Network Cüler Arp Zehirlemesine Karsı Ne Yapıyorsunuz ?
-
suanlık swich fln buyuk ağlara girmedim hic :)
öle arkadas cerversi fln icinde göte gelmemek icin düsünüp cıkarabildim bise
-
edit
-
Mx0TBT bunu yazdı:
-----------------------------
suanlık swich fln buyuk ağlara girmedim hic :)
öle arkadas cerversi fln icinde göte gelmemek icin düsünüp cıkarabildim bise
-----------------------------arşivimde olucak bir python kodum var arp tabloları degiştiginde anında uyarı veriyor.
-
bakmak tan hosnut duyarım hocam
-
sandman bunu yazdı:
-----------------------------
Cisconun switch port protection diye bir olayı var genelde bu kullanılır aynı zamanda arp zehirlenmesini tespid eden ve uyarı veren IDS modülleri var
-----------------------------http://www.cisco.com/en/US/docs/switches/lan/catalyst3560/software/release/12.2_20_se/configuration/guide/swdynarp.html
Dynamic ARP inspection depends on the entries in the DHCP snooping binding database to verify IP-to-MAC address bindings in incoming ARP requests and ARP responses. Make sure to enable DHCP snooping to permit ARP packets that have dynamically assigned IP addresses. For configuration information, see "Configuring DHCP Features and IP Source Guard."
You can use the port security feature to restrict input to an interface by limiting and identifying MAC addresses of the stations allowed to access the port. When you assign secure MAC addresses to a secure port, the port does not forward packets with source addresses outside the group of defined addresses. If you limit the number of secure MAC addresses to one and assign a single secure MAC address, the workstation attached to that port is assured the full bandwidth of the port.
If a port is configured as a secure port and the maximum number of secure MAC addresses is reached, when the MAC address of a station attempting to access the port is different from any of the identified secure MAC addresses, a security violation occurs. Also, if a station with a secure MAC address configured or learned on one secure port attempts to access another secure port, a violation is flagged.
Kolay gelsin.
-
Arp ve dhcp saldirilarini engellemek icin gelistirecegin savunma stratejini elindeki cihazlara gore belirlersin aslinda.
Router ile isin yok aslinda, muhtemelen elindeki cihaz multilayer bir cihaz . arp poisoning layer 2 seviyesinde gerceklesir(ip yok ortada sadece mac) yani switch uzerine odaklanacaksin.
elindeki cihaz cisco ise
config modda
#switchport port-security
ile max portlarinda kac mac adresi gelebilecegini falan tanimayabilirsin. Yani ethernet 0 dan bana 12 tane mac gelebilir gibi kisitlama koyarsin veya bu porttan bana gelebilecek mac adresi sunlar sunlardir diye direk mac table i sen doldurabilirsin. Yine cisco cihazlarda arp requestleri kolaylikla takip ederek anormal durumunu durdurabilirsin.
Elindeki cihaz yonetim konusunda kisitli ise tavsiyem arpwatch ile saldirgani tespit etmen.
