Перейти к содержанию

Проверка на ARP spoofing в сети

IvanNext
 Share

Рекомендуемые сообщения

Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Вроде бы "лазил" по настройка KIS2009, видел где-то "галочку" arp спуфинг.

А сейчас все обыскал - не нашел. Мне, что - приcнилось? :cool2:

 

 

арпспуффинг относится к сетевым атакам, которые очень трудно детектировать. для этого надо использовать стороннее ПО типа следующих

http://www.mirrorservice.org/sites/downloa...p/pr/prodetect/

Ссылка на комментарий
Поделиться на другие сайты
KaraVan Новичок

KaraVan

Опубликовано
Опубликовано (изменено)
KIS includes a notification when the MAC address changes.

System Security >> Firewall >> Settings >> Networks >> "Your Network Card Name" (Subnet) [double click] >> Additional.

The option you are looking for is under "Notify".

 

There is not much you do about ARP attacks by nature. If you dont trust the network do not connect period!

http://forum.kaspersky.com/lofiversion/index.php/t80255.html

Изменено пользователем KaraVan
Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано

 

а если в сети на 150 машин стоит маршрутизатор, который раздаёт динамические IP-адреса посредством dhcp, вы получите кучу балунов за 1 день и отключите данную настройку.

при статических ip - изменение соответствия мака айпишнику возможно и покажет, что спуффинг арп-записей ведётся

Ссылка на комментарий
Поделиться на другие сайты
KaraVan Новичок

KaraVan

Опубликовано
Опубликовано
а если в сети на 150 машин стоит маршрутизатор, который раздаёт динамические IP-адреса посредством dhcp, вы получите кучу балунов за 1 день и отключите данную настройку.

при статических ip - изменение соответствия мака айпишнику возможно и покажет, что спуффинг арп-записей ведётся

Достаточно включить приличное время аренды адреса, и в сети со статичной топологией постоянных изменений не будет.

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано
Достаточно включить приличное время аренды адреса, и в сети со статичной топологией постоянных изменений не будет.

 

согласен, но для этого необходимо обладать правами админа на маршрутизаторе

 

но: и это не поможет, если злоумышленник :cool2: имеет левый ноут, свободный конец витой пары, пару программуль и время.

как показывает практика, на спор можно за 1 час слить четверть всех корпоративных паролей и логинов и весь часовой траффик :)

Ссылка на комментарий
Поделиться на другие сайты
KaraVan Новичок

KaraVan

Опубликовано
Опубликовано
согласен, но для этого необходимо обладать правами админа на маршрутизаторе

безусловно...

но: и это не поможет, если злоумышленник :cool2: имеет левый ноут, свободный конец витой пары, пару программуль и время.

как показывает практика, на спор можно за 1 час слить четверть всех корпоративных паролей и логинов и весь часовой траффик :)

мы уже ударились во флейм, но как показывает хорошая практика, защита на портах switchport port-security с необходимым уровнем контроля решает данную проблему.

если на то пошло, мне знакомы организации которые тупо шифруют внутридоменный траффик с помощью ipsec.

Ссылка на комментарий
Поделиться на другие сайты
IvanNext Постоялец

IvanNext

Опубликовано
  • Автор
Опубликовано (изменено)

Да, спасибо за ссылку http://forum.kaspersky.com/lofiversion/index.php/t80255.html .

Я ее уже читал, но видимо не внимательно, раз задал вопрос (единственное оправдание, что вышеуказанная тема на английском :) ).

Т.е. я действительно видел в настройках только пункты о соответствии IP и Mac адресов, и пункт о появлении нового MAC адреса, отсюда и ассоциации с защитой от arp спуффинга.

Изменено пользователем IvanNext
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Ser_S
      Проверка сайтов
      От Ser_S
      Здравствуйте, если, например задать маску проверки сайтов например *.mail.ru, то проверяется зона ru, затем mail и затем если звёздочка, то  все эти поддомены соответствуют условию.
      Непонятно, если условие написать mail.*, то будет ли проверяться каждая зона(ru, net, com и т.д.) на содержание поддомена mail?
    • kudryavtcev.as
      Не активен блок параметров исключения из проверки в KES 12.3
      От kudryavtcev.as
      Не активен блок "исключения из проверки в KES 12.3."  Сам раздел активен, но при переходе по кнопке настройка, чтобы настроить параметры, там все заблокировано. Статус замочка в родительской политике открытый. Дочерних политик нет. Что может быть?
    • Fast_diesel
      После проверки и лечения KVRT и KTS heur:trojan.multi.genbadur восстанавливается.
      От Fast_diesel
      Касперский тотал секьюрити вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять он тут. KTS его тоже находит, лечит, но после перезагрузки он опять тут. Windows 11, с последними обновлениями.
      Данная проблема возможно появилась после скачивания и установки игр с Torrent с сайта https://stoigr.org/dlya-geimpada/10267-hogwarts-legacy.html
      CollectionLog-2024.11.08-21.18.zip
    • KL FC Bot
      Nearest Neighbor: как работает удаленная атака на сеть Wi-Fi
      От KL FC Bot
      С точки зрения информационной безопасности беспроводные сети, как правило, рассматриваются как нечто очень локальное. Ведь для того, чтобы к ним подключиться, необходимо физически быть в непосредственной близости от точки доступа. Это свойство существенно ограничивает их использование для атак на организацию и таким образом снижает их восприятие в качестве вероятного вектора атаки. Просто за счет того, что у человека складывается впечатление, будто абстрактный хакер из Интернета не может просто так взять и подключиться к корпоративному Wi-Fi. Однако недавно обнаруженная атака «ближайший сосед» демонстрирует, что это не совсем так.
      Беспроводная сеть в целом неплохо защищенной организации может стать удобной точкой входа для удаленных атакующих, если те предварительно взломают другую, более уязвимую компанию, офис которой расположен в том же здании или в одном из соседних. Рассказываем подробнее о том, как это работает и что можно сделать для защиты от подобных атак.
      Удаленная атака на беспроводную сеть организации
      Предположим, есть некие атакующие, которые собираются удаленно взломать некую организацию. Они собирают информацию об этой компании, исследуют ее внешний периметр, может быть, даже находят в базах утекших паролей учетные данные некоторых сотрудников. Но подходящих для эксплуатации уязвимостей не видят, а кроме того, понимают, что во всех внешних сервисах компании включена двухфакторная аутентификация, так что одних только паролей для входа недостаточно.
      Методом проникновения могла бы стать корпоративная сеть Wi-Fi, в которую можно попытаться войти с помощью тех же учетных данных. Особенно, если у организации есть гостевая сеть Wi-Fi, которая недостаточно тщательно изолирована от основной сети, — для нее двухфакторную аутентификацию и включают крайне редко. Но есть проблема: атакующие находятся на другом конце земного шара и физически не могут подключиться к офисному Wi-Fi.
       
      View the full article
    • T3D
      Зашифрованы файлы локальной сети (LockBit 3.0)
      От T3D
      Произошло шифрование файлов. Был запущен процесс LB3.exe, на момент сканирования, процесс был закрыт. В приложении зашифрованные файлы (по одному из них предоставил его восстановленный из бэкапа вариант). Файл-шифровальщик сохранен. При необходимости может быть предоставлен.
      Addition.txt FRST.txt приложение.zip
×
×
  • Создать...