ARP-спуфинг

Здравствуйте! Уважаемые знатоки, вопрос к вам, что такое ARP-спуфинг и как с ним бороться??? Outpost показывает великое множество единичного сканирование различных портов и я сделал вывод, что это и есть ARP-спуфинг.... может это и не так, но инет стал тормозить, а при подключении торрент-клиента инет вообще off! После установки программы Arp Defender выход в инет стал уверенннее. Повторюсь... Уважаемые знатоки, вопрос к вам, что такое ARP-спуфинг и как с ним бороться??? Всем спасибо за помощь !!! P.S. в гугле много чего по этому вопросу, но доходчивого объяснения не попалось.

ARP - протокол используется для перевода АйПи адресов в МАК адреса (). Если не ошибаюсь, второй уровень OSI модели. Принцип работы: клиент посылает бродкаст следующиго содержания - "доброго времени суток, мой АйПи YYY, мой МАК такой-то. ищу мак того у кого АйПи ХХХ". Комп которому принадлежит айпишник, посылает ответ на на адрес того, от кого получен запрос со своим мак адресом.
АРП спуффинг - это когда клиенту который ничего не запрашивал приходит арп пакет с заведомо ложной информацией. Таким образом злоумышленник может выдать себя за шлюз со всеми вытикающими отсюда последствиями. Т.е. вся информация, которая придназначается для шлюза будет передана на машину злоумышленника. Брэдмауер не видит, что происходит на втором уровне OSI, поэтому ты ничего не заметишь, когда кто то будет АРП спуффинг использовать. Бороться с этим можно только одним способом - прописать статические данные в АРП таблицу.
Вроде как всё )) что непонятно спрашивайте, постараюсь разъяснить. Кстати на википедии есть статейки и про АРП и про АРП спуффинг.

dwg_111 писал(а):

Бороться с этим можно только одним способом - прописать статические данные в АРП таблицу.

---------------- сомневаюсь... АРП таблицу надо делать на чистую ОС!!! а от сюда, вопрос... если я не прав, поправьте.... как сделать правильно эту таблицу??? Вопрос должен касаться многих!!! Странно, что многие молчат!!! Просто они этого не видят...??? у меня последнее время выпадает окно, что в сети два таких компа как у меня, с одинаковыми IP и MAC адресами.............. как это понимать??? http://radikal.ru/F/s48.radikal.ru/i120/0903/f2/42844858725a.jpg.html

lexdon
Возможно кто-то в сети сидит от вашего имени . Я читал , что МАС адреса , теоретически , уникальны для оборудования , но есть программки позволяющие подменять эти адреса . Одинаковые IP может быть результатом неправильной настройки сети (либо преднамеренной настройки) , компьютерам присвоен один статический локальный адрес , разбирайтесь кто сотворил такую бяку.

Waleri писал(а):

Возможно кто-то в сети сидит от вашего имени . Я читал , что МАС адреса , теоретически , уникальны для оборудования , но есть программки позволяющие подменять эти адреса . Одинаковые IP может быть результатом неправильной настройки сети (либо преднамеренной настройки) , компьютерам присвоен один статический локальный адрес , разбирайтесь кто сотворил такую бяку.

Дело в том, что сети нет!!! Я один на "выделенке".

введите, пожалуйста в коммандной строке "ipconfig /all" (без ковычек) и выложите скрин.
Чтобы править АРП таблицы ненужно ставить новую ОС. Всё делается и стойже командной строки командой "arp"

http://s46.radikal.ru/i112/0903/dc/f8bc2c89d849.jpg -- вот, пожалуйста.

мда, без Wireshark не обойтись. Надобы установить и посмотреть, что там в сети с арпами твориться.

dwg_111 писал(а):

мда, без Wireshark не обойтись. Надобы установить и посмотреть, что там в сети с арпами твориться.

--- Хорошо! Я поищу Wireshark, а потом выложу скрин. Надеюсь, Вы мне поможете?

Wireshark я скачал и установил, но по причине не знания английского языка возникла трудность в использовании этой программы. dwg_111, если Вам не трудно, подскажите что нужно делать далее.

Похоже тема зависла?!

Насколько я помню, wireshark основан на библиотеке wincap. Обычно у всех подобных программ есть кнопка "Start\stop" которая начинает\закачивает захват пакетов по заданному сетевому интерфейсу. Есть обычно где-нибудь Filter, который позволяет осуществлять фильтрацию информации.
Русификаторов и мануалов на русском к данной программе не существует (я не встречал, даже специально искал когда-то), хотя программа "стара как мир", давно называлась что-то типа ethereal. Да и смысла в руссификации подобных программ особенно нет, так как одна терминология и сплошные стандартные сокращения (английские, аналогов большинства в русском нет, например, написать ARP будет понятно, а если будет написано ПРА, протокол разрешения адресов, то это никому ни о чем не скажет включая тех, кто знает что такое ARP). А мануал, видимо, тем кто разбирается было писать лениво.

lexdon
Похоже .Я гуглил про ARP-спуфинг , везде пишут ,что это все же реалезуемо лишь в локальной сети . Еще такой вопрос Outpost не показывает кто сканирует ? А раз инет тормозит при включении торрента значит надо увеличивать число полуоткрытых соединений (Half-open). Вот простенькая программка :

lexdon писал(а):

Здравствуйте! Уважаемые знатоки, вопрос к вам, что такое ARP-спуфинг и как с ним бороться??? Outpost показывает великое множество единичного сканирование различных портов и я сделал вывод, что это и есть ARP-спуфинг....

Что это такое и как это делается - очень хорошо описано ТУТ
И я не понимаю, как вы не разбираясь сделали такой вывод...

Проверьте систему Антивирусом (например DrWeb CureIt)
И поставьте нормальный антивирус (а не долбанный Nod32) Хотябы тот же DrWeb, но уже полноценный. Кстати, рекомендую платный... гимора меньше будет.

Waleri писал(а):

Еще такой вопрос Outpost не показывает кто сканирует ?

Outpost показывает великое множество IP с которых сканируются порты, некоторые IP повторяются.

Waleri писал(а):

Я гуглил про ARP-спуфинг , везде пишут ,что это все же реалезуемо лишь в локальной сети .

Наверно так и есть. Но вот сканирование портов настораживает! Всем спасибо за помощь! Сканирование продолжается.