On Tue, 31 May 2005 18:42:25 GMT, gamer <mid@gam.it> said:
>gamer wrote:
>>che strumenti ci sono per difendersi da questo tipo di attacchi in
>>lan? intendo se ci sono demoni o script in grado di individuare gli
>>attacchi in tempo reale senza dover bloccare necessariamente un ip o
>>mac..grazie

>naturalmente strumenti per individuare e impedire che lo spoof abbia
>effetto sulla propria macchina

In pratica ti devi accertare che le tue richieste al DNS ottengano
risposta dal DNS. Ci sono alcuni modi, ma se un programma e` troppo
capace di fare spoof hai poco da difenderti con un programma
(il segnale elettrico puo` essere indistinguibile tra
la risposta del vero DNS e la risposta dell'agente patogeno),

per questo solitamente si usa almeno una VLAN su uno switch IEEE 802.1Q,
ma meglio sarebbe anche tracciare le risposte a richieste DNS non effettuate,
perche` un host che fa queste cose va apertamente disintegrato.

ossia potresti (es. con OpenBSD) fare qualcosa tipo:
# ifconfig pflog0 up
# tcpdump -lnei pflog0 -q port 53 and action block | logger -p sec.notice

avendo un file di regole (pf.conf) contentenente:
ext_if=...
block in log on $ext_if inet udp port 53
pass out quick on $ext_if inet udp port 53 keep state


Inoltre le connessioni via HTTPS e SSH con chiave _nota_ per via certa,
evidenziano questi casi piu` semplici di spoof. Mai ignorarli.

Saluti,
MARco
--
http://xref.mm.homeunix.org:8380/~u1...unix/dnspof,it
x(t),y(t) = th(3t-34.5)*e^[-(3t-34.5)^2]/2-4.3+e^(-1.8/t^2)/(.8*atg(t-
3)+2)(t-1.8)-.3th(5t-42.5),(1.4e^[-(3t-34.5)^2]+1-sgn[|t-8.5|-.5]*1.5*
|sin(pi*t)|^[2e^(-(t-11.5)^2)+.5+e^(-(.6t-3.3)^2)])/(.5+t)+1 ; 0<t<14