решил менять точку доступа. Правда, если они мне так каждый месяц будут её менять - я для них буду невыгодным клиентом.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL
Ну вот значит изначально был я прав насчет глючного железа Мелкие сети (впринципе крупные сети тоже этим иногда грешат) строятся на относительно дешевом оборудовании которое увы не отличается стабильностью. Хотя даже более или менее дорогое оборудование (например Linksys которые теперь by CISCO) и то глючит.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

ARCHANGEL Припоминается мне такое : у приятеля была проблема - купили железки, а серийник у них один и тот же. А другой приятель помогал эти серийники править. Может и тут китайцы ЛАЖАНУЛИСЬ И как вариант : хакер прослушивал сеть, а потом игрался с МАК своей железки. На многих железках смена МАК-адреса относительно просто делается.

| Сообщение посчитали полезным:

Ну если до кучи расказывать сетевые истории, то был косяк с дровами на сетевуху идующими в комплекте с Виндой под чип Sis-900. У всех таких сетевух выставлялся МАК 00-E0-06-09-55-66 и в сети начиналась веселуха. Наши ребята замучались ездить по клиентам ставить нормальные дрова и объяснять что в будущем им не стоит этой сетевухой пользоваться или в обязательном порядке ставить нормальные дрова от производителя.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

О, свершилось великое чудо! Инет появился! Провайдер сказал, что на точку доступа светило солнце, из-за чего расплавился процессор.

З.Ы. Я не курю и не пью! Правда, так и сказал - расплавился.

-----
Stuck to the plan, always think that we would stand up, never ran.

| Сообщение посчитали полезным:

ARCHANGEL
Ну хоть вернули инет и то хорошо =) Я бы еще попросил компенсации (днями или трафиком).

Расплавился скорей всего мозг админа вашего =) Изначально нужно было внимательней смотреть что летает в сети и откуда летает, а не подымать панику что его сетку ломают и вешать проблему на клиента.

-----
Computer Security Laboratory

| Сообщение посчитали полезным: ARCHANGEL