شناسایی یک اتک!
سلام دوستان
شبکه من به این شکله:
در Vlan 50
یک سوئیچ ۲۹۶۰ که پنج تا از پورت هاش به سوئیچ های غیر قابل مدیرت وصل شده (به خاطر کمبود نود در ساختمان)
یک کریو هست که Inter vlan رو انجام می ده و Gateway این وی لن 192.168.50.1 هست
یک Access-point هم به سوئیچ وصل شده
حمله شبیه Arp poisening بود اما gateway شبکه رو انداخته بود روی یک vm ! به خاطر همین کل ترافیک شبکه منتقل می شد روی اون vm که البته نتونستیم شناساییش کنیم!!!
به نظر تون چه حمله ای بوده؟
راه مقابله به غیر از پورت سکیوریتی چی پیشنهاد می کنید؟!
2 پاسخ
سلام
دوست عزیز مقاله مهندس شوهانی رو حتما مطالعه بفرمایید
نحوه جلوگیری از حملات arp spoofing و arp poisoning
و همین طور فیلم آموزشی ایشون
دوره ccna security امنیت لایه دو
موفق باشید
سلام
فکر کنم ARP Poisioning انجام شده
برای مقابله با اون هم هم می تونید از قابلیت های سوییچ استفاده کنید . دستور dhcp snooping رو کامل مطالعه بفرمایید.
یا در تمامی کلاینتها ادرس mac و ip تمامی سرورها و gateway شبکه را (که مطمئنا به صورت دستی set شده اند) وارد بفرمایید.
از دستور زیر کمک بگیرید.
netsh interface ip add neighbors "Local Area Connection " "ip server" "mac server"
در واقع با این دستور شما به کلاینتها ادرس واقعی سرورها رو معرفی میکنید و هکر از ضعف پروتکل ARP برای poision کردن کلاینتها نمی تونه استفاده کنه.
برای پاک کردن دستور فوق نیز از دستور زیر استفاده کنید.
netsh interface ip delete neighbors "Local Area Connection " "ip server" "mac server"
و در نهایت hp ادرس سرورها حتما میبایست به صورت manuall تنظیم شده باشند و در صورت تغییر mac address و یا ip address سرورها و یا gateway حتما می بایست دستور فوق با ادرس درست دوباره بر روی کلاینتها زده شود.