Comments 22
Если абоненты не порезаны по сегментам, то это уже очень большой фейл оператора. Дальше уже не нужно изобретать какие-либо циски или High End решения от длинка. Если абоненты видят друг друга на L2, то сеть живёт до первого дятла.
Очевидно, виланы тут плохо работают, и надо либо честную l3-fabric делать, либо городить vxlan/qnq (в зависимости от того, что дешевле на оконечном оборудовании).
На нормально настроенном оборудовании невозможно подделать ip или arp. Броадкаст флуд может быть зарезан по объёму, а мультикаст разрешён вообще только с сервера провайдера. Всё это есть в большинстве управляемого оборудования, это не Hi-End. Что тут сможет сделать дятел? Просто почему то админ данной сети допустил халатность, хотя абонентов подключают к умным коммутаторам именно из за слишком широких возможностей в L2.
Вроде бы переход на QinQ создаёт проблемы с мультикастом и придётся полностью отказаться от IPTV и перейти на интерактивное TV, а сеть то построена из расчёта по 1 мегабиту на нос, придётся расширять, клиентам приставки покупать. Зачем им это?
Вроде бы переход на QinQ создаёт проблемы с мультикастом и придётся полностью отказаться от IPTV и перейти на интерактивное TV, а сеть то построена из расчёта по 1 мегабиту на нос, придётся расширять, клиентам приставки покупать. Зачем им это?
Физический адрес является уникальным, по нему можно собрать информацию о географическом местоположении роутераШТА?
а mac wifi интерфейса совпадает с маком ethernet? (честно я уже давно не брал в руки шашку)
… а то мне видятся большие потенциальные проблемы при их совпадении
… а то мне видятся большие потенциальные проблемы при их совпадении
Да, верно, это совершенно два разных сетевых интерфейса и они должны иметь разные MAC адреса, но на каких то старых роутерах наблюдал картину с двумя одинаковыми адресами. Кажется, это теоретически невозможно, но такое довелось увидеть. По функциональности не скажу, тк не проверял передачу трафика. Не уверен что такие не стоят на подключённых хостах в пределах коммутора оператора, поэтому скрыл)
Зависит от того, в каком режиме работает wifi. Если это роутер, то mac'и в одном сегменте не должны волновать другой сегмент. Если AP, то у неё не должно быть своего mac'а. (или должен? Ок, в wireless части я плаваю).
Часто могут отличаться на единичку в младшем разряде, зависит от политики присвоения МАС-адресов вендором
тут вопрос не то как они различаются, а в принципиальной возможности совпадения адресов интерфейсов.
потому что если точка будет подключена обоими интерфейсами к одному маршрутизатору (например через wifi и через ethernet одновременно), исключим сразу вариант «такнельзя» — допустим на них разные vlan-ы или просто подсети, то маршрутизатор может и не понять что происходит. по этому я считаю что не может быть одинаковых адресов у wifi и ethernet порта одного роутера, во всяком случае с дефолтной прошивкой и настройками (потому что существует опция clone mac)
потому что если точка будет подключена обоими интерфейсами к одному маршрутизатору (например через wifi и через ethernet одновременно), исключим сразу вариант «такнельзя» — допустим на них разные vlan-ы или просто подсети, то маршрутизатор может и не понять что происходит. по этому я считаю что не может быть одинаковых адресов у wifi и ethernet порта одного роутера, во всяком случае с дефолтной прошивкой и настройками (потому что существует опция clone mac)
Кажется статья устарела лет так на 5 минимум. Или свич у вашего провайдера. Port security/Port Isolate прекрасно решают все эти проблемы.
Опять эти непонятные закрашивания внутренних адресов 192.168.
может-таки маршрутизатора? и почему главного.
В сторону клиентов открыт 22 порт на этом маршрутизаторе. У вас там что, деревенский провайдер местного админа Васи? Познакомьтесь с ним, выпейте «кефира», и настройте уже нормально.
ну добавьте хотя бы под спойлер, те кто знают про это смотрят на статью с улыбкой, а те кто не знает… или вы их хотите еще и гуглить научить?
Верните на скриншоты адреса 192.168. проведите исследование этого 22 порта, и курсовую работу можно засчитывать)
Опять эти непонятные закрашивания внутренних адресов 192.168.
версия ПО и открытые порты главного коммутатора:
может-таки маршрутизатора? и почему главного.
В сторону клиентов открыт 22 порт на этом маршрутизаторе. У вас там что, деревенский провайдер местного админа Васи? Познакомьтесь с ним, выпейте «кефира», и настройте уже нормально.
Детали данной уязвимости протоколоа ARP подробно разобраны в других статьях которые легко гуглятся
ну добавьте хотя бы под спойлер, те кто знают про это смотрят на статью с улыбкой, а те кто не знает… или вы их хотите еще и гуглить научить?
Верните на скриншоты адреса 192.168. проведите исследование этого 22 порта, и курсовую работу можно засчитывать)
Да Port Isolate действительно мог бы помочь, но Port Security тут не помогает никаким боком. Он предотвращает подмену оконечных устройств, но вы наверное согласитесь, что глупо прописывать каждый пользовательский роутер. При покупке нового нужно идти к провайдеру и просить перенастроить access порты. Исследование 22 порта не относится к теме данной статьи, скрытая часть адреса 192.168 не искажает смысл. Такая «плохая» настройка оказалась не единичным случаем.
1) Зачем идти, когда можно позвонить.
2) Port Security разрешает только один мак на порту, можно настроить период обновления, в итоге можно менять роутеры и компы раз в 10 минут.
У разных провайдеров применяется как первый вариант, так и второй.
У нормальных провайдеров полноценно работала локалка с юзерскими ресурсами, и без arp-атак.
Потом уже начали блочить все порты ниже 1000 во избежании, но к тому моменту появился ru.wikipedia.org/wiki/%D0%A0%D0%B5%D1%82%D1%80%D0%B5%D0%BA%D0%B5%D1%80
2) Port Security разрешает только один мак на порту, можно настроить период обновления, в итоге можно менять роутеры и компы раз в 10 минут.
У разных провайдеров применяется как первый вариант, так и второй.
У нормальных провайдеров полноценно работала локалка с юзерскими ресурсами, и без arp-атак.
Потом уже начали блочить все порты ниже 1000 во избежании, но к тому моменту появился ru.wikipedia.org/wiki/%D0%A0%D0%B5%D1%82%D1%80%D0%B5%D0%BA%D0%B5%D1%80
Да, почти везде уже используется https, но в сети еще полно других незащищенных протоколов. К примеру, тот же самый DNS c атакой DNS-spoofing. Сам факт возможности осуществления MITM атаки порождает множество других атак. Все становится ужаснее когда в сети доступно несколько десятков активных хостов.
… но расписывать вы этого конечно же не будете. Потому что в реальности, абсолютное большинство всего закрыто TLS и мамкины скрипткидди имеют радость наблюдать как максимум какие-то картинки из миксед-контента криво настроенных вебсерваков, ну или можно еще «похитить» учетку ресурсов, в 2020 не использующих TLS по каким-то лично им известным причинам (кривость культей, вместо которых должны быть руки например, джойрекатор, привет)
У меня включен HTTPS Everywhere в блокирующем режиме и в поисках различных ответов на мои вопросы в посковиках я частенько натыкаюсь на сайты у которых HTTPS не работает вообще либо приняв не валидный сертификат я вижу ошибку 404.
Потому у меня и написано про миксед контент
Как правило весь миксед это убогенькие картинке в формате тамбнейла и что-то такое же неинтересное
Я не знаю с чем сравнить. Это все равно что в помойке ковырять, в надежде найти документ с какой-то важной информацией. Покопаться в мусоре какого-то «важного»-богатого человека можно, копаться в мусоре соседа-феди смысла нет никакого, потому что в лучшем случае ты там найдешь чеки из пятерочки.
Соотношение трудозатраты/результат в случае соседа-феди делает копание в мусоре бессмысленной тратой времени.
Как правило весь миксед это убогенькие картинке в формате тамбнейла и что-то такое же неинтересное
Я не знаю с чем сравнить. Это все равно что в помойке ковырять, в надежде найти документ с какой-то важной информацией. Покопаться в мусоре какого-то «важного»-богатого человека можно, копаться в мусоре соседа-феди смысла нет никакого, потому что в лучшем случае ты там найдешь чеки из пятерочки.
Соотношение трудозатраты/результат в случае соседа-феди делает копание в мусоре бессмысленной тратой времени.
Если соседи видят друг друга на L2, то это не оператор, а типичный мухосранск-телеком. даже в пределах одного VLAN можно изолировать трафик (если лень/нет возможности сделать VPU — vlan per user)
То есть, вы считаете нормальным, что если вдруг я захочу соседу отправить 40гб видео, я должен это сделать через интернет?
Не через Интернет в глобальном смысле, а через BRAS или что у ISP являет точкой терминирования, т.е. это будет в пределах AS оператора. Поскольку такого трафика очень мало (межабонетского внутри ISP), то смысла разрешать прямое L2-взаимодействие абонентов нет, проще прогнать подобный трафик через первую L3-железку, при этом победить большинство L2-атак таким простым и изящным способом (L2-изоляция)
В чем проблема, сделайте с соседом свою локалку со всем что полагается, и передавайте что угодно. Если вам нужно отправить 40 гиг- я думаю до локалки вы договориться сможете(если уже этого не сделали).
Sign up to leave a comment.
Mitm атака в масштабах многоквартирного дома