---

Hej!
Jeg har været af den overbevisning at <subject> ikke har kunne lade sig
gøre. Men på Linuxforum2k der blev der omtalt at dette godt kunne lade sig
gøre ?! (Diskutionen gik ret hurtigt over i ipv6 hvorefter tiden løb ud så
jeg fik egentlig aldrig nogen uddybning :()
Hvordan i al verden kan det lade sig gøre på en switch?!


/Dennis

---

On Sun, 3 Mar 2002 18:00:09 +0100, Dennis Pedersen wrote:
> Hej!
> Jeg har været af den overbevisning at <subject> ikke har kunne lade sig
> gøre. Men på Linuxforum2k der blev der omtalt at dette godt kunne lade sig
> gøre ?! (Diskutionen gik ret hurtigt over i ipv6 hvorefter tiden løb ud så
> jeg fik egentlig aldrig nogen uddybning :()
> Hvordan i al verden kan det lade sig gøre på en switch?!

Ved at spoofe ARP, sådan at maskine A tror at mac adressen på
maskine B er din maskine, så du modtager pakkerne, sniffer dem, og
sender dem videre til B

--
Jesper Skriver, CCIE #5456
FreeBSD committer

---

"Jesper Skriver" <harvest@wheel.dk> wrote in message
news:slrna84o5e.1bhj.harvest@freesbee.wheel.dk...
> On Sun, 3 Mar 2002 18:00:09 +0100, Dennis Pedersen wrote:
> > Hej!
> > Jeg har været af den overbevisning at <subject> ikke har kunne lade sig
> > gøre. Men på Linuxforum2k der blev der omtalt at dette godt kunne lade
sig
> > gøre ?! (Diskutionen gik ret hurtigt over i ipv6 hvorefter tiden løb ud
så
> > jeg fik egentlig aldrig nogen uddybning :()
> > Hvordan i al verden kan det lade sig gøre på en switch?!
>
> Ved at spoofe ARP, sådan at maskine A tror at mac adressen på
> maskine B er din maskine, så du modtager pakkerne, sniffer dem, og
> sender dem videre til B

Ahae...Men hvis der er en overførsel igang mellem a og b, så kan C ikke
umiddelbart spoofe a's adresse overfor b eller?
Fordi umiddelbart ville jeg da tro der opstod en konflikt?!
Er det noget man kan tiltrerre sig ud af eller?

/Dennis

---

On Sun, 3 Mar 2002 18:50:59 +0100, Dennis Pedersen wrote:
>
> "Jesper Skriver" <harvest@wheel.dk> wrote in message
> news:slrna84o5e.1bhj.harvest@freesbee.wheel.dk...
>> On Sun, 3 Mar 2002 18:00:09 +0100, Dennis Pedersen wrote:
>> > Hej!
>> > Jeg har været af den overbevisning at <subject> ikke har kunne lade sig
>> > gøre. Men på Linuxforum2k der blev der omtalt at dette godt kunne lade sig
>> > gøre ?! (Diskutionen gik ret hurtigt over i ipv6 hvorefter tiden løb ud så
>> > jeg fik egentlig aldrig nogen uddybning :()
>> > Hvordan i al verden kan det lade sig gøre på en switch?!
>>
>> Ved at spoofe ARP, sådan at maskine A tror at mac adressen på
>> maskine B er din maskine, så du modtager pakkerne, sniffer dem, og
>> sender dem videre til B
>
> Ahae...Men hvis der er en overførsel igang mellem a og b, så kan C ikke
> umiddelbart spoofe a's adresse overfor b eller?

Den sender blot en gracious arp som unicast til B, så opdager A
aldrig at du har spoof'et dens MAC adresse over for B.

> Fordi umiddelbart ville jeg da tro der opstod en konflikt?!

Se ovenfor.

> Er det noget man kan tiltrerre sig ud af eller?

Filtrere ? Nej, ARP skal ligesom virke ...

--
Jesper Skriver, CCIE #5456
FreeBSD committer

---

"Jesper Skriver" <harvest@wheel.dk> wrote in message
news:slrna84oo0.1cra.harvest@freesbee.wheel.dk...
> On Sun, 3 Mar 2002 18:50:59 +0100, Dennis Pedersen wrote:
> >
> > "Jesper Skriver" <harvest@wheel.dk> wrote in message
> > news:slrna84o5e.1bhj.harvest@freesbee.wheel.dk...
> >> On Sun, 3 Mar 2002 18:00:09 +0100, Dennis Pedersen wrote:
> > Ahae...Men hvis der er en overførsel igang mellem a og b, så kan C ikke
> > umiddelbart spoofe a's adresse overfor b eller?
>
> Den sender blot en gracious arp som unicast til B, så opdager A
> aldrig at du har spoof'et dens MAC adresse over for B.
>
> > Er det noget man kan tiltrerre sig ud af eller?
>
> Filtrere ? Nej, ARP skal ligesom virke ...

Jeg tænkte på filtrerre as in undgå at der var nogen der spoofede mac
adresser på sit LAN
Eller hvordan tager man sine forholdsregler for at undgå spoofede ARP pakker
på sit LAN?

/Dennis

---

On Sun, 3 Mar 2002 19:17:35 +0100, Dennis Pedersen wrote:

> "Jesper Skriver" <harvest@wheel.dk> wrote in message
> news:slrna84oo0.1cra.harvest@freesbee.wheel.dk...
>
>> On Sun, 3 Mar 2002 18:50:59 +0100, Dennis Pedersen wrote:
>>
>> > "Jesper Skriver" <harvest@wheel.dk> wrote in message
>> > news:slrna84o5e.1bhj.harvest@freesbee.wheel.dk...
>> >
>> >> On Sun, 3 Mar 2002 18:00:09 +0100, Dennis Pedersen wrote:
>> >
>> > Ahae...Men hvis der er en overførsel igang mellem a og b, så kan C
>> > ikke umiddelbart spoofe a's adresse overfor b eller?
>>
>> Den sender blot en gracious arp som unicast til B, så opdager A
>> aldrig at du har spoof'et dens MAC adresse over for B.
>>
>> > Er det noget man kan tiltrerre sig ud af eller?
>>
>> Filtrere ? Nej, ARP skal ligesom virke ...
>
> Jeg tænkte på filtrerre as in undgå at der var nogen der spoofede mac
> adresser på sit LAN
>
> Eller hvordan tager man sine forholdsregler for at undgå spoofede ARP
> pakker på sit LAN?

Det kan du ikke.

Hvis du ikke stole på de maskiner der er på samme broadcast medie,
så må du enten isolere de maskiner du ikke stoler på, eller kryptere
trafikken.

--
Jesper Skriver, CCIE #5456
FreeBSD committer

---

"Jesper Skriver" <harvest@wheel.dk> wrote in message
news:slrna84ts5.1rq2.harvest@freesbee.wheel.dk...
> On Sun, 3 Mar 2002 19:17:35 +0100, Dennis Pedersen wrote:
>
> > "Jesper Skriver" <harvest@wheel.dk> wrote in message
> > news:slrna84oo0.1cra.harvest@freesbee.wheel.dk...
> >
> >> On Sun, 3 Mar 2002 18:50:59 +0100, Dennis Pedersen wrote:
> >>
> >> > "Jesper Skriver" <harvest@wheel.dk> wrote in message
> >> > news:slrna84o5e.1bhj.harvest@freesbee.wheel.dk...
> >> >
> >> >> On Sun, 3 Mar 2002 18:00:09 +0100, Dennis Pedersen wrote:
> >> >
> >> > Ahae...Men hvis der er en overførsel igang mellem a og b, så kan C
> >> > ikke umiddelbart spoofe a's adresse overfor b eller?
> >>
> >> Den sender blot en gracious arp som unicast til B, så opdager A
> >> aldrig at du har spoof'et dens MAC adresse over for B.
> >>
> >> > Er det noget man kan tiltrerre sig ud af eller?
> >>
> >> Filtrere ? Nej, ARP skal ligesom virke ...
> >
> > Jeg tænkte på filtrerre as in undgå at der var nogen der spoofede mac
> > adresser på sit LAN
> >
> > Eller hvordan tager man sine forholdsregler for at undgå spoofede ARP
> > pakker på sit LAN?
>
> Det kan du ikke.

Uhm okai..
Så var det jeg tænkte hvordan sikrer en ISP sig så at der ikke kommer
spoofede pakker ind i sit net?

>
> Hvis du ikke stole på de maskiner der er på samme broadcast medie,
> så må du enten isolere de maskiner du ikke stoler på, eller kryptere
> trafikken.

As in oprette en masse VLANs?

/Dennis

---

On Mon, 4 Mar 2002 00:43:29 +0100, Dennis Pedersen wrote:

> Uhm okai..
> Så var det jeg tænkte hvordan sikrer en ISP sig så at der ikke kommer
> spoofede pakker ind i sit net?

Man har ikke multiple kunder på et broadcast domain, og så kan kunden
kun sniffe sig selv ...

>> Hvis du ikke stole på de maskiner der er på samme broadcast medie,
>> så må du enten isolere de maskiner du ikke stoler på, eller kryptere
>> trafikken.
>
> As in oprette en masse VLANs?

Ja.

--
Jesper Skriver, CCIE #5456
FreeBSD committer

---

Jesper Skriver wrote:

>>Er det noget man kan tiltrerre sig ud af eller?
> Filtrere ? Nej, ARP skal ligesom virke ...


Måske kan hans spørgsmål godt misforståes, men det er da muligt at
fortælle en switch hvilke MAC adresser der sidder på hvilke porte.

---

On Sun, 03 Mar 2002 22:14:20 +0100, Christian E. Lysel wrote:
> Jesper Skriver wrote:
>
>>>Er det noget man kan tiltrerre sig ud af eller?
>> Filtrere ? Nej, ARP skal ligesom virke ...
>
> Måske kan hans spørgsmål godt misforståes, men det er da muligt at
> fortælle en switch hvilke MAC adresser der sidder på hvilke porte.

Ja - det er rigtigt - det havde jeg glemt.

Noget andet er, at det i praksis er et administrativt mareridt.

--
Jesper Skriver, CCIE #5456
FreeBSD committer

---

"Dennis Pedersen" <usenetspam@*FJERNDETTE*daydreamer.dk> wrote in message
news:oEsg8.14429$PE.1119919@news000.worldonline.dk...
> Hej!
> Jeg har været af den overbevisning at <subject> ikke har kunne lade sig
> gøre. Men på Linuxforum2k der blev der omtalt at dette godt kunne lade sig
> gøre ?! (Diskutionen gik ret hurtigt over i ipv6 hvorefter tiden løb ud så
> jeg fik egentlig aldrig nogen uddybning :()
> Hvordan i al verden kan det lade sig gøre på en switch?!


Mange Rigtige switche har en mirror-port feature, således at du kan få alle
de pakker som findes på een bestemt port, mirrored til en hvilken somhelst
anden port, denne port sætter du så din probe på.
Nogle steder hedder den også monitor port...

HTH
Martin Bilgrav