[Angry Demon]

Цитата Paul-SFL:

может ли кто-нибудь привести краткую справку по командам arp.exe

ARP /?

ARP-spoofing

[paulkorotoon]

Спасибо, но это я читал . Я некорректно выразился: я имел ввиду, можно ли с помощью какой-то из этих команд что-то сделать для повышения моей безопасности?
-----
Так, только что почитал, насколько понял, Online Armor надежной защиты не предоставляет. Включил логгинг, оказалось, что файер пропускал пакеты ("Packet dropped"), ибо "Rule not found". Я запретил всякую активность по тем портам, через которые ко мне ломились.. ага, появилась заблокированная попытка , звякнул в офис нашей локалки, терь сижу жду.. Каждый раз звонить не кажется самой лучшей перспективой, однако..

[paulkorotoon]

Сказали, что это был вирус...

[paulkorotoon]

Хы, а оно продолжается.. Полазил я еще по поисковикам, наткнулся на интересную статью.
"Если не отключать использование ARP на сетевых интерфейсах, MAC-адрес, заданный статически, имеет приоритет. Если MAC-адрес для какого-то IP-адреса не задан, используется ARP-запрос." В связи с этим возникает вопрос: имеет ли смысл сделать свой MAC статическим? Я только что сделал это через arp.exe -s. Если я правильно понял то, что написано в статье, никто теперь не сможет подменить мой MAC? Разъясните, пожалуйста, те, кто в этом шарит .
-----
Блин. Закрываю порты, через некоторое время пакеты UDP начинают проходить в комп по другим портам. Это можно считать явным признаком целенаправленной атаки или я ошибаюсь?
-----
Начали приходить подозрительные (для файера) пакеты уже через TCP...
-----
Странно. Из ARP-таблицы пропал мой статический MAC... Написал по новой.

[paulkorotoon]

Минут 20-30 назад из-за сыпавшихся ко мне по TCP и UDP пакетов, помечаемых файерволлом как подозрительные, я запретил прием данных по обоим протоколам с любого порта (0-65535). Пакет приходить перестали. Сейчас отключил правило, но вопреки моим ожиданиям передача пакетов не возобновилась. Запущенные приложения, использующие Интернет, за это время не отключал, лазил по Сети по-прежнему. Компы, с которых производился, если верить файеру, spoofing, - в оффлайне. Все это укрепило меня в мысли, что проводилась целенаправленная атака. Но по причине того, что в этих делах я, максимум, любитель, сомнения насчет собственной правоты имеются. Вот последний лог Online Armor, буду очень признателен, если кто-нибудь его хоть немного проанализирует и подтвердит либо опровергнет мои опасения . В частности, интересно, почему файер блокирует пакеты, принимаемые System и svhost..
-----
Так, а пока я это все писал, пакеты снова полетели ко мне, опять включил правило. И один из подозрительных компов - онлайн. Не засну, блин, теперь , гг, будут мучить мысли, кто ж меня невзлюбил ....
Буду признателен за любые пояснения, исправления, советы .

[Reset5]

Paul-SFL,
не ваша ли проблема?:
http://forum.kaspersky.com/lofiversi...hp/t40298.html

[paulkorotoon]

Reset5, щас погляжу, спасибо за ссылку.
-----
Проглядел без особого вчитывания, вроде схоже с моей ситуацией.. Надо будет потом конкретно засесть и почитать.
Кстати, нашел пару интересных статей об ARP-spoofing - как проведении, так и защите:
одна и вторая.

[K@kTuS]

Поставь ARP-Defender. Мне он помогал даже в сетке, в которой защита по МАС-адресам шла (все неиспользуемые IP забивались несуществующими МАСами, на левом компе постоянно висит конфликт IP-адреса)

Цитата Paul-SFL:

Если я правильно понял то, что написано в статье, никто теперь не сможет подменить мой MAC? Разъясните, пожалуйста, те, кто в этом шарит »

Вообще, в общих чертах, ARP-подмена делается с целью перехвата траффика. Твой комп посылает пакеты в интернет через шлюз, злоумышленник проводит подмену мак-адреса шлюза, и весь твой траф идет через его комп, а там с ним можно делать всё, что угодно.
А вообще, если кто то так открыто занимается арп-спуффингом - это скорее всего пионер, дорвавшийся до снифера типа ICQ-sniff

[paulkorotoon]

K@kTuS, пасибо, щас скачаю.. Нашел еще, кстати, программку AntiSpoof, - жестко привязывает IP к MAC и блокирует все изменения, при этом выдавая запрос на действие: разрешить или запретить изменение, - тож попробую.. Да, еще почитал щас, пишут, что это может быть вирус - "win32.spoofing", так называется, если я не ошибся (а то закрыл ту страницу уже ).