From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: From: "Serge A. Ribalchenko" To: ALT Linux Community In-Reply-To: <44B49495.6090209@mail.ru> References: <44B49495.6090209@mail.ru> Content-Type: text/plain; charset=koi8-u Organization: Sunny-Mobile Date: Wed, 12 Jul 2006 12:05:06 +0300 Message-Id: <1152695106.10843.15.camel@ws.x-play.lan> Mime-Version: 1.0 X-Mailer: Evolution 2.4.2.1 Content-Transfer-Encoding: 8bit Subject: Re: [Comm] Arp flood X-BeenThere: community@lists.altlinux.org X-Mailman-Version: 2.1.7 Precedence: list Reply-To: ALT Linux Community List-Id: ALT Linux Community List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 12 Jul 2006 09:25:26 -0000 Archived-At: List-Archive: List-Post: В Срд, 12/07/2006 в 11:20 +0500, Pavel Stoliarov пишет: > 09:36:31.950369 arp who-has 192.168.0.116 tell 192.168.0.45 > Как бороться с таким флудингом ? Ничего страшного (для Вас) пока не происходит, если вы ничего не знаете об этих адресах. Лечится комплексом из технических (сниффер) и организационных (бейсбольная бита) методов. Запускаем сниффер, например, ethereal; смотрим ethernet-фрейм, поле source. Есть очень высокая вероятность того, что это поле будет соответствовать действительности. Далее берем чудную вещь arpspoof из пакета dsniff и прикидываемся хостом с адресом 192.168.0.45. Должно получиться что-то очень интересное ;) Скорее всего, ваш адсл-модем подрабатывает бриджем и пересылает чью-то чрезмерную широковещательную активность к вам на eth1. Можно и проигнорировать, в общем-то. -- Best wishes, ~ Serge. pubkeys: http://uch.net/~fisher/keys.asc ~fingerprint : 4346 2766 BC96 E77F 5BFF 1E7C 12C2 3852 E5FD DC34