/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
Sniffe Pakker på et Switched net?
Fra : Dennis Pedersen


Dato : 03-03-02 18:00

Hej!
Jeg har været af den overbevisning at <subject> ikke har kunne lade sig
gøre. Men på Linuxforum2k der blev der omtalt at dette godt kunne lade sig
gøre ?! (Diskutionen gik ret hurtigt over i ipv6 hvorefter tiden løb ud så
jeg fik egentlig aldrig nogen uddybning :()
Hvordan i al verden kan det lade sig gøre på en switch?!


/Dennis



 
 
Jesper Skriver (03-03-2002)
Kommentar
Fra : Jesper Skriver


Dato : 03-03-02 18:43

On Sun, 3 Mar 2002 18:00:09 +0100, Dennis Pedersen wrote:
> Hej!
> Jeg har været af den overbevisning at <subject> ikke har kunne lade sig
> gøre. Men på Linuxforum2k der blev der omtalt at dette godt kunne lade sig
> gøre ?! (Diskutionen gik ret hurtigt over i ipv6 hvorefter tiden løb ud så
> jeg fik egentlig aldrig nogen uddybning :()
> Hvordan i al verden kan det lade sig gøre på en switch?!

Ved at spoofe ARP, sådan at maskine A tror at mac adressen på
maskine B er din maskine, så du modtager pakkerne, sniffer dem, og
sender dem videre til B

--
Jesper Skriver, CCIE #5456
FreeBSD committer

Dennis Pedersen (03-03-2002)
Kommentar
Fra : Dennis Pedersen


Dato : 03-03-02 18:51


"Jesper Skriver" <harvest@wheel.dk> wrote in message
news:slrna84o5e.1bhj.harvest@freesbee.wheel.dk...
> On Sun, 3 Mar 2002 18:00:09 +0100, Dennis Pedersen wrote:
> > Hej!
> > Jeg har været af den overbevisning at <subject> ikke har kunne lade sig
> > gøre. Men på Linuxforum2k der blev der omtalt at dette godt kunne lade
sig
> > gøre ?! (Diskutionen gik ret hurtigt over i ipv6 hvorefter tiden løb ud

> > jeg fik egentlig aldrig nogen uddybning :()
> > Hvordan i al verden kan det lade sig gøre på en switch?!
>
> Ved at spoofe ARP, sådan at maskine A tror at mac adressen på
> maskine B er din maskine, så du modtager pakkerne, sniffer dem, og
> sender dem videre til B

Ahae...Men hvis der er en overførsel igang mellem a og b, så kan C ikke
umiddelbart spoofe a's adresse overfor b eller?
Fordi umiddelbart ville jeg da tro der opstod en konflikt?!
Er det noget man kan tiltrerre sig ud af eller?

/Dennis



Jesper Skriver (03-03-2002)
Kommentar
Fra : Jesper Skriver


Dato : 03-03-02 18:53

On Sun, 3 Mar 2002 18:50:59 +0100, Dennis Pedersen wrote:
>
> "Jesper Skriver" <harvest@wheel.dk> wrote in message
> news:slrna84o5e.1bhj.harvest@freesbee.wheel.dk...
>> On Sun, 3 Mar 2002 18:00:09 +0100, Dennis Pedersen wrote:
>> > Hej!
>> > Jeg har været af den overbevisning at <subject> ikke har kunne lade sig
>> > gøre. Men på Linuxforum2k der blev der omtalt at dette godt kunne lade sig
>> > gøre ?! (Diskutionen gik ret hurtigt over i ipv6 hvorefter tiden løb ud så
>> > jeg fik egentlig aldrig nogen uddybning :()
>> > Hvordan i al verden kan det lade sig gøre på en switch?!
>>
>> Ved at spoofe ARP, sådan at maskine A tror at mac adressen på
>> maskine B er din maskine, så du modtager pakkerne, sniffer dem, og
>> sender dem videre til B
>
> Ahae...Men hvis der er en overførsel igang mellem a og b, så kan C ikke
> umiddelbart spoofe a's adresse overfor b eller?

Den sender blot en gracious arp som unicast til B, så opdager A
aldrig at du har spoof'et dens MAC adresse over for B.

> Fordi umiddelbart ville jeg da tro der opstod en konflikt?!

Se ovenfor.

> Er det noget man kan tiltrerre sig ud af eller?

Filtrere ? Nej, ARP skal ligesom virke ...

--
Jesper Skriver, CCIE #5456
FreeBSD committer

Dennis Pedersen (03-03-2002)
Kommentar
Fra : Dennis Pedersen


Dato : 03-03-02 19:18


"Jesper Skriver" <harvest@wheel.dk> wrote in message
news:slrna84oo0.1cra.harvest@freesbee.wheel.dk...
> On Sun, 3 Mar 2002 18:50:59 +0100, Dennis Pedersen wrote:
> >
> > "Jesper Skriver" <harvest@wheel.dk> wrote in message
> > news:slrna84o5e.1bhj.harvest@freesbee.wheel.dk...
> >> On Sun, 3 Mar 2002 18:00:09 +0100, Dennis Pedersen wrote:
> > Ahae...Men hvis der er en overførsel igang mellem a og b, så kan C ikke
> > umiddelbart spoofe a's adresse overfor b eller?
>
> Den sender blot en gracious arp som unicast til B, så opdager A
> aldrig at du har spoof'et dens MAC adresse over for B.
>
> > Er det noget man kan tiltrerre sig ud af eller?
>
> Filtrere ? Nej, ARP skal ligesom virke ...

Jeg tænkte på filtrerre as in undgå at der var nogen der spoofede mac
adresser på sit LAN
Eller hvordan tager man sine forholdsregler for at undgå spoofede ARP pakker
på sit LAN?

/Dennis



Jesper Skriver (03-03-2002)
Kommentar
Fra : Jesper Skriver


Dato : 03-03-02 20:21

On Sun, 3 Mar 2002 19:17:35 +0100, Dennis Pedersen wrote:

> "Jesper Skriver" <harvest@wheel.dk> wrote in message
> news:slrna84oo0.1cra.harvest@freesbee.wheel.dk...
>
>> On Sun, 3 Mar 2002 18:50:59 +0100, Dennis Pedersen wrote:
>>
>> > "Jesper Skriver" <harvest@wheel.dk> wrote in message
>> > news:slrna84o5e.1bhj.harvest@freesbee.wheel.dk...
>> >
>> >> On Sun, 3 Mar 2002 18:00:09 +0100, Dennis Pedersen wrote:
>> >
>> > Ahae...Men hvis der er en overførsel igang mellem a og b, så kan C
>> > ikke umiddelbart spoofe a's adresse overfor b eller?
>>
>> Den sender blot en gracious arp som unicast til B, så opdager A
>> aldrig at du har spoof'et dens MAC adresse over for B.
>>
>> > Er det noget man kan tiltrerre sig ud af eller?
>>
>> Filtrere ? Nej, ARP skal ligesom virke ...
>
> Jeg tænkte på filtrerre as in undgå at der var nogen der spoofede mac
> adresser på sit LAN
>
> Eller hvordan tager man sine forholdsregler for at undgå spoofede ARP
> pakker på sit LAN?

Det kan du ikke.

Hvis du ikke stole på de maskiner der er på samme broadcast medie,
så må du enten isolere de maskiner du ikke stoler på, eller kryptere
trafikken.

--
Jesper Skriver, CCIE #5456
FreeBSD committer

Dennis Pedersen (04-03-2002)
Kommentar
Fra : Dennis Pedersen


Dato : 04-03-02 00:43


"Jesper Skriver" <harvest@wheel.dk> wrote in message
news:slrna84ts5.1rq2.harvest@freesbee.wheel.dk...
> On Sun, 3 Mar 2002 19:17:35 +0100, Dennis Pedersen wrote:
>
> > "Jesper Skriver" <harvest@wheel.dk> wrote in message
> > news:slrna84oo0.1cra.harvest@freesbee.wheel.dk...
> >
> >> On Sun, 3 Mar 2002 18:50:59 +0100, Dennis Pedersen wrote:
> >>
> >> > "Jesper Skriver" <harvest@wheel.dk> wrote in message
> >> > news:slrna84o5e.1bhj.harvest@freesbee.wheel.dk...
> >> >
> >> >> On Sun, 3 Mar 2002 18:00:09 +0100, Dennis Pedersen wrote:
> >> >
> >> > Ahae...Men hvis der er en overførsel igang mellem a og b, så kan C
> >> > ikke umiddelbart spoofe a's adresse overfor b eller?
> >>
> >> Den sender blot en gracious arp som unicast til B, så opdager A
> >> aldrig at du har spoof'et dens MAC adresse over for B.
> >>
> >> > Er det noget man kan tiltrerre sig ud af eller?
> >>
> >> Filtrere ? Nej, ARP skal ligesom virke ...
> >
> > Jeg tænkte på filtrerre as in undgå at der var nogen der spoofede mac
> > adresser på sit LAN
> >
> > Eller hvordan tager man sine forholdsregler for at undgå spoofede ARP
> > pakker på sit LAN?
>
> Det kan du ikke.

Uhm okai..
Så var det jeg tænkte hvordan sikrer en ISP sig så at der ikke kommer
spoofede pakker ind i sit net?

>
> Hvis du ikke stole på de maskiner der er på samme broadcast medie,
> så må du enten isolere de maskiner du ikke stoler på, eller kryptere
> trafikken.

As in oprette en masse VLANs?

/Dennis



Jesper Skriver (04-03-2002)
Kommentar
Fra : Jesper Skriver


Dato : 04-03-02 01:18

On Mon, 4 Mar 2002 00:43:29 +0100, Dennis Pedersen wrote:

> Uhm okai..
> Så var det jeg tænkte hvordan sikrer en ISP sig så at der ikke kommer
> spoofede pakker ind i sit net?

Man har ikke multiple kunder på et broadcast domain, og så kan kunden
kun sniffe sig selv ...

>> Hvis du ikke stole på de maskiner der er på samme broadcast medie,
>> så må du enten isolere de maskiner du ikke stoler på, eller kryptere
>> trafikken.
>
> As in oprette en masse VLANs?

Ja.

--
Jesper Skriver, CCIE #5456
FreeBSD committer

Christian E. Lysel (03-03-2002)
Kommentar
Fra : Christian E. Lysel


Dato : 03-03-02 22:14

Jesper Skriver wrote:

>>Er det noget man kan tiltrerre sig ud af eller?
> Filtrere ? Nej, ARP skal ligesom virke ...


Måske kan hans spørgsmål godt misforståes, men det er da muligt at
fortælle en switch hvilke MAC adresser der sidder på hvilke porte.




Jesper Skriver (03-03-2002)
Kommentar
Fra : Jesper Skriver


Dato : 03-03-02 22:57

On Sun, 03 Mar 2002 22:14:20 +0100, Christian E. Lysel wrote:
> Jesper Skriver wrote:
>
>>>Er det noget man kan tiltrerre sig ud af eller?
>> Filtrere ? Nej, ARP skal ligesom virke ...
>
> Måske kan hans spørgsmål godt misforståes, men det er da muligt at
> fortælle en switch hvilke MAC adresser der sidder på hvilke porte.

Ja - det er rigtigt - det havde jeg glemt.

Noget andet er, at det i praksis er et administrativt mareridt.

--
Jesper Skriver, CCIE #5456
FreeBSD committer

Martin Bilgrav (04-03-2002)
Kommentar
Fra : Martin Bilgrav


Dato : 04-03-02 13:06


"Dennis Pedersen" <usenetspam@*FJERNDETTE*daydreamer.dk> wrote in message
news:oEsg8.14429$PE.1119919@news000.worldonline.dk...
> Hej!
> Jeg har været af den overbevisning at <subject> ikke har kunne lade sig
> gøre. Men på Linuxforum2k der blev der omtalt at dette godt kunne lade sig
> gøre ?! (Diskutionen gik ret hurtigt over i ipv6 hvorefter tiden løb ud så
> jeg fik egentlig aldrig nogen uddybning :()
> Hvordan i al verden kan det lade sig gøre på en switch?!


Mange Rigtige switche har en mirror-port feature, således at du kan få alle
de pakker som findes på een bestemt port, mirrored til en hvilken somhelst
anden port, denne port sætter du så din probe på.
Nogle steder hedder den også monitor port...

HTH
Martin Bilgrav




Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408946
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste