none
ARP spoofing на Windows 7 RRS feed

  • Общие обсуждения

  • Проблема такая: В организации имеется сетевой узел на cisco 2960(настроен на них ARP испектор по умолчанию 15 пакетов в милисекунду), также имеются пользовательские пк на XP и теперь уж на Win7. Проблема состоит в следующем: Когда я набирую в Win7 пуск- выполнить-\\имя , то сеть на пк блокируетюся(как показывает cisco что произошёл ARP шторм и заблокировал порт).Замечу что на XP такой проблемы нет!

    Ещё наблюдения:при установки сеnевого принтера на WIn7 происходит тоже самое(именно когда выбираю найти все сетевые принтеры)

    Подскажите как быть....

    4 августа 2011 г. 4:12

Все ответы

  • попробуйте не использовать ipv6, может быть это работу LLNMR так блокирует? Стоит посмотреть работу сети какой-нибудь программой мониторинга, например Network monitor 3 http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=4865
    4 августа 2011 г. 6:15
  • это не выход!ПРобовал отключать ip v6- не помогло.мониторил сеть через програмку эту -тоже не помогло...да она показывает статистику ARP, но это не решение того что WIN7 спамит.
    4 августа 2011 г. 9:15
  • это не выход!ПРобовал отключать ip v6- не помогло.мониторил сеть через програмку эту -тоже не помогло...да она показывает статистику ARP, но это не решение того что WIN7 спамит.

    что значит не помогло? монитор не должен был решить проблему, он должен был показать причину.

    Смотрите какой протокол инициирует arp запросы? какое их количество реально инициируется на компьютере? какие ip адреса запрашиваются при этом?


    MCITP: Server Administrator
    4 августа 2011 г. 10:20
  • Опишу ещё немного наблюдений: при наборе пуск-выполнить и ввода \\ происходит ARP опрос тех ПК которые хранятся в буфере(показывает те компы которые были набраны последнии) и так как он рассылает допустим 10-20 последним пк ARP почти одновремнно, то cisco определяет как шторм и блокирует.Пример:

      Frame: Number = 613, Captured Frame Length = 42, MediaType = ETHERNET
    - Ethernet: Etype = ARP,DestinationAddress:[FF-FF-FF-FF-FF-FF],SourceAddress:[20-CF-30-BB-E5-0C]
      - DestinationAddress: *BROADCAST [FF-FF-FF-FF-FF-FF]
         Rsv: (111111..)
         UL:  (......1.) Locally Administered Address
         IG:  (.......1) Group address (multicast)
      - SourceAddress: 20CF30 BBE50C [20-CF-30-BB-E5-0C]
         Rsv: (001000..)
         UL:  (......0.) Universally Administered Address
         IG:  (.......0) Individual address (unicast)
        EthernetType: ARP, 2054(0x806)
    - Arp: Request, 10.10.9.0 asks for 10.10.8.1
        HardwareType: Ethernet
        ProtocolType: Internet IP (IPv4)
        HardwareAddressLen: 6 (0x6)
        ProtocolAddressLen: 4 (0x4)
        OpCode: Request, 1(0x1)
        SendersMacAddress: 20-CF-30-BB-E5-0C
        SendersIp4Address: 10.10.10.0
        TargetMacAddress: 00-00-00-00-00-00
        TargetIp4Address: 10.10.10.1

    Такое чувство, что Win7 отправляет пачками ARP запросы

    5 августа 2011 г. 5:22
  • Опишу ещё немного наблюдений: при наборе пуск-выполнить и ввода \\ происходит ARP опрос тех ПК которые хранятся в буфере(показывает те компы которые были набраны последнии) и так как он рассылает допустим 10-20 последним пк ARP почти одновремнно, то cisco определяет как шторм и блокирует.Пример:

      Frame: Number = 613, Captured Frame Length = 42, MediaType = ETHERNET
    - Ethernet: Etype = ARP,DestinationAddress:[FF-FF-FF-FF-FF-FF],SourceAddress:[20-CF-30-BB-E5-0C]
      - DestinationAddress: *BROADCAST [FF-FF-FF-FF-FF-FF]
         Rsv: (111111..)
         UL:  (......1.) Locally Administered Address
         IG:  (.......1) Group address (multicast)
      - SourceAddress: 20CF30 BBE50C [20-CF-30-BB-E5-0C]
         Rsv: (001000..)
         UL:  (......0.) Universally Administered Address
         IG:  (.......0) Individual address (unicast)
        EthernetType: ARP, 2054(0x806)
    - Arp: Request, 10.10.9.0 asks for 10.10.8.1
        HardwareType: Ethernet
        ProtocolType: Internet IP (IPv4)
        HardwareAddressLen: 6 (0x6)
        ProtocolAddressLen: 4 (0x4)
        OpCode: Request, 1(0x1)
        SendersMacAddress: 20-CF-30-BB-E5-0C
        SendersIp4Address: 10.10.10.0
        TargetMacAddress: 00-00-00-00-00-00
        TargetIp4Address: 10.10.10.1

    Такое чувство, что Win7 отправляет пачками ARP запросы

    Какой-то у вас пакет странный.  

    Request, 10.10.9.0 asks for 10.10.8.1 

    SendersMacAddress: 20-CF-30-BB-E5-0C
    SendersIp4Address: 10.10.10.0
    TargetMacAddress: 00-00-00-00-00-00
    TargetIp4Address: 10.10.10.1  

    Почему адреса различаются?

    Какие адреса он пытается разрешить? нужные? сколько пакетов в секунду при этом отправляется?


    MCITP: Server Administrator
    5 августа 2011 г. 6:42
  • Какой-то у вас пакет странный.  

    Request, 10.10.9.0 asks for 10.10.8.1 

    А что не нравится, ну замени asks на who is
    5 августа 2011 г. 15:32
  • Какой-то у вас пакет странный.  

    Request, 10.10.9.0 asks for 10.10.8.1

    А что не нравится, ну замени asks на who is
    Странным я его считаю потому что в теле пакета есть поля SendersIp4Address: 10.10.10.0 и TargetIp4Address: 10.10.10.1 и они не теже самые, что в заголовке блока   Request, 10.10.9.0 asks for 10.10.8.1. Или я чего-то не понимаю.  
    MCITP: Server Administrator
    5 августа 2011 г. 17:44
  • Теперь я понял, я думал, что речь про запрос

    --
    Anatoly Podgoretsky
     
     
    "Кудрявцев Кирилл" сообщил/сообщила в новостях следующее: news:59f69666-899b-46a1-b604-e32b6c739a69...
    Какой-то у вас пакет странный.  

    Request, 10.10.9.0 asks for 10.10.8.1

    А что не нравится, ну замени asks на who is
    Странным я его считаю потому что в теле пакета есть поля SendersIp4Address: 10.10.10.0 и TargetIp4Address: 10.10.10.1 и они не теже самые, что в заголовке блока   Request, 10.10.9.0 asks for 10.10.8.1. Или я чего-то не понимаю.  
    MCITP: Server Administrator
    5 августа 2011 г. 18:02
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    18 августа 2011 г. 13:36