VIRY.CZ

Zdravím, firewall mi hlásí :
Detekována stejná IP adresa v síti Vzdálená IP adresa 192.168.1.66
Detekován útok ARP cache poisoning 192.168.1.66

zkoušel jsem si zagooglit a zjistil jsem že už se podobná věc tady na foru řešila.
viz http://forum.viry.cz/viewtopic.php?f=3&t=118808

mám ESET Smart Security 5 se zakoupenou licencí.

Zkoušel jsem problém vyřešit jak bylo popsáno ve zmíněném topicu, ale kámen úrazu pro mě byl IP rozsah lokální sítě nemám ponětí kde ten rozsah najdu.
Takže by mě zajímalo jestli můžu aplikovat stejnej postup a taktéž jak zjistím IP rozsah lokální sítě.

Předem díky za odpověd

Dobrý den,

pro podrobnější analýzu bude potřeba protokol z aplikace Wireshark.

Stáhněte si a nainstalujte program Wireshark: http://www.wireshark.org/download.html

Vypněte firewall v ESET Smart Security a spusťte program Wireshark.

Z horního menu zvolte "Capture" a následně "Interfaces" a klikněte dvakrát na řádek příslušné síťové karty.

V okně "Edit Interface Settings" vyplňte do pole "Captured Filter:" "arp" (bez uvozovek) a potvrďte kliknutím na "OK".

Ve spodní části "Stop Capture..." zaškrtněte druhou položku a vyplňte hodnotu 100 a ponechte megabyte(s). Zaškrtněte ještě třetí položku, napište hodnotu 3 a zvolte hour(s).

Následně klikněte na "Start". Teď bude zachytávána veškerá arp komunikace a bude se ukládat do logu. Po 3 hodinách (pc při tom normálně používejte) nebo po dosažení velikosti logu 100MB bude zachytávání automaticky ukončeno. Poté zavřete Wireshark a log nahrajte na náš FTP server a napište mi pouze název souboru.

ftp://incoming:incoming@ftp.eset.cz/incoming/
(tj. ftp ftp.eset.cz, jméno: incoming, heslo: incoming)


Po skončení zapněte znovu firewall v ESET Smart Security.

tak nahráno.... jmenuje se to korkis.pcapng

už je to více jak 2 týdny a pořád žádné řešení????

Dobrý den,

omlouvám se, asi jsem přehlédnul notifikační email.

K problému. Bohužel IP adresa 192.168.1.66 se v logu nenachází. Podle logu je ale často posílána GARP request (žádost) ze zařízení Apple. Na tento request ale není odpověď, protože je posílán na všechny MAC adresy ale svojí vlastní IP. Jedná se o speciální paket, který se používá pouze v několika případech (konflikty IP, aktualizace ARP tabulky, ...). Záleží tedy, proč zařízení Apple tuto žádost pravidelně odesílá.

Pokud tedy síť funguje, doporučuji vyjmout tuto lokální síť z detekce modulu IDS. Použijte tedy stejný postup jako zde http://forum.viry.cz/viewtopic.php?f=3&t=118808

Pokud používáte standarní masku sítě 255.255.255.0 tak u bodu 5 vyberte Podsíť a zadejte adresu 192.168.1.0 a masku 255.255.255.0.

Masku sítě zjistíte u ve vlastnostech daného síťového adaptéru, nebo po zadání příkazu "ipconfig" (bez uvozovek) do příkazového řádku Windows (cmd).

Len tak, jednoducha logika. Nemoze byt problem s pridelenim rovnakej IP manualne ? Je tam nejake zariadenie, co dostalo rovnaku IP. Alebo sa pouziva DHCP server, co prideluje adresy. Jednu IP si niekto nastavil manualne, druhu pridal DHCP server automaticky a je konfklikt.

Alebo - zariadenie je suspenduje a pamata si svoju IP adresu. Po nejakej dobe DHCP server uvolni adresu ako volnu, priradi ju inemu zariadeniu. Potom staci pripojit to povodne zariadenie k sieti bez restartu a moze byt konflikt.

Alebo tiez moznost - niekto sa snazi o falosny pristup na internet a naklonoval IP a pripadne aj MAC adresu. Co sa zda skor pravdpodobnejsie, pretoze utok ARP Cache poisoning by zodpovedal falosne priradenej MAC adrese. Pri zhodnej IP a zhodnej MAC adrese sa nevypise vo vacsine konflikt na sieti, takze pravdepodobnost niekoho, kto sa snazi pouzit rovnake nastavenia pre pristup na net, je celkom velka.

V tom pripade, ak to vyhlasuje by sa to dalo otestovat. Zmenit IP a zmenit aj MAC adresu a skusit PINGnut danu IP /ak bude odpovedat/. Pripadne si preverit zabezpecenie na domacej sieti ak sa jedna o Wifi, alebo je moznost, ze cez kabel sa niekto napaja /deti, sused atd/.

Dobrý den,

ale podle logu k duplicitě IP adres nedochází. Pouze zařízení Apple odesílá žádosti a aktualizaci ARP tabulky do celé sítě. Tzn., v prvé řadě bych se zaměřil na toto zařízení. Pokud toto zařízení není "validním členem" lokální sítě, pak zjistit jeho majitele.

Podle všeho se ale v tomto případě opravdu jedná o falešný polach.

Pokial je rovnaka IP a rovnaka MAC adresa, to som skusal simulovat, tak vobec to nehadze konflikt IP. Obe adresy mozu normalne fungovat a tvaria sa ako ta ista. To by odpovedalo ARP cache poisoning utoku. Potom aj v logu by mohla komunikacia byt z rovnakej IP a rovnakej MAC vzdialeneho PC, lenze i tam by bol asi problem rozoznat, ktora je ktora.

Riesenim je zmeni IP a zmenit MAC adresu a potom filtrovat.