Помогите понять как это сделано - Форум разработчиков электроники ELECTRONIX.ru

реклама на сайте
подробности

Wiki

Photo

Forum

Reviews

Help (!)

Форум разработчиков электроники ELECTRONIX.ru > Интерфейсы > Форумы по интерфейсам > Fast Ethernet/Gigabit Ethernet/FibreChannel

Помогите понять как это сделано, Прибор атакуется посредством IP-спуфинга

Опции

smk Просмотр профиля	Sep 17 2016, 15:32 Сообщение #1
Гуру Группа: Свой Сообщений: 2 246 Регистрация: 17-03-05 Из: Украина, Киев Пользователь №: 3 446	Суть в следующем. На работе завелся вредитель. Мотивы описывать не буду, уверяю низменные. Собственно прибор должен слать результаты измерений в ПЛК, который их обрабатывает. Что делает... со своего компьютера отсылает широковещательное сообщение с айпи ПЛК, но мак-адресом своего компьютера. Прибор спроектирован с применением библиотек от Keil. Вредитель используя IP-спуфинг перенаправляет данные на свой комп и вещает начальству что это прибор так плохо работает и данные не передает. Начальство в технике не особо разбирается. Вредителя я вычислил и опытным путем проверил, что если выдернуть разъем из его компа то ложные пакеты не идут и все работает нормально. Протокол передачи данных UDP. Это собственно и дает возможность пакостить. На компьютере вредителя две сетевые карточки. Одна имеет два айпи 192.168.99.203 и 192.168.1.35. Ее мак-адрес 30 85 A9 ED 5B EE. Другая имеет айпи 192.168.99.101. Ее мак-адрес 48 5B 39 AD 63 C8. Ложная посылка уходит от айпи 192.168.99.101 и мак-адресом 30 85 A9 ED 5B EE (мак первой карточки). Первая карточка подключена к локальной сети проводом в свитч. Вторая подключена к вайфай роутеру напрямую одна. 192.168.99.101 - айпи ПЛК. Если ПЛК отключить от локальной сети то его айпи не пингуется. Ложные посылки при этом идут как и раньше. Интервал посылок чуть больше 42 сек. Собственно стоит задача обличить вредителя и доказать что это не случайность, а сделано намерено. Прошу помочь разобраться каким способом вредитель это делает. Может для этого достаточно настроить карточки и роутер или работает какая-то программа? Как и что искать дальше чтоб уж точно наверняка? Вытрепал нервы мне и ряду других людей. Кучу времени зря убили ища ошибки которых нет. Спасибо. -------------------- Живи днем так, чтобы ночью ты спал спокойно.

Ответов

agregat Просмотр профиля	Sep 19 2016, 06:57 Сообщение #2
Знающий Группа: Свой Сообщений: 790 Регистрация: 6-02-14 Из: Омск Пользователь №: 80 379	Цитата(smk @ Sep 17 2016, 18:32) Суть в следующем... Получить доступ к компьютеру сотрудника, если это сеть предприятия, то админы со своего рабочего места могут зайти с правами админа и отследить любые телодвижения софта на компьютере. В том числе и программу которая отсыает вредоносные пакеты. Да, и почему не изменить ip адрес ПЛК.

Сообщений в этой теме

smk Помогите понять как это сделано Sep 17 2016, 15:32

SWT-RUS Цитата(smk @ Sep 17 2016, 18:32) Суть в с... Sep 17 2016, 16:44

smk Это само собой. Заму уже показал. Но был задан воп... Sep 17 2016, 16:54

dm.pogrebnoy Поставить/одолжить управляемый свитч и отрубать не... Sep 17 2016, 17:11

smk Нужно выяснить каким конкретно способом это делает... Sep 17 2016, 17:37

Boris_TS 1. Пакеты широковещательные - значить запротоколир... Sep 19 2016, 06:35

agregat Цитата(smk @ Sep 17 2016, 18:32) Суть в с... Sep 19 2016, 06:57

RobFPGA Приветствую! Скорее всего у этого товарища п... Sep 19 2016, 07:32

Tanya Можно же поменять адрес устройства - создать новую... Sep 19 2016, 08:29

smk Цитата(Tanya @ Sep 19 2016, 11:29) Можно ... Sep 25 2016, 10:52

smk Цитата(RobFPGA @ Sep 19 2016, 10:32) Прив... Sep 21 2016, 16:23

agregat Ну раз реакции ноль, значит всем плевать, у него р... Sep 25 2016, 12:19

smk Цитата(agregat @ Sep 25 2016, 15:19) Ну р... Sep 25 2016, 12:50

gosha-z Мне вот непонятно, как это Цитата(smk @ Sep 1... Sep 25 2016, 18:56

smk Цитата(gosha-z @ Sep 25 2016, 21:56)... Sep 26 2016, 16:17

AlexandrY Цитата(smk @ Sep 26 2016, 19:17) да вроде... Sep 26 2016, 17:42

smk Цитата(AlexandrY @ Sep 26 2016, 20:42) Не... Sep 28 2016, 16:10

gosha-z Не надо сюда его копипастить. Убрать с компа speci... Sep 26 2016, 16:29

smk Цитата(gosha-z @ Sep 26 2016, 19:29)... Sep 26 2016, 16:58

gosha-z Браться за разработку сетевых устройств, не зная и... Sep 26 2016, 17:06

« Предыдущая тема · Fast Ethernet/Gigabit Ethernet/FibreChannel · Следующая тема »

1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)

Пользователей: 0

Режим отображения: Переключить на: Стандартный · Переключить на: Линейный · Древовидный

Подписка на тему · Сообщить другу · Версия для печати · Подписка на этот форум

Текстовая версия

Сейчас: 23rd July 2025 - 08:28