ARP Spoofing no Data Center

Question

ARP Spoofing no Data Center

#1 resposta do (1 votos)

0

Eu tenho um servidor raiz dedicado. Eu notei conexões estranhas de 255.255.255.255 em iftop. Por causa disso eu tentei investigar isso. Eu corri o seguinte comando:

 tcpdump -i eth0 ether broadcast and ether multicast

Aqui recebo cerca de 100 solicitações por segundo

16:21:13.174056 ARP, Request who has ****** tell ***** length 46
16:21:13.174406 ARP, Request who has ****** tell ***** length 46
16:21:13.174717 ARP, Request who has ****** tell ***** length 46
16:21:13.175351 ARP, Request who has ****** tell ***** length 46
16:21:13.175772 ARP, Request who has ****** tell ***** length 46
16:21:13.175923 ARP, Request who has ****** tell ***** length 46
16:21:13.250028 ARP, Request who has ****** tell ***** length 46
16:21:13.261960 ARP, Request who has ****** tell ***** length 46
16:21:13.334608 ARP, Request who has ****** tell ***** length 46
16:21:13.360883 ARP, Request who has ****** tell ***** length 46
16:21:13.361910 ARP, Request who has ****** tell ***** length 46
16:21:13.361919 ARP, Request who has ****** tell ***** length 46
16:21:13.363287 ARP, Request who has ****** tell ***** length 46
16:21:13.363297 ARP, Request who has ****** tell ***** length 46
16:21:13.365008 ARP, Request who has ****** tell ***** length 46
16:21:13.462835 ARP, Request who has ****** tell ***** length 46
16:21:13.464375 ARP, Request who has ****** tell ***** length 46
16:21:13.464954 ARP, Request who has ****** tell ***** length 46
16:21:13.565233 ARP, Request who has ****** tell ***** length 46
16:21:13.566120 ARP, Request who has ****** tell ***** length 46
16:21:13.567008 ARP, Request who has ****** tell ***** length 46

Isso não parece normal para mim. Há muitos pedidos de endereços IP diferentes. Aqui está um exemplo (o domínio é censurado):

16:21:13.334608 ARP, Request who has mysql.example.com tell web1.example.com length 46

Portanto, o web1.example.com está enviando uma solicitação na qual Machine / Mac-Adress é responsável pelo nome do host mysql.example.com. Quando eu estiver correto, eu posso fazer o ARP-Spoofing e dizer ao web1.example.com que meu servidor é responsável por mysql.example.com .. Então é um homem no meio do ataque ...

Eu tenho esse problema apenas com um servidor em um provedor. Eu nunca tive isso antes. Meu colega também acha que é um risco de segurança / configuração incorreta do roteador / switch no datacenter.

Próxima coisa estranha: Quando eu executo o comando

arp

sem nenhum parâmetro eu tenho uma lista com 20 hostnames diferentes e endereços mac.

Eu tenho servidores diferentes, também em outros provedores. Quando executo esses comandos em meus outros servidores, não recebo nenhuma Solicitação ARP e só vejo minha máquina quando executo o arp sem nenhum argumento ... Então, o que diabos está acontecendo aqui?

security arp

por Dan 10.12.2015 / 21:05

1 resposta

Tags security arp

Como configurar um servidor web local para servir uma página html local Como obter o arquivo de texto mais recente baseado no timestamp de um diretório

score 1 · Accepted Answer

255.255.255.255 não é estranho, é um endereço de broadcast IPv4 e é usado por vários protocolos. O spam ARP pode aparecer quando há problemas de rede ou eu também o vi em circunstâncias normais; sem saber quais endereços IP (eles são roteadores de gateway?) e a configuração de tal, o tráfego pode ou não ser nefasto. Fale com a equipe de networking?

A falsificação de ARP pode ser um problema se houver alguém desobediente na sub-rede local, embora possa ser atenuado pela tecnologia de rede apropriada (802.1X ou bloqueio de determinado MAC a portas de rede específicas). Mas isso é mais uma questão de rede. No lado unix, pode-se fazer entradas arp estáticas, embora isso possa causar uma quebra inesperada se não for coordenado com o grupo de rede ou outras equipes.

arp mostrará hosts que conversaram pelo sistema de alguma forma, se um sistema não mostrar nenhum, então ele pode estar em uma sub-rede onde o spam de transmissão não é comum (por exemplo, uma rede somente de servidor com serviços bloqueados, DNS dinâmico ou qualquer outra coisa), ou poderia ser uma virt protegida do tráfego de broadcast devido a como essa virt está em rede.