Конфликт IP

[Weiss]

Конфликт IP

посоветуйте что-нибудь. А проблема вот в чем: у меня локальная сеть слобода и уже 2 дня вкдючаю комп и он пишет системная ошибка виндовз Конфликт IP адреса с другой системой в сети. Это получаеться что кто-то сидит под моим айпишником? Что делать в таком случае? В тех поддержку не могу дозвониться второй день.

 

[_J_a_C_k_]

Да, кто-то под твоим айпи. Надо идти в тех.поддержку и говорить мол пробей те как хотите, но узнайте кто это и верните мне айпи!

 

[colgat]

сеть какая?попробуй на странице статистики отключать выход в интернет,но на техподдержку сообщить обязательно!!!!!!!!!!!не откладывай- кто-то может качать усиленно,а счет оплатишь ты.

 

[Weiss]

в тех поддержку сообщил, сказали что это на нашем районе у многих такое. сказали что разбираються. В статистике я всегда выключаю выход в инет.

 

[Night]

сеть какая?попробуй на странице статистики отключать выход в интернет,но на техподдержку сообщить обязательно!!!!!!!!!!!не откладывай- кто-то может качать усиленно,а счет оплатишь ты.

Гм, причём IP к оплате? Чтобы качать за счёт какого то постороннего чела, вовсе не обязательно задавать его МАС адресс и ИП! Всё гораздо проще, всё осуществляется методом установки "чужого" пароля в свой VPN профиль-заменил логин с паролем и качай скока влезет, при этом владелец пароля сможет спокойно юзать локалку, но при попытки войти в инет будет следующее: "Ошибка 691: Доступ запрещён, поскольку такое имя или пароль недопустимы в этом домине"
...а у товарища Weiss ктото скомуниздил его МАС-адресс, и этот "кто-то" обязательно из его сегмента и если пробить "подлеца"(благо, спец. проги имеюцца) можно пойти и зарядить ему в глаз за такие делы!!!

 

[_J_a_C_k_]

colgat, что за чушь?
Обратись в техподдержку, пускай они пришъют тебе к сетевой карте твой айпишник и тогда никто несможет им воспользоваться!

 

[Night]

пускай они пришъют тебе к сетевой карте твой айпишник и тогда никто несможет им воспользоваться!

айпишник и так постоянный во всех харьковских сетях, но это ещё не факт, что "им никто не сможет воспользоватся"
AMac.Address Change, ХР,локальная сеть и прямые руки-всё что для этого необходимо!

 

[oldcolony]

Не знаю как в слободе, но тут приносила как-то тетка настройки из какой-то локалки. Может даже из слободы. Не было там авторизации по VPN, тупая привязка MAC к IP. И перехватить это действительно как два байта переслать. Админов гнать надо, я даже не знал, что так хоть кто-то еще работает.

 

[krasniy]

во многих сетях Харькова авторизация идет по связке IP+MAC
в частности в Слободе это так.

единственный способ это отключать выход в инет на странице статистики и рубить все входящие коннекты (которые не нужны) firewall. обязательно закрыть icmp.

2 _J_a_C_k_
неверно в корне.
от ARP spoofing достаточно сложно защититься.

Посилання видалено
Посилання видалено

PS
для ДС лучший способ это авторизация через VPN, imho

 

[Kuzia]

во многих сетях Харькова авторизация идет по
...
обязательно закрыть icmp.
...

Офтоп: вот мне жутко интересно, что это вам даст в плане безопасности (вернее чего вы этим добьетесь, кроме того, что осложните диагностирование работоспособности сети)?

 

[krasniy]

Офтоп: вот мне жутко интересно, что это вам даст в плане безопасности (вернее чего вы этим добьетесь, кроме того, что осложните диагностирование работоспособности сети)?

1. если надо делать диагностику (громкое однако слово), правило можно сделать неактивным на некоторое время. если закрыть входящий icmp, то исходящий пинг работает нормально, а входящий нет... с tracert (traceroute) чуть другая картинка.
2. это уберет один из самых простых способов получения MAC адреса с любого IP внутри локальной сети (а может и не один.. особо не вникал в их количество).

PS
в администрирование есть одно хорошее правило - закрывается все и открывается только, что нужно.
не я придумал, но пользуюсь с удовольствием.

ipchains -P input DENY
ipchains -P output DENY
ipchains -P forward DENY

 

[Kuzia]

...
2. это уберет один из самых простых способов получения MAC адреса с любого IP внутри локальной сети (а может и не один.. особо не вникал в их количество).
...

Вредное и распространенное заблуждение. MAK невозможно скрыть, если вам каким либо образом (напр. заблокировав протокол ARP и сбросив статическую привязку на роутере) удастся это сделать, то вы обнаружите, что сеть у вас не работает целиком и полностью. Почему вредное? Типичный пример: звонит пользователь в службу тех. поддержки и жалуется на "потери" до роутера, сотрудник тех. поддержки с роутера пытается пропинговать компьютер пользователя и обнаруживает что пинг не проходит вобще, на вопрос стоит-ли у вас фаервол, пользователь отвечает "да", на просьбу его отключить или хотя-бы разрешить протокол icmp с негодованием отвечает: "но ведь тогда меня смогут взломать хаккеры!"... Чушь несусветная, но спрашивается, как в таком случае аварийщик должен искать эти самые потери (если они действительно есть)?

 

[drew]

Не знаю как в слободе, но тут приносила как-то тетка настройки из какой-то локалки. Может даже из слободы. Не было там авторизации по VPN, тупая привязка MAC к IP. И перехватить это действительно как два байта переслать. Админов гнать надо, я даже не знал, что так хоть кто-то еще работает.

Там небыло привязки по маку, только по IP, если память не изменяет. Как сейчас - хз.

неверно в корне.
от ARP spoofing достаточно сложно защититься.

Это почему же. IP-MAC binding на абонентском порту свича поможет отцам русской демократии

2. это уберет один из самых простых способов получения MAC адреса с любого IP внутри локальной сети

ага-ага, еще как

 

[Avarie]

1. если надо делать диагностику (громкое однако слово), правило можно сделать неактивным на некоторое время. если закрыть входящий icmp, то исходящий пинг работает нормально, а входящий нет... с tracert (traceroute) чуть другая картинка.
2. это уберет один из самых простых способов получения MAC адреса с любого IP внутри локальной сети (а может и не один.. особо не вникал в их количество).

PS
в администрирование есть одно хорошее правило - закрывается все и открывается только, что нужно.
не я придумал, но пользуюсь с удовольствием.

ipchains -P input DENY
ipchains -P output DENY
ipchains -P forward DENY

Огромное спасибо за мануал и доходчивое объяснение, давно искал подобное описание.. потому что ну очень нужное и ну очень правильное ..
Один лишь только момент мне не ясен : как защититься от гадкого arping ? (что бы сеть ессно работала при этом)

 

[krasniy]

Это почему же. IP-MAC binding на абонентском порту свича поможет отцам русской демократии

речь идет о ДС Харькова... что-то я не видел локалок в городе, где каждый пользователь был подключен к порту managed switch.
даже если есть 1 неуправляемое устройство между абонентом и управляемым свитчем, то все привязки врядли помогут.

Вредное и распространенное заблуждение. MAK невозможно скрыть, если вам каким либо образом (напр. заблокировав протокол ARP и сбросив статическую привязку на роутере) удастся это сделать, то вы обнаружите, что сеть у вас не работает целиком и полностью.

я не написал, что это спасет "отца русской демократии". просто уберет один из способов.
а на счет "продвинутых" юзеров, так это уже другая проблема.

если человек с головой подходит к решению проблемы, то ему не нужен ни антивирус ни фаерволл (если идет речь о домашнем компе).

 

[krasniy]

Один лишь только момент мне не ясен : как защититься от гадкого arping ?

ну если рассмотреть проблему, то все очень просто - в локалках Харькова это делают в основном, чтобы на шару пользоваться инетом за чужой счет.
в локалках где доступ в инете дают через vpn - эта проблема отсутствует.
там где через связку IP+Mac плюс открытый доступ к инету в "панели управления" (или как там они называеются) - просто следить за этим.

нужен инет - включил доступ.
выключаешь комп - выключил доступ (согласен это не удобно)

а вобще это больше проблема представителей информационных услуг, а не клиента. по аналогии, что клиент положивший деньги в банк, должен сам их охранять. абсурд.

 

[Kuzia]

речь идет о ДС Харькова... что-то я не видел локалок в городе, где каждый пользователь был подключен к порту managed switch.

"Каждый", пожалуй, еще не в одной из сетей, но к этому медленно, но уверенно идет.

даже если есть 1 неуправляемое устройство между абонентом и управляемым свитчем, то все привязки врядли помогут.

С чего вдруг такой вывод? Все зависит от топологии. В принципе хватило-бы одного управляемого свича на дом (по 1-4 клиентов на управляемый порт).

я не написал, что это спасет "отца русской демократии". просто уберет один из способов.

Этих способов такая масса, что "убирать" конкретно этот, нет ни малейшего смысла. А вот работу техникам это вполне может осложнить.

а вобще это больше проблема представителей информационных услуг, а не клиента. по аналогии, что клиент положивший деньги в банк, должен сам их охранять. абсурд.

C этим сложно не согласиться.

 

[drew]

речь идет о ДС Харькова... что-то я не видел локалок в городе, где каждый пользователь был подключен к порту managed switch.
даже если есть 1 неуправляемое устройство между абонентом и управляемым свитчем, то все привязки врядли помогут.

Не хочу лишний раз пиарится, но в Макснете (который новый) - абоненты таки в порт управляемого свича подключаются (одно тело на один порт), нету между ними неуправляемых "устройств", поэтому нет ни арпспуфинга, ни подмен айпи и тыды и тыпы.

 

[krasniy]

Не хочу лишний раз пиарится ...

так это не пиар по сути. это так как должно быть в каждой локалке. помимо арпспуфинга это полезно и для других вещей.
из недавней практики:
комп подхватил троянчик, который спамит во внешний мир всякую хрень. причем он подменял исходящий IP. за ночь было наспамлено трафика на 5+ Гб ! бинд IP+MAC собственно ограничивает распространение этого тарфика по локалке.
да и те же эпидемии сассера и мсбласта. локализовать как нефик делать при ситуации когда 1 юзер = 1 управляемый порт.

С чего вдруг такой вывод? Все зависит от топологии. В принципе хватило-бы одного управляемого свича на дом (по 1-4 клиентов на управляемый порт).

ну вот 1-4 клиента на 1 порт управляемый, то есть если их 1+ , то стоит неуправляемый свичт/хаб (не важно вобщем) на который цепляются эти 2-4 и потом на аплинком на управляемый порт. собственно в рамках любого неуправляемого устройства возможен арпспуфинг.
но 1-4 это достаточно узкая локализация проблемы.

как мысль...
многие случаи арпспуфинга обнаруживаются и разрешаются. почему бы не заносить этого клиента в базу данных и отключать методом "обрезания" от сети. доступ к базе, чтобы был у всех ДС Харькова.
собственно аналогичная технология практикуется у DSL провайдеров в МСК.

 

[Avarie]

ну если рассмотреть проблему, то все очень просто - в локалках Харькова это делают в основном, чтобы на шару пользоваться инетом за чужой счет.
в локалках где доступ в инете дают через vpn - эта проблема отсутствует.
там где через связку IP+Mac плюс открытый доступ к инету в "панели управления" (или как там они называеются) - просто следить за этим.

нужен инет - включил доступ.
выключаешь комп - выключил доступ (согласен это не удобно)

а вобще это больше проблема представителей информационных услуг, а не клиента. по аналогии, что клиент положивший деньги в банк, должен сам их охранять. абсурд.

Рекомендую не зацикливаться на вопросах предоставления инет-услуг, как показывает практика: во многих ДЛС Харькова стоит блокировка доступа, согласованная с биллингом для абонентов ушедших в минусовой баланс. В основной массе пользователи от ЛС хотят получить именно плюсы ЛС, сетевые игры, чаты, файлопомойку. И подмена mac+IP большей частью наблюдается именно в этом/подобных случаях. То есть для получения доступа в ЛС.