Underground InformatioN Center [&zametki] 
[network & security news] [RSS & Twitter] [articles, programing info] [books] [links, soft & more...] [soft archive][home]

Обсуждение MAC-адресов, как их менять


Кстати о птичках!
Спуфер под МД есть, а вот есть ли прога, позволяющая подменить Мак-адрес?

Отправитель: Zef, February 20, 2001, 07:55:47:
==================================================================

Берешь и пишешь свой драйвер для сетевухи. А если проще, то (+)
Отправитель: KMiNT21 kmint21@mail.ru, February 21, 2001, 10:36:57:

В ответ на: Кстати о птичках! Спуфер под МД есть, а вот есть ли прога, позволяющая подменить Мак-адрес? (отправитель: Zef, February 20, 2001, 07:55:47):

Кто возвращает MAC в операционке, когра формируется Ethernet заголовок пакета ? Драйвер сетевухи. Вот напиши свой драйвер (для своей сетевухи), в котором будешь возвращать какой шочешь MAC.

А если проще, то ищи файлы vpacket (для 95/98) или packet32 (для NT). Это lib-а b пример из DDK - как работать напрямую с драйвером сетевухи (на уровне TDI). Можно вручную формировать пакеты, задерживать исходящие, снифферить сеть и т.д.
==================================================================

Кстати драйвер писать необязательно, можно поправить существующий в функции MiniportRequest
Отправитель: SerpentFly, February 21, 2001, 10:40:31:

В ответ на: Берешь и пишешь свой драйвер для сетевухи. А если проще, то (+) (отправитель: KMiNT21, February 21, 2001, 10:36:57):
==================================================================

Да? И какой разработчик выкладывает исходники своих драйверов? :-)
Отправитель: KMiNT21, February 21, 2001, 12:51:39:

В ответ на: Кстати драйвер писать необязательно, можно поправить существующий в функции MiniportRequest (отправитель: SerpentFly, February 21, 2001, 10:40:31):

Попробуй найди... :-) Бесплатно. Тут уж проще самому (может и не проще, но вариантов нет).
==================================================================

Да? И какой разработчик выкладывает исходники своих драйверов ? :-)
Отправитель: SerpentFly, February 21, 2001, 13:55:51:

В ответ на: Да ? И какой разработчик выкладывает исходники своих драйверов ? :-) (отправитель: KMiNT21, February 21, 2001, 12:51:39):

Ну для пары распространенных карт есть примеры в DDK, но я не это имел ввиду когда говорил поправить, здесь читай пропатчить, поскольку сам такое ради смеха один раз сделал, то могу с уверенностью сказать что труда это не представляет. Ну конечно если есть знакомство с определенными инструментами ;))))
==================================================================

Ух ты.
Отправитель: KMiNT21, February 21, 2001, 17:28:47:

В ответ на: Да ? И какой разработчик выкладывает исходники своих драйверов ? :-) (отправитель: SerpentFly, February 21, 2001, 13:55:51):

:-) Не привык я патчить вставляя куски кода. :-) Или там все проще ? Я думал как-то, но и не взглянул. Илитам можно занопить вызов той функции? И что выходит ? Нужно же подменить MAC на другой. А там просто функция. Раскажи как ты делал.
==================================================================

Ух ты.
Отправитель: :-), February 21, 2001, 20:24:52:

В ответ на: Ух ты. (отправитель: KMiNT21, February 21, 2001, 17:28:47):

Главное - это место найти. А там написать примерно следующее:

mov dword ptr [esi] , 12345678
mov word ptr [esi+4] , 9ABC

Я так патчил vdhcp.386, чтобы DHCP-запрос поправить :)
==================================================================

Ух ты.
Отправитель: SerpentFly, February 21, 2001, 20:48:05:

В ответ на: Ух ты. (отправитель: :-), February 21, 2001, 20:24:52):

Ну в принципе да, ищешь switch на OID_802_3_CURRENT_ADDRESS ну и на всякий случай OID_802_3_PERMANENT_ADDRESS и цинично забиваешь в подставленный буффер то что тебе нужно в качестве мака ==================================================================

Довольно интересно. А если (+)
Отправитель: KMiNT21, February 22, 2001, 10:33:37:

В ответ на: Ух ты. (отправитель: SerpentFly, February 21, 2001, 20:48:05):

А не было идей менять его динамически? :-) Написать патчер, которой будет динамически менять на любой MAC. Написать свой VxD-шник, сделать интерфейс и ...
Кстати, давно уже, как я только разбирался с сетью, планировал на будующее написать прогу, которая будет делать такие вещи. Меня давно доставала мысль, как сделать так, чтобы в сетевом инспекторе на машине, на какую я залез по сетке, не было имени моей машины...
Но это было давно и я от той мысли отошел...

Ну так как ?
==================================================================

Довольно интересно. А если (+)
Отправитель: SerpentFly, February 22, 2001, 12:06:01:

В ответ на: Довольно интересно. А если (+) (отправитель: KMiNT21, February 22, 2001, 10:33:37):

Я когда то тоже думал что не все программы еще написаны ;))). В общем нет проблем ни на NT ни на 9x. На 9х перехватываешь соответствующие VxD сервисы и можешь не только менять ответы на OID_* но перехватив NdisSend и Receive хэндлеры протоколов вообще делать с пакетами все что угодно. На NT похожий результат можно получить например пропатчив в нужный момент таблицу экспортов ndis.sys. Один из примеров как это делать есть на www.pcausa.com, называется PIM для 9x/ME, Кстати Томас в последнее время напрягся и пофиксил пару старых багов и даже порт под ME доделал. А вообще хватит нам борду засорять, напиши на vadim_fss@mail.ru если есть еще какие вопросы. ==================================================================

А я делал не так (+)
Отправитель: KMiNT21, February 22, 2001, 14:54:57:

В ответ на: Довольно интересно. А если (+) (отправитель: SerpentFly, February 22, 2001, 12:06:01):

Я просто разобрался потом с примером из DDK как работать напрямую с драйвером сетевухи. Вот тогда можешь делать с пакетами что угодно не сильно напрягаясь. Снифферить, формировать вруяную пакты, задерживать и изменять перед отправкой. Но я функцию перехвата исходящих из машины пакетов и изменения под 95/98 не проверил. Есть ли там оно ? Руки не дошли. Вот под NT действительно очень много возможностей.

Для тех кто не знает, можете поискать в сети файлы с примерами vpacket (95/98) и packet32 (NT). И да будем вам счастье. ;)

P.S. Разве мы засоряем борду? Что же тогда тут на борде делать тогда? :-)


надо ли ARP-запросы для притворяния другим IP?
Отправитель: Cheshirr, March 01, 2001, 13:46:31:

В общем, пиплы, есть такая проблема (думаю, стандартная) - притвориться левым IP-шником (для начала, внутри локальной сетки без маршрутизаторов) чтоб не вычислили личный MAC и где находится хост.

Для простоты - система Linux, root.
Насколько я знаю, теоретически дело обстоит так - для полноценного обмена необходимо перенастроить карточку так, чтобы она ловила все пакеты, затем дривером отлавливать тока те пакеты, которые относятся к моему "левому" MAC'у (есть способ проще - перепрошить карточку).
Затем поправить сетевой дривер(в этом я не уверен) с тем, чтобы отправлять пакеты с указанным МАС.
Затем присвоить себе нужный IP и порубить все левые исходящие ответы системы (можно фаерволом). Теперь вопросы - а так ли оно практически? А может это уже есть? А хабы кешируют МАС'и? А может, возможно все это сделать снаружи, через внешнюю сетку? и т.д.
Плз, просветите ламера, я вообще-то умный, но балбес - мало знаю потому что...
==================================================================

надо ли ARP-запросы для притворяния другим IP?
Отправитель: :-), March 01, 2001, 14:27:40:

В ответ на: надо ли ARP-запросы для притворяния другим IP? (отправитель: Cheshirr, March 01, 2001, 13:46:31):

: Для простоты - система Linux, root.
Ну е-мое... достаточно всего лишь
ifconfig eth0 hw ether 00:20:AF:11:11:11:11
А перед этим man ifconfig не помешает

: Теперь вопросы - а так ли оно практически? А может это уже есть? А хабы кешируют МАС'и?
Это смотря какие хабы... Есть такие, что больше на свичи смахивают

: А может, возможно все это сделать снаружи, через внешнюю сетку? и т.д.
Нет !!!!
==================================================================

Ясно, а под НТ и МД9х? (-)
Отправитель: :-), March 01, 2001, 14:43:30:

В ответ на: Ясно, а под НТ и МД9х? (-) (отправитель: ZaDNiCa, March 01, 2001, 14:34:57):

Некоторые драйверы позволяют задавать MAC в Control Panel в свойствах карты.
Если нет - то smotri vishe
==================================================================

Связь порвало... дубль 2(+)
Отправитель: ZaDNiCa, March 01, 2001, 14:30:26:

В ответ на: Надо решить этот вопрос.. Он уже не раз подымался.. но ответа толкого так и не было.. Присоедииняйтесь (+) (отправитель: ZaDNiCa, March 01, 2001, 14:17:12):

В общем, пиплы, есть такая проблема (думаю, стандартная) - притвориться левым IP-шником (для начала, внутри локальной сетки без маршрутизаторов) чтоб не вычислили личный MAC и где находится хост. Для простоты - система Linux, root. Насколько я знаю, теоретически дело обстоит так - для полноценного обмена необходимо перенастроить карточку так, чтобы она ловила все пакеты, затем дривером отлавливать тока те пакеты, которые относятся к моему "левому" MAC'у (есть способ проще - перепрошить карточку).
> некоторые карточки позволяют менять МАС
> (Realtek 8139) он устанавливается при установке сети

Затем поправить сетевой дривер (в этом я не уверен) с тем, чтобы отправлять пакеты с указанным МАС.
> не дривер надо править а писать сниффак, чтоб
> ловил исходящие пакеты и в них правил МАС адрес
> и ИП (тоды его менять не придется)

Затем присвоить себе нужный IP и порубить все левые исходящие ответы системы (можно фаерволом).
> Можно и так, а можно возложить это все своим же сниффером

Теперь вопросы - а так ли оно практически? А может это уже есть?
> Мож и есть у кого - но молчат... вопрос не раз подымался

А хабы кешируют МАС'и?
> ;-)) Нет... хаб вообще вешь глупая.. усиливает сигнал и дальше - к свичу...
> Свич - поумней, хотя тоже свич свичу рознь... На продвинутых наверное есть фильтр МАСов

А может, возможно все это сделать снаружи, через внешнюю сетку? и т.д.
> Вот этого вопроса не понял...

Плз, просветите ламера, я вообще-то умный, но балбес - мало знаю потому что...
> ;-))
> А что именно ты хошь? Оставлять в логах своего
> гейта левый ИП? Или у вас стоит фильтрация МАС
> адреса на выход "на улицу"? Уточнил бы, мож не
> придется так страдать...
>З.Ы. Стучи на асю мож что придумаем... Мне эта тема тож интересна
==================================================================

Все просто (+)
Отправитель: ZaDNiCa, March 11, 2001, 12:19:24:

В ответ на: Помогите поломать сервис защиты под NT (отправитель: Andrew, March 11, 2001, 11:14:59):

Как вариант - есть карты (Realtek 8139 и WInBond 940F и т.д.) позволяющие при инсталяции сети выбирать ЛАН ИД... дальше все ясно?
Мона как вариант патчить драйвера сети...
==================================================================

Можноли под 98 как-нибудь сменить хотябы на время MAC адрес сетевухи?
Отправитель: Mickle, March 14, 2001, 01:40:35:
==================================================================

Можноли под 98 как-нибудь сменить хотябы на время MAC адрес сетевухи?
Отправитель: progod, March 14, 2001, 05:32:11:

В ответ на: Можноли под 98 какнимудь сменить хотябы на время MAC адрес сетевухи? (отправитель: Mickle, March 14, 2001, 01:40:35):

Вроде как нельзя, но есть одно НО:
На www.files.ru как то нашел прогу каторая меняет мас-адрес но у мнея что то не получилось прога называется что то вроде, как бы 3c5x9setup.c только под Линукс
Еще можно посмотреть вот здесь: ftp://ftp.impuls.ru/pub/3CX5/
==================================================================

В ЛИНУХе для смены МАК-адреса на хрен не нужны никакие проги!
Достаточно дать ifconfig hw ether MAC_address при опущенной сетевухе!(-)

Отправитель: SOLDIER, March 14, 2001, 16:53:04:

В ответ на: Можноли под 98 какнимудь сменить хотябы на время MAC адрес сетевухи? (отправитель: progod, March 14, 2001, 05:32:11)
==================================================================

ложный ip
Отправитель: e1, April 05, 2001, 10:05:13:

У меня есть сеть в ней стоит сервер который переодически опрашивает сеть на присутствие машин, мне нужно оключить тачки,но так чтобы эта прога не западозрила и не засекла их отключение как это зделать.
==================================================================

Обломчик-с могет выйти. Скорее прога работает на уровне ARP. IP=MAC_address. (+)
Отправитель: SOLDIER, April 05, 2001, 12:04:00:

В ответ на: Все зависит от того как работает прога (+) (отправитель: ZaDNiCa, April 05, 2001, 11:08:08):

Но АРП держит в кеши соответствие MAC-адресов ИП некоторое количество времени (в ЛИНУХ обычно около 40 секунд). То есть посылая с периодичностью скажем в 35 сек. ARP-ответ (ложный) можно себя выдавать за другую машину). В своё время (год эдак 96) выходила прога Юрия Волобуева в БагТрахах под названием send_arp.c и в дополнение к ней icmp_redir.c. Смысл сего безобразия-перенаправлять за счёт подмены МАК-адреса пакеты не через истинный роутер, а через левый. Довольно занятные штучки можно было творить с этой программой. ;)) НО! Как ты и говорил-необходимо находиться с жертвой в одном сегменте сети (роутеры не пропускают ARP-запросы, а в поле пакета MAC-адрес проставляют свой).
==================================================================

Тут неделю назад поднимался вопрос про ложный ip в локалке (+)
Отправитель: NiFi..., April 10, 2001, 11:10:02:

Итак... Тут неделю назад поднимался вопрос про ложный ip в локалке, и про то, как сделать так, чтоб можно было отключить несколько тачек, при этом имитируя их присутствие в сети... Цитирую:
Тема: ложный ip
Отправитель: e1(kirish@chat.ru), April 05, 2001, 10:05:13:
у меня есть сеть в ней стоит сервер который переодически опрашивает сеть на присутствие машин, мне нужно оключить тачки,но так чтобы эта прога не западозрила и не засекла их отключение как это зделать
==========

Было много советов, и реплик вообще(от: ZaDNiCa, SOLDIER, и т.д.) Хотя полных решений не было, SOLDIER правильно сказал, когда говорил что присутствие тачки в локалке возможно имитировать с помощью Мак Адреса.
Всего навсего, чтобы ввести сервер в заблуждение, нужно посылать ложные АРП запросы....
В данном случае менять мак адрес сетевой карты не обязательно. Почему я собственно поднял эту тему?...
да потому что тогда не было времени как следует ответить.... В любом случае, если кому интересно, я могу выслать:
1) немного доков(вырезки из форума) по АРП и Мак адресам(их подмене)
2) саму программу, которая посылает ложные АРП запросы, что является полным решением заданного ранее вопроса.

Более того, отсылкой ложных АРП запросов можно не только имитировать присутствие компов, но и если эти компы присутствуют - отрезать их от сети(ведь мы посылаем ложные пакеты, и сервер обновляет АРП таблицу с данными о новой машине, думая что она старая, а про старую все забывают)

Еще более того, подмена арп пакетов - это еще один из способов:
1) спуфинга в локальной сети - но про это не буду, это отдельная тема
2) сниффинга в локальной сети(получается своеобразный relaying)
3) кое-каких других очень жестоких и вредоносных вещей(e.g. arp poisoning attack)
Проги, осуществляющие это, можете не просить - не дам...

Надеюсь что не повторил того, что сказал Soldier/вместо исходников предлагаю откомпиленное win32 приложение. Взять здесь.
==================================================================

Extracts из HZ форума
Мы не отвечаем за правдивость каких-либо диалогов в этом документе. Претензии по охране авторских прав НЕ предъявлять, так как сообщения, оставленные в форуме никак не могут являться чьей-либо собственностью.


[network & security news] [RSS & Twitter] [articles, programing info] [books] [links, soft & more...] [soft archive][home]
 Underground InformatioN Center [&zametki] 
2000-2015 © uinC Team