[FUG-BR] RES: ARP Poisoning

[Renato Frederick]

Bom, ele pode fixar no gateway dele o IPxMAC dos clientes legítimos e no
ipfw negar qq outro par IP/MAC que não os lícitos.
Na pior das hipoteses ele tera 1 cliente clonando IPxMAC do outro.. Daí é
fácil, quem reclamar é porque está sofrendo o ataque.. 

---------
Renato Frederick
FreeBSD Brasil LTDA.
Fone: (31) 3281-9633
http://www.freebsdbrasil.com.br 
-
"Errar é humano, mas mugir é bovino."
 

> -----Mensagem original-----
> De: freebsd-bounces at fug.com.br 
> [mailto:freebsd-bounces at fug.com.br] Em nome de Marcelo Vilela
> Enviada em: quinta-feira, 11 de maio de 2006 08:58
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: Re: [FUG-BR] ARP Poisoning
> 
> Olá,
> 
> Terá que ficar gerenciando sua tabela de arp nos computadores 
> que suspeita que estão sofrendo os ataques, não sei existe 
> alguma ferramenta pronta que faça isso, mas não seria 
> complicado criar um script para manter uma tabela paralela e 
> comparar as tabelas de tempos em tempos, provavelmente haverá 
> alguma diferença pois a tabela de arp volta "sozinha" ao original. 
> 
> Quanto a proteção é um pouco mais complicado, acho que terá 
> que descobrir primeiro quem é o atacante e tomar medidas a 
> partir desta informação. O que poderia ser feito é manter a 
> tabela original em backup e com scripts recriar caso haja 
> alguma alteração (mas isso não é proteção, é remediação :)). 
>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 3104 bytes
Desc: not available
Url : http://www.fug.com.br/historico/html/freebsd/attachments/20060511/8d635ec7/attachment-0001.bin