глюки фаервола, или хацкеры?

[HALE]

Некоторое время назад был вынужден перейти на фаер Agnitum Outpost. Увидел море глюков, перематерился, но кое как настроил и жил полгода без особых пролем.

Сегодня началось странное дело.
в течение суток каждые 4 минуты выскакивает "Хост провозгласил себя шлюзом - блокировка".
Я знаком с делом, когда от избытка соединений DC++ с таким вердиктом блокируется IP шлюза (ни мак ни Ip не меняются, просто Аутпост решает что они изменились).
Но это что-то новенькое, DC++ не запущен, а с сетью общения почти нет, но смотрите:

18:14:25   Gateway network adapter changed.   10.23.12.220   00-19-5B-2F-A2-54
18:11:09   Gateway network adapter changed.   10.23.12.220   00-19-5B-2F-A2-54
18:08:08   Gateway network adapter changed.   10.23.12.220   00-19-5B-2F-A2-54
18:04:43   Gateway network adapter changed.   10.23.12.220   00-19-5B-2F-A2-54

При этом вот что выдает arp-a:
10.23.0.1             00-11-95-b0-fa-02
//шлюз

А теперь смотрю в сниффер arp-пакетов:
Source MAC: 00:11:95:B0:FA:02
Source IP: 10.23.0.1
//Это шлюз, понятно, за ним все внешние IP
//А теперь смотрю на адресатов (их много с таким маком)
Destination MAC: 00:19:5B:2F:A2:54
Destination IP: 10.23.26.160, 10.23.28.133, 10.23.23.15, 10.23.26.178 и т.д.

Т.е. я правильно понимаю, все пакеты от шлюза к юзеру, что не предназначены мне, определяются как 00:19:5B:2F:A2:54?
Я не в курсе, это нормально?
Или я наблюдаю спуфинг где фальшивый шлюз для указанных IP имеет мак 00:19:5B:2F:A2:54.

Если так сеть и должна работать(я раньше просто этим не интересовался, извините уж), почему именно сейчас начал сходить с ума Аутпост?


И более того, чтобы убедиться что это просто реальная тачка на windows NT:
17:40:27   NETBIOS   IN REFUSED    UDP   10.23.12.220   NETBIOS_DGM   Block NetBIOS Traffic
17:34:27   NETBIOS   IN REFUSED    UDP   10.23.12.220   NETBIOS_DGM   Block NetBIOS Traffic
17:46:34   NETBIOS   IN REFUSED    UDP   10.23.12.220   NETBIOS_DGM   Blocked by Ethernet attack detector
17:48:24   NETBIOS   IN REFUSED    UDP   10.23.12.220   NETBIOS_DGM   Blocked by Ethernet attack detector
Я думаю, по NETBIOS ломится его Computer Browser, который не фильтруется в пределах сегмента. Если так, то что означает "провозгласил сбя шлюзом"?


Что это?
Спуфинг?
Или глюк Агнитума (который полгода не проявлялся)
Скажите, чего я не понимаю?

Как бороться, чтобы при авто-блокировке этого добра не отваливалась сеть?
Попробовал сделать привинтивное правило - все запросы от 10.23.12.220 игнорировать, анализатору атак не передавать. не помогает - Агнитум все так же блокирует сеть со ссылкой на этот IP в строке причины.


P.S.
Сейчас отпустило, пишу уже 10 минут не отваливаясь от сети....
я не понимаю этого...

[Клалофудо]

Вот именно из-за этого засранца и существуют такие глюки в 23-м сегменте.

Провозглашение себя шлюзом нужно для пропускания через комп трафика попавшихся на удочку. Много IP адресов просто потому, что он их перебирает, да и MAC сменён. Когда товарища поймают наконец - сетевой кабель не просто обрежут, а из квартиры выдернут.

[swein]

  хале ну и каша у тебя в голове
если вкратце - это косяк аутпоста. вообще этот фиреволл хороший но с характером.
солюшен - настроить attack detector, ру-боард.ком там все есть особенно про глюки аутпоста, поставить настройки в статик и прописать шлюз руками, еще вариант используя arp захардкодить маппинг 10.x.0.1 на нужный мак.

P/s/ а еще он может блочить траффик и при отключенной основной службе(или даже при правилах allow all), затрудняюсь объяснить почему возможно особенность сетевых драйверов в nt

[Клалофудо]

Swein, уверен?
Просто в 23-м сегменте действительно идёт постоянное левое dhcp-вещание с подменой IP и прочей байдой. Утомились уже этого кулхацкера вычислять.

[swein]

не я ответил только на аутпост..
в общем бороться по идее должен антхилл а так ставишь в статик и забываешь о проблеме

[HALE]

хале ну и каша у тебя в голове

да-да - каша в голове, потмоу что я не могу понять, где ложь аутпоста, а где реальность.

Я уже говорю, это видимо еще один глюк аутпоста с которым я не сталкивался. До сих пор он обвинял только IP шлюза, я почти привык.

про глюк блока трафика я тоже знаю. И никогда его не пользовал. Потому что эта падла иногда блочила даже то, чего блочить нельзя было по его же правилам. Например года два назад играл в Ragnarok - просто нагло блочил все трансферы апдейтов по ФТП, иногда блочил логин, ну и до кучи.
Ну просто вынужден я его юзать на win2003 (поставил себе на зло)
Отправлено: 03 Августа 2007, 03:08А вот по поводу MAC - это что-то для меня не известное.
Я брал логи со сниффера.
И я могу это объяснить двумя вещами:
1)я ничего ен понимаю в работе управляемых свичей и маршрутизаторов и единый мак на все входящие "не мои" пакеты - этопросто специфика его работы.
2)это чертов кулхацкер со спуф-сервером.
Отправлено: 03 Августа 2007, 03:12Да, и спасибо за наводку на плюгины. завтра покопаю.
Отправлено: 03 Августа 2007, 03:17З.Ы. Клалофудо, смотрю на аватар, вспоминается подпись: "A beginning is a very delicate time. Know then that..." дальше подставить по вкусу :-)

[swein]

0) получать "не свои" пакеты ты не можешь,те где адресат по маку (не_вcе || не_ты) до тебя просто не дойдут..
арп как раз шлет хитро составленные ethernet пакеты всем чтобы резолвить ип адреса
про арп тут ) http://www.citforum.ru/nets/tcpip/index.shtml

1) хост провозгласил сибя шлюзом (в моем понимании) -

[ Читать далее ]

a) кто-то выставил свой dhcp в сегмент не позаботившись о рез-тах..  возможно просто купленный d-link Роутер ) и юзер не виноват.. а у тебя просто стоит в авто.
б) а может и не dhcp а какойнить igmp... или еще какойто лоу левел протокольчик конфигурации.. а аутпост ревностно смотрит чтобы мак не менялся.
p/s/ про DHCP тут http://www.citforum.ru/internet/tifamily/dhcp.shtml
в) а может это просто арп спуфинг..  почему это не в #a - всетаки в твоем посте #1 говорится что ип товарища виден и он явно не подменяет гейт; что ты наснифил я плохо понимаю, юзать следовало Ethereal и правильно смотреть аутпут ) т.е. - если у гейта вдруг тихо сменился мак - значит арп спуфинг. ^_^

2)аутпост это отдельная история, бороться следует вначале без него... либо хорошеньго его обесточив ) про повадки - ру-боард

http://www.agnitum.com/support/kb/article.php?id=1000193&lang=en

[ Читать далее ]

Gateway sniffing - Hackers can substitute legitimate MAC addresses with ones of their own and reroute legitimate traffic to a hacker-controlled machine, by spoofing the ARP replies. This enables them to be able to 'sniff' (read) packets and view any data in transit. This ARP spoofing also allows traffic to be directed to non-existent hardware causing delays in data transmission or a denial of service on the affected equipment. Specialized hacker sniffing programs can also intercept traffic, including chat sessions and related private data such as password entries, names, addresses, and even encrypted files, by modifying MAC addresses at the Internet gateway.

[HALE]

0) хмм... это только ради резолва такой сыр-бор с подставными маками? /me shocked Но это не бродкасты(как я понял). Бродкасты я просто отфильтровал, а ресолв в пустую таблицу должен вроде проходить от бродкаста. да и свич за несколько часов, по идее, всех отресолвить должен был, а ИПы у нас не меняются.
1) а)ручная конфигурация, не люблю пользоваться дхчп, когда он не нужен. особенно как он живет в антхилле. б)вполне возможно. но с чего бы?
2)да-да... еще руки до плюгинов не дошли, только монитор новый купил, еще от впечатлений не отошел... а технологию я представляю. потому сразу подозрения и закрались.