Стоит бесплатная версия файерволла Online Armor. За вчера и сегодня файер зафиксировал две попытки ARP spoofing-а по локальной сети. ARP Protection в файерволле, слава Богу, я как раз незадолго до этого включил :) , но насчет надежности этой функции ничего не знаю, лазию щас по форуму TallEmu, но там только на английском... Поглядел в поисковике насчет ARP spoofing-а, нашел упоминание о программе arpwatch, точнее, ее аналоге под Windows - ARP Monitor (http://blog.kmint21.com/statdir/stat.php?id=download_arp_monitor), буду пробовать.. Так, еще одну нашел: MD ARP Monitor (http://mdprograms.narod.ru/).. Но программы программами, а опыта-то нет, поэтому буду рад любым советам по обеспечению безопасности ARP. Да, и еще: может ли кто-нибудь привести краткую справку по командам arp.exe, может, ее одной и хватит для защиты? Гугль пока ничего толкового не выдал.

может ли кто-нибудь привести краткую справку по командам arp.exe
ARP /?

ARP-spoofing (http://ru.wikipedia.org/wiki/ARP-spoofing)

Спасибо, но это я читал :) . Я некорректно выразился: я имел ввиду, можно ли с помощью какой-то из этих команд что-то сделать для повышения моей безопасности?
-----
Так, только что почитал, насколько понял, Online Armor надежной защиты не предоставляет. Включил логгинг, оказалось, что файер пропускал пакеты ("Packet dropped"), ибо "Rule not found". Я запретил всякую активность по тем портам, через которые ко мне ломились.. ага, появилась заблокированная попытка :) , звякнул в офис нашей локалки, терь сижу жду.. Каждый раз звонить не кажется самой лучшей перспективой, однако..

Сказали, что это был вирус...

Хы, а оно продолжается.. Полазил я еще по поисковикам, наткнулся на интересную статью. (http://system-administrators.info/?p=875)
"Если не отключать использование ARP на сетевых интерфейсах, MAC-адрес, заданный статически, имеет приоритет. Если MAC-адрес для какого-то IP-адреса не задан, используется ARP-запрос." В связи с этим возникает вопрос: имеет ли смысл сделать свой MAC статическим? Я только что сделал это через arp.exe -s. Если я правильно понял то, что написано в статье, никто теперь не сможет подменить мой MAC? Разъясните, пожалуйста, те, кто в этом шарит :) .
-----
Блин. Закрываю порты, через некоторое время пакеты UDP начинают проходить в комп по другим портам. Это можно считать явным признаком целенаправленной атаки или я ошибаюсь?
-----
Начали приходить подозрительные (для файера) пакеты уже через TCP...
-----
Странно. Из ARP-таблицы пропал мой статический MAC... Написал по новой.

Минут 20-30 назад из-за сыпавшихся ко мне по TCP и UDP пакетов, помечаемых файерволлом как подозрительные, я запретил прием данных по обоим протоколам с любого порта (0-65535). Пакет приходить перестали. Сейчас отключил правило, но вопреки моим ожиданиям передача пакетов не возобновилась. Запущенные приложения, использующие Интернет, за это время не отключал, лазил по Сети по-прежнему. Компы, с которых производился, если верить файеру, spoofing, - в оффлайне. (http://forum.oszone.net/attachment.php?attachmentid=29225&stc=1&d=1247863225) Все это укрепило меня в мысли, что проводилась целенаправленная атака. Но по причине того, что в этих делах я, максимум, любитель, сомнения насчет собственной правоты имеются. Вот (http://forum.oszone.net/attachment.php?attachmentid=29226&stc=1&d=1247863801) последний лог Online Armor, буду очень признателен, если кто-нибудь его хоть немного проанализирует и подтвердит либо опровергнет мои опасения :) . В частности, интересно, почему файер блокирует пакеты, принимаемые System и svhost..
-----
Так, а пока я это все писал, пакеты снова полетели ко мне, опять включил правило. И один из подозрительных компов - онлайн. (http://forum.oszone.net/attachment.php?attachmentid=29227&stc=1&d=1247864061) Не засну, блин, теперь :) , гг, будут мучить мысли, кто ж меня невзлюбил :lol: ....
Буду признателен за любые пояснения, исправления, советы :) .

Paul-SFL,
не ваша ли проблема?:
http://forum.kaspersky.com/lofiversion/index.php/t40298.html

Reset5, щас погляжу, спасибо за ссылку.
-----
Проглядел без особого вчитывания, вроде схоже с моей ситуацией.. Надо будет потом конкретно засесть и почитать.
Кстати, нашел пару интересных статей об ARP-spoofing - как проведении, так и защите:
одна (http://system-administrators.info/?p=1521) и вторая. (http://system-administrators.info/?p=875)

Поставь ARP-Defender. Мне он помогал даже в сетке, в которой защита по МАС-адресам шла (все неиспользуемые IP забивались несуществующими МАСами, на левом компе постоянно висит конфликт IP-адреса)

Если я правильно понял то, что написано в статье, никто теперь не сможет подменить мой MAC? Разъясните, пожалуйста, те, кто в этом шарит »
Вообще, в общих чертах, ARP-подмена делается с целью перехвата траффика. Твой комп посылает пакеты в интернет через шлюз, злоумышленник проводит подмену мак-адреса шлюза, и весь твой траф идет через его комп, а там с ним можно делать всё, что угодно.
А вообще, если кто то так открыто занимается арп-спуффингом - это скорее всего пионер, дорвавшийся до снифера типа ICQ-sniff

K@kTuS, пасибо, щас скачаю.. Нашел еще, кстати, программку AntiSpoof, - жестко привязывает IP к MAC и блокирует все изменения, при этом выдавая запрос на действие: разрешить или запретить изменение, - тож попробую.. Да, еще почитал щас, пишут, что это может быть вирус - "win32.spoofing", так называется, если я не ошибся (а то закрыл ту страницу уже :) ).

Хм.. ARP-Defender выдает какой-то бред:
Компьютер дублирует MAC шлюза: [и написан IP шлюза - не шлюза, не знаю, но IP-адрес принадлежит нашему серверу.]
Компьютеры с одинаковыми MAC (написан мой MAC): [мой IP] и [мой IP]..
То же самое дальше, но чужие MACи и по два раза ([xxx.xx.xxx.xx] и [xxx.xx.xxx.xx]) чужие же IP... Ничего не понимаю :) . Может, может кто объяснить, что это такое :) ?