stat. ARP Eintrag

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Benutzeravatar
K@sperl
Beiträge: 216
Registriert: 20.09.2003 11:38:22

stat. ARP Eintrag

Beitrag von K@sperl » 14.07.2004 15:39:36

Hallo!

Ich schaffe es einfach nicht, daß ich die MAC Adresse des Gateways permanent eintrage und diese auch verwendet wird ...
Ich setze dies wiefolgt:

Code: Alles auswählen

arp -s 192.168.0.1 AA:BB:CC:DD:EE:FF
Wenn ich aber dann mittels ettercap und arp poisoning den Traffic zw. meiner Workstation und dem Gateway mitsniffe, funktioniert das, denn der Traffic läuft über den mitsniffenden Host, obwohl das nicht sein sollte, da der ja nicht die selbe MAC wie der Gateway hat.

Weiß jemand wie ich mich nun vor ARP poisoning schützen kann?

storm
Beiträge: 1581
Registriert: 01.05.2004 13:21:26
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: DE

Re: stat. ARP Eintrag

Beitrag von storm » 14.07.2004 22:08:06

K@sperl hat geschrieben: Ich schaffe es einfach nicht, daß ich die MAC Adresse des Gateways permanent eintrage und diese auch verwendet wird ...
Ich setze dies wiefolgt:

Code: Alles auswählen

arp -s 192.168.0.1 AA:BB:CC:DD:EE:FF
heisst permanent *im laufenden Betrieb* oder auch nach einem reboot?
Im laufendem Betrieb sollte das funktionieren.
Wenn du das auch über einen Reboot hinaus haben willst, musst du es in /etc/ethers reinschreiben:

Code: Alles auswählen

 192.168.0.1 AA:BB:CC:DD:EE:FF 
man arp/ethers.
Wenn ich aber dann mittels ettercap und arp poisoning den Traffic zw. meiner Workstation und dem Gateway mitsniffe, funktioniert das, denn der Traffic läuft über den mitsniffenden Host, obwohl das nicht sein sollte, da der ja nicht die selbe MAC wie der Gateway hat.
Läuft über deinen mitm-Rechner oder hängt dieser am gleichen Switch/Hub?
Weiß jemand wie ich mich nun vor ARP poisoning schützen kann?
Zum Beispiel mit arpwatch. Das funktioniert ganz gut.
Oder http://www.arp-sk.org , das kenn ich persöhnlich aber noch nicht so.

Ansonsten bringt http://www.google.com/search?q=linux+pr ... -poisoning genug Lesematerial. :)


ciao, frank
drivers/ata/libata-core.c: /* devices which puke on READ_NATIVE_MAX */

Benutzeravatar
K@sperl
Beiträge: 216
Registriert: 20.09.2003 11:38:22

Beitrag von K@sperl » 14.07.2004 22:12:00

In /etc/ethers hab ich die Daten schon mal eingetragen, aber leider wurden die nicht automatisch ausgelesen, das mußte ich mit arp -f machen.
Aber auch dann kann ich mittels ettercap noch mitsniffen.

Der Rechner der als MITM fungiert hängt am gleichen Switch.

arpwatch hab ich gestern abend mal installiert, werd's mir in den nächsten Tagen mal anschauen :)


Danke für deine Hilfe.

storm
Beiträge: 1581
Registriert: 01.05.2004 13:21:26
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: DE

Beitrag von storm » 15.07.2004 20:00:30

möglicherweise hilft das ja:
Entering a permanent entry into the ARP cache with ip neighbor add:
ip neighbor add 192.168.100.1 lladdr 00:ab:cd:ef:gh:kl dev eth0 nud permanent
...
This permanent mapping cannot be overridden by ARP. It would need to be removed with ip neighbor delete.
nur müsstest du das auf beiden Maschinen machen(Workstation+GW) damit es auf beiden Seiten funktioniert. Aber wenn es danach geht, gibt es immer einen Weg eine Verbindung zu hijacken.

Guter Lesestoff: http://linux-ip.net/html/index.html

ciao, frank
drivers/ata/libata-core.c: /* devices which puke on READ_NATIVE_MAX */

Benutzeravatar
K@sperl
Beiträge: 216
Registriert: 20.09.2003 11:38:22

Beitrag von K@sperl » 15.07.2004 21:24:14

Vielen Dank, besonders der Link ist 1A :)

Antworten