_ RU.LINUX (2:5077/15.22) ___________________________________________ RU.LINUX _
From : Alex Korchmar 2:5020/423.65 23 Oct 99 03:04:00
Subj : Жесткая связь между mac и ip-адресом
________________________________________________________________________________
From: Alex Korchmar <alx@alx.private>
AE>> freebsd - /sbin/arp -t /etc/ethers при загрузке системы + небольшой патчик
AE>> к ядру, который заставляет систему "замораживать" таблицу соответствия
AE>> между mac и ip-адресами.
VM> А нафига патчик ?
линукс - единственная, видимо, операционка, у которой ATF_PERM -
действительно перманентны (если верить Алану. Я не проверял!). Всем
остальным, включая фрю 2.2.x (выше 2.2.6 я тоже просто не пробовал) можно
прислать arp reply, и они его молча скушают, наплевав на "permanent", равно
как и на то, что никакого request они тебе не посылали. Вот на этого "фига"
им там и нужен патчик. Hам - вроде бы нет.
VM> Команда
VM> usr/sbin/arp -s md 00:80:5F:06:89:0E
VM> записывает в arp-таблицу мак-адрес md с флагом "permanent", если специально
VM> не
досюда верно. А дальше - не всегда и не везде.
VM> Конечно, это не защитит arp-таблицу от динамического добавления в нее не
VM> прописанных в /etc/ethers адресов.
более того, это не защитит и от icmp redirect'ов, эту радость надо фильтровать
отдельно.
А самое главное - это ну совершенно не защитит тебя от
ifconfig eth0 down
ifconfig eth0 hw ether твой-mac-адрес
ifconfig eth0 твой-ip
> Alex
P.S. за подробностями - на секьюритифокус, поройтесь в архивах bugtraq
примерно двухгодичной давности - там долго и со вкусом обсасывалась данная
история, с резюме "ipv4 - говно, и ничего тут со 100% гарантией не сделаешь".
Заодно там же можно нарыть волобуевскую send_arp - мечта кульхацкера.
--- ifmail v.2.14.os-p5
* Origin: Down System -2 (2:5020/423.65)
630 Прочтений • [DHCP по mac адресу (arp mac ip dhcp)] [08.05.2012] [Комментариев: 0]
Vova
