Discussion:
Dwa takie same adres ip i takie same MAC
(Wiadomość utworzona zbyt dawno temu. Odpowiedź niemożliwa.)
LoLe
2006-09-03 08:52:49 UTC
Permalink
Witam.
Zrobiłem ostatnio taki mały eksperymencik, mianowicie wziąłem routerek
D-linka z możliwością klonowania MAC adresów no i ustawiłem w nim dokładnie
taki sam MAC jak w komputerze u siebie. W sieci mam serwerek na linuksie na
którym stoi serwer DHCP no i oczwyiscie NAT czyli jednym słowem dzielenie
internetu. No i w wynikuustaiwnia w routerze takie samego MAC-ka ten dostał
taki sam adres jak mam ja no i gdy podepne za tym routerem jakiegos kompa to
oczywiscie wszystko działa, tzn internet śmiga itp.
Czy może mi ktoś wytłumaczyć jak to możliwe, gdzie o tym poczytać i jak sie
przed takim czymś zabezpieczyć?.(wiem wiem pewnie PPPoE.)
DAR_ek
2006-09-04 09:52:07 UTC
Permalink
Post by LoLe
Witam.
Zrobiłem ostatnio taki mały eksperymencik, mianowicie wziąłem routerek
D-linka z możliwością klonowania MAC adresów no i ustawiłem w nim
dokładnie taki sam MAC jak w komputerze u siebie. W sieci mam
serwerek na linuksie na którym stoi serwer DHCP no i oczwyiscie NAT
czyli jednym słowem dzielenie internetu. No i w wynikuustaiwnia w
routerze takie samego MAC-ka ten dostał taki sam adres jak mam ja no
i gdy podepne za tym routerem jakiegos kompa to oczywiscie wszystko
działa, tzn internet śmiga itp.
Czy może mi ktoś wytłumaczyć jak to możliwe, gdzie o tym poczytać i
jak sie przed takim czymś zabezpieczyć?.(wiem wiem pewnie PPPoE.)
No coż normalka.
Po pierwsze po takiej operacji na twoim kompie albo nie będzie netu, albo
windows napisze że ktoś używa tego IP. A nawet jak nie napisze to w tcpdump
będziesz widział że ruch z tego IP/MAC jest choć temu co ma działać to nie
działa. Jeśli coś takiego zdjagnozujesz niestety jedyne pozostaje np.
pingowanie tego podszywacza (a jak sie nie pinguje to choćby arpping lub
tcpdump) i latanie po sieci wyłączając switche i patrzeć czy chodzi.
Po nitce do kłębka.
A a wtedy wiadomo. Wg. minimum to natychmiastowe fizyczne odpięcie
delikwenta i rozwiązanie umowy. Ew. jak masz czas to kroki prawne, ale
raczej nie udowodnisz mu tego.
Tak czy inaczej jedna, dwie takie akcje z odpowiednim nagłośnieniem
skutecznie wybije z głowy innym tego typu zabawy.

A tak żeby nie było że nic sie całkiem nie da, to możesz wstawiać gdzie się
da i na ile cię stać zarządzalne switche, które dają możliwość wpisania
listy MACów które mają wejście do netu.

pozdr.
--
______________________________
dar_ek[-a-t-]dar-ek[-d-o-t-]pl
Tomasz Lubas
2006-09-05 13:55:11 UTC
Permalink
Post by LoLe
Witam.
Zrobiłem ostatnio taki mały eksperymencik, mianowicie wziąłem routerek
D-linka z możliwością klonowania MAC adresów no i ustawiłem w nim
dokładnie taki sam MAC...
Chłopie poczytaj sobie nt. działania routerów najpierw.
Oczywiste jest, że router uzywa klonu MACA dla poł. WAN więc nie ma konfliktów
w LAN, podobnie z IP, lecz to że u Ciebie zadziałalo oznnacza że masz ten sam
typ podsieci co provider...lub DHCP
Faktycznie w takiej sytuacji należy zmienic podsieć wewnętrzną np: 192.168.8.0/24
oczywiscie pokonfigurować router i kompa, następnie wywalić z routera
rozgłoszenie DHCP, ustawić sztywne IP na swoim kompie, a reszta to już zabawa
w iptables he he he o ile Twój routerek to obsługuje np:
iptables -P FORWARD DROP [blokuje wszystkie połączenia]
a potem oczywiście iptables -A FORWARD -s TWÓJ_IP -j ACCEPT [odblokowuje
Twoje] etc etc :)
Być może Twój router umozliwia to z interf. www kto wie :)
miłej zabawy
T
--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/
LoLe
2006-09-05 18:38:43 UTC
Permalink
Post by Tomasz Lubas
Chłopie poczytaj sobie nt. działania routerów najpierw.
Oczywiste jest, że router uzywa klonu MACA dla poł. WAN więc nie ma konfliktów
w LAN, podobnie z IP, lecz to że u Ciebie zadziałalo oznnacza że masz ten sam
typ podsieci co provider...lub DHCP
Faktycznie w takiej sytuacji należy zmienic podsieć wewnętrzną np: 192.168.8.0/24
oczywiscie pokonfigurować router i kompa, następnie wywalić z routera
rozgłoszenie DHCP, ustawić sztywne IP na swoim kompie, a reszta to już zabawa
iptables -P FORWARD DROP [blokuje wszystkie połączenia]
a potem oczywiście iptables -A FORWARD -s TWÓJ_IP -j ACCEPT [odblokowuje
Twoje] etc etc :)
Być może Twój router umozliwia to z interf. www kto wie :)
Dziękuję za zainteresowanie.
Chciałbym tutaj sprostować, mianowicie to ja robiłem testy w swojej sieci a
providerem jestem sam dla siebie.
Poniżej krótki charakter sieci:
Router1 LAN 10.1.1.1/24 działa na nim DHCPD
Router2 WAN MAC 12:12:12:12:12:12 IP przydzielone przez Router1 10.1.1.10
Router2 LAN IP 192.168.1.1/24
Komp1 LAN MAC 12:12:12:12:12:12 IP przydzielone przez Router1 10.1.1.10
Komp2 LAN IP 192.168.1.2/24


---->LAN-Komp1

|
Internet<--->WAN-Router1-LAN<--->SWITCH -|

|

---->WAN-Router2-LAN<---->LAN-Komp2

Chodzi o to że w takiej konfiguracj komputery za routerem2 jak i komp1 mają
połączenie do internetu bez najmniejszych oporów
a bynajmniej ja nie zaóważyłem jakiś nieprawidłowości. Sytuacja taka
powoduje że będąc Providerem, każdy klient ma jakieś tram
parametry9szybkość) łacza, lepsze lub gorsze,
i wychodzi na to że byle koleś może sobie kupić routerek z klonowaniem MAC
czy nawet jak sie troche zna to i pod windą można zmienić MAC adres karty, i
może sobie wpisać
taki MAC adres, który w sieci ma wykupiony lepszy pakiet u mnie. Ja w takiej
sytuacji nie jestem w stanie wykreyć tego bo na serwerku nigdzie w logach
nie widziałem jakichś wpisów świadczących o tym. Mało tego te kompy są
podłączone poprzez switch a nie hub i to jest dziwne że świtch też jakoś nie
świruje. Czy może ktoś polecić jakąś lekture???

PS. Ludzie czytajcie troche o co ktoś pyta.
DAR_ek
2006-09-07 11:03:09 UTC
Permalink
Post by LoLe
Chodzi o to że w takiej konfiguracj komputery za routerem2 jak i
komp1 mają połączenie do internetu bez najmniejszych oporów
a bynajmniej ja nie zaóważyłem jakiś nieprawidłowości. Sytuacja taka
powoduje że będąc Providerem, każdy klient ma jakieś tram
parametry9szybkość) łacza, lepsze lub gorsze,
i wychodzi na to że byle koleś może sobie kupić routerek z
klonowaniem MAC czy nawet jak sie troche zna to i pod windą można
zmienić MAC adres karty, i może sobie wpisać
taki MAC adres, który w sieci ma wykupiony lepszy pakiet u mnie. Ja w
takiej sytuacji nie jestem w stanie wykreyć tego bo na serwerku
nigdzie w logach nie widziałem jakichś wpisów świadczących o tym.
Mało tego te kompy są podłączone poprzez switch a nie hub i to jest
dziwne że świtch też jakoś nie świruje. Czy może ktoś polecić jakąś
lekture???
PS. Ludzie czytajcie troche o co ktoś pyta.
Czytamy czytamy.... :)

Jest kilka sposobów na takich spryciarzy.
Pierwszym z nich jest ustawienie na głównym routerze na interfejsie do LANa
aby pakiety wychodziły do LANa z TTL'em równym 1.
Spowoduje to to że pakiet taki dojdzie tylko do komputera klienta, lub jego
routera i nie powinien być dalej przekazywany, bo każdy router zmniejsza TTL
o 1 i jak TTL osiągnie wartość 0 to zostanie taki pakiet odrzucony.
Oczywiście jak spryciarz jest mądrzejszy może dojść do tego i na wejściu do
swojego routera zmienić TTL na większy, ale to juz nie każdy umie.

Inne sposoby to pasywne metody sprawdzania takich rzeczy.
Przykłądowo logujesz (ngrep'em itp) na porcie 80 jak zgłasza się
przeglądarka klienta oglądając strony www.
Każda przeglądarka WWW wysyłając zapytanie do serwera WWW wysyła tego typu
informacje: "User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.0;..."
Jeśli misiek udostępnia inet kilku osobą jest bardzo prawdopodobne że będzie
miał różne wpisy wersji przeglądarki i systemu a to już powinno Cię
zaniepokoić.

Pozatym często routery robiąc nat używają pewnych portów z pewnych zakresów
do połączeń i też można to obserwować.
Zresztą jak poszukasz na necie to pewnie nawet znajdziesz gotowe skrypty do
takich rzeczy.

Możesz jeszcze próbować sprawdzać system operacyjny danego klienta (o ile ma
otwarty jakiś port) np. nmap'em
przykładowo:

#nmap -O 10.10.10.10
....
OS details: LevelOne WBR-3403TX Wireless Broadband router
...


Także widzisz, że całkiem bezbronny nie jesteś. Jakieś pytania?

pozdr.
--
______________________________
dar_ek[-a-t-]dar-ek[-d-o-t-]pl
LoLe
2006-09-07 19:49:04 UTC
Permalink
Post by DAR_ek
Pierwszym z nich jest ustawienie na głównym routerze na interfejsie do LANa
aby pakiety wychodziły do LANa z TTL'em równym 1.
CIACH
Post by DAR_ek
Inne sposoby to pasywne metody sprawdzania takich rzeczy.
Przykłądowo logujesz (ngrep'em itp) na porcie 80 jak zgłasza się
przeglądarka klienta oglądając strony www.
Każda przeglądarka WWW wysyłając zapytanie do serwera WWW wysyła tego typu
informacje: "User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.0;..."
Jeśli misiek udostępnia inet kilku osobą jest bardzo prawdopodobne że będzie
miał różne wpisy wersji przeglądarki i systemu a to już powinno Cię
zaniepokoić.
Pozatym często routery robiąc nat używają pewnych portów z pewnych zakresów
do połączeń i też można to obserwować.
Świetnie, wszystko ok, dziekuję za rozpatrzenie przypadku kdy koleś wstawił
sobie router i sklonował mac ze swojej sieciówki.
A co w przypadku gdy koleś obczai że jakiś tam user X ma wykupiony u mnie
pakiet z transferem np 512 kbit a samemu ma 128 kbit. Chodzi o to że jeżeli
koleś posłucha i dowie się jaki ten klient ma MAC adres to gdy do swojej
sieciówki/routera wpisze ten MAC a mój DHCPD przypisze mu adres po MAC-u
taki jaki ma klient z wyższym pakietem interentowym. W wyniku tego obaj mają
ten sam adres ip i jeden i drugi ma szybszy internet. Mnie od początku
chodzi o to że sam takie testy robiłem i empirycznie dowiodłem że oba
komputery w sieci z takimi samymi adresami ip będą najzwyczajniej w świecie
działały.
DAR_ek
2006-09-08 07:30:38 UTC
Permalink
Post by LoLe
Świetnie, wszystko ok, dziekuję za rozpatrzenie przypadku kdy koleś
wstawił sobie router i sklonował mac ze swojej sieciówki.
A co w przypadku gdy koleś obczai że jakiś tam user X ma wykupiony u
mnie pakiet z transferem np 512 kbit a samemu ma 128 kbit. Chodzi o
to że jeżeli koleś posłucha i dowie się jaki ten klient ma MAC adres
to gdy do swojej sieciówki/routera wpisze ten MAC a mój DHCPD
przypisze mu adres po MAC-u taki jaki ma klient z wyższym pakietem
interentowym. W wyniku tego obaj mają ten sam adres ip i jeden i
drugi ma szybszy internet. Mnie od początku chodzi o to że sam takie
testy robiłem i empirycznie dowiodłem że oba komputery w sieci z
takimi samymi adresami ip będą najzwyczajniej w świecie działały.
No to jak pisałem w pierwszej odpowiedzi.
Mi przychodzi na myśl tylko pomysł ze switchami zarządzalnymi gdzie można
wpisać że na danym porcie mogą być (mogą działać) tylko dane wpisane MACi.
Oczywiście prawdopodobnie nie będzie Cię stać na wymianę wszystkich switchy,
ale wrzucenie paru w wazniejszych miejscach sieci pozwoli Ci trochę
ograniczyć tego typu zapędy (jak już będzie mógł podmienić to tylko w
obrębie MACów ze zwykłych switchy.
Może nie jest to najwygodniejsze rozwiązanie, ale może uda Ci się znaleść
takie switcze gdzie można by było dopisywać/usuwać MACi przy pomocy skryptów
(SNMP, expect).

Zresztą switche takie w kilku miejscach warto mieć też z innych powodów, np.
w celu blokowania uszkodzonych ramek z walniętych sieciówek, oraz
zapobieganiu bradcast-stormów, czy nawet logowania z nich pewnych rzeczy
(np. jak ktoś przypisze sobie jakiś IP i MAC i choć nie będzie miał netu to
może coś siać po sieci, wtedy możesz znaleść w której podsieci fizycznej
jest dany osobnik), itp itd.

Innych pomysłów na razie nie mam. No i oczywiście jest jeszcze nieszczęsny
pppoe

A przyszedł mi jeszcze jeden pomysł do głowy.
Zobacz co się dzieje jak pingujesz IP który jest na dwóch kompach.
Powinieneś wtedy dostać DUPa, bo odpowiedzą na to dwa kompy.
Np tak:
PING 192.168.42.103 (192.168.2.103) 56(84) bytes of data.
64 bytes from 192.168.42.103: icmp_seq=1 ttl=128 time=1024 ms
64 bytes from 192.168.42.103: icmp_seq=1 ttl=128 time=1025 ms (DUP!)
(często DUPy pojawiają się w sieciach radiowych gdy pakiety są duplikowane z
powodu błędów transmisji)
Gorzej jak jeden z kompów lub oba mają zablokowane pingi. Wtedy spróbuj
arpinga (może z opcją -D).


Ale zastanawiam się czy aby na pewno w tej sytuacji najzwyczejniej działają
oba komputery poprawnie.
Niestety nie mam jak teraz sprawdzić.

Po piersze switche. Nawet te najzwyklejsze. Przecierz ich zadaniem jest
przypisać MAC do konkretnego swojego portu. Czy może switch mieć ten sam MAC
na dwóch portach? Pamiętam że przy pewnych switchach jak przenosiłem komp z
jednej sieci do drugiej to musiałem trochę odczekać aby switche się o tym
"dowiedziały", a przy pewnych APkach to nawet trzeba było je restartować.

Po drugie przyjmując że oba komputery odbierają pakiety adresowane do ich
IP/MAC to co robi komp który odbierze pakiet od połączenia którego on nie
nawiązał (i nawet nie ma otwartego takiego portu)?
Czy aby nie wysyła pakietu TCPFIN albo TCP-RST? Co spowodowałoby zamknięcie
połączenia i dla tego pierwszego kompa?

Po trzecie windows sprawdza czy ktoś w sieci ma już działający IP który
dostanie z dhcp i drugi komp pewnie odpowiada że jest już taki IP w sieci.
Ale możliwe że jak ten co pyta jak dostaje taką odpowiedz z kompa z takim
samym MAC jak jego to może lekko zgłupieć.
--
______________________________
dar_ek[-a-t-]dar-ek[-d-o-t-]pl
Taddy
2006-09-08 08:32:23 UTC
Permalink
DAR_ek wrote:
[..]
Post by DAR_ek
Innych pomysłów na razie nie mam. No i oczywiście jest jeszcze nieszczęsny
pppoe
W jednej sieci widzialem zaimplementowany OpenVPN do tego celu - przy okazji
userzy miali wszystko szyfrowane.
--
Taddy
DAR_ek
2006-09-08 09:21:29 UTC
Permalink
Post by Taddy
[..]
Post by DAR_ek
Innych pomysłów na razie nie mam. No i oczywiście jest jeszcze
nieszczęsny pppoe
W jednej sieci widzialem zaimplementowany OpenVPN do tego celu - przy
okazji userzy miali wszystko szyfrowane.
E, to juz lepiej pptp (ten windowsowy VPN), także szyfrowany i std w
windzie.

pzdr.
--
______________________________
dar_ek[-a-t-]dar-ek[-d-o-t-]pl
Mariusz Kruk
2006-09-08 09:33:05 UTC
Permalink
epsilon$ while read LINE; do echo ">$LINE"; done < DAR_ek
Post by DAR_ek
Post by Taddy
Post by DAR_ek
Innych pomysłów na razie nie mam. No i oczywiście jest jeszcze
nieszczęsny pppoe
W jednej sieci widzialem zaimplementowany OpenVPN do tego celu - przy
okazji userzy miali wszystko szyfrowane.
E, to juz lepiej pptp (ten windowsowy VPN), także szyfrowany i std w
windzie.
http://www.schneier.com/paper-pptpv2.html
--
\.\.\.\.\.\.\.\.\.\.\.\.\.\ To nie owad, to cecha.
.\***@epsilon.eu.org.\.\.
\.http://epsilon.eu.org/\.\
.\.\.\.\.\.\.\.\.\.\.\.\.\.
Taddy
2006-09-08 13:21:01 UTC
Permalink
Post by DAR_ek
Post by Taddy
[..]
Post by DAR_ek
Innych pomysłów na razie nie mam. No i oczywiście jest jeszcze
nieszczęsny pppoe
W jednej sieci widzialem zaimplementowany OpenVPN do tego celu - przy
okazji userzy miali wszystko szyfrowane.
E, to juz lepiej pptp (ten windowsowy VPN), także szyfrowany i std w
windzie.
OpenVPN o ile pamietam jest w wersji na Linux i Windows jaki problem... ja
bym nie igral z windowsianymi narzedziami zaraz sie okaze ze znow cos
dziurawe itp. Zreszta ja widzialem takie rozwiazanie a co kolega z tym
zrobi to juz jego decyzja zawsze to taniej niz wymieniac switche na
konfigurowalne.
--
Taddy
Loading...