[Berlin-wireless] ARP-spoofing

Marco Tidow martidow
Mo Jan 30 14:39:55 CET 2006 

moin,

gab am weekend 'ne situ, wo im ARP-cache eines der Knoten am und um den
Boxh.-Platz eine Nachbar-Knoten-IP mit der MAC eines dritten Nachbarn
assoziiert war.  Sowas passiert nicht von allein.

Deshalb verwenden seit gestern abend alle nodes dort "permanente" ARP-entries
für die fest instalierten nodes der Nachbarschaft.

Wahrscheinlich hat bloß irgendein windoze-user rausgefunden, wie er die MAC
seiner wlan-Karte setzen kann, ganz toll.  Vielleicht auch nur die Folge
davon, daß es kein DHCP per wlan gibt, das überfordert 90% der Leute und
fünf weite % spielen dann super-schlau.
Schon aus diesem Grund sollte man sich Gedanken um extra info-Kanäle machen.
Z.B. ein offener managed-billig-AP mit Zwangs-Umleitung jeglichen web-Zugriffs
auf eine Info-Seite, oder ein lokales alias-Netz (nicht 104er IP's) auf derselben
Funkkarte wie das 104er, mit DHCP und ebenfalls Zwangs-Umleitung.  Habe sowas
bei uns in Lichtenberg laufen, führt jetzt aber zuweit.


Unten noch 'ne kurze Anleitung der permanent-MAC-Sache zum Nachmachen.

Kontrollieren geht per:

  cat /proc/net/arp      # (permanente haben Flags == 0x6)

oder (ist mir meistens zu blöd zu tippen)

  ip neighbour show nud all

Gruß, marco

-----------------------------------------------------------------------------
Die Zuordnung MAC<->IP findet per Text-file /etc/ethers statt,
(zum cut-n-paste in der ssh-console, hier dann eigene Nachbar-Knoten hinzufügen):

# - - - - - - - - - CUT
[ -L /etc/ethers ] && { rm /etc/ethers; cp -a /rom/etc/ethers /etc/ethers; }
cat >> /etc/ethers <<'EOHERE'
00:0f:66:5b:65:fc 104.136.1.70
00:13:10:2F:EF:B3 104.130.17.17
00:13:10:27:d3:f4 104.130.3.3
00:12:17:CC:C1:0E 104.130.1.10
00:13:10:2F:EF:D4 104.130.1.14
00:01:E3:04:D8:36 104.130.5.5
00:0F:66:97:D0:14 104.129.29.29
00:02:6F:09:51:6D 104.129.43.1
00:09:0A:01:89:C7 104.130.11.67
EOHERE
# - - - - - - - PASTE

Und zweitens, um's beim boot zu setzen oder im laufenden Betrieb zu aktualisieren,
per init-script:

# - - - - - - - - - CUT
cat > /etc/init.d/S41ethers <<'EOHERE'
#!/bin/sh

test -n "$FAILSAFE" && exit
[ -f /etc/ethers ] || exit 0
export PATH='/bin:/sbin:/usr/bin:/usr/sbin'
eval $(/usr/bin/netparam)

cat /etc/ethers | while read -r MAC IP; do
  case "$MAC" in
    #*) continue;;
    '') continue;;
    *)
        /usr/sbin/ip neighbour add    to "$IP" lladdr "$MAC" dev "$WIFIDEV" >/dev/null 2>&1 ||
        /usr/sbin/ip neighbour change to "$IP" lladdr "$MAC" dev "$WIFIDEV" >/dev/null 2>&1
        ;;
  esac
done
EOHERE
chmod a+x /etc/init.d/S41ethers
# - - - - - - - PASTE



_______________________________________________
Berlin mailing list
Berlin at olsrexperiment.de
https://www.olsrexperiment.de/cgi-bin/mailman/listinfo/berlin

Mehr Informationen über die Mailingliste Berlin