[port139:00776] Re: スイッチとスニフィング

[DANNA <danna@xxxxxxxxxxx>]

ども。ダンナ＠サポセンです。

> 飲み会とはご無沙汰気味のTAMAです。

そういえば、port139の社員旅行で温泉とかって話があったような。

> 　arpキャッシュの最大有効期間（Win2Kなら10分）を過ぎれば再度arpブロード
> キャストでの更新が行われますから、ユーザーが「障害だぁ！」と騒ぎはじめて
> いくらもしないうちに「あれ？直っちゃったよ。」ということになりそう・・・。

他のネットワークは知らないのでアレなんですけど、ボクの知ってるトコ
では、ルータの arp timeout を結構長めに取ってます。SNMPエージェント
が動き回る都合上半日とかに設定してたりするのです。デフォルト値もそ
こそこ長かったような。

MITMのテストは実環境でヤッてしまったので、結構焦った記憶があります
。たしかルータのキャッシュクリアするまで復旧しなかったんだよなぁ。
幸いなことに誰も気づかなかったけど。

こういうトコでMITMヤラれると結構騒ぐだろうけど、snifferとは気づかな
いか....やっぱり。ダメぢゃん。

ARPキャッシュもTripwireしちゃうとか。ちがう、snortか。

>--------- みっきーのネットワーク研究所 ---------<
>  DANNA @ SAPOSEN                               <
>  MAIL : danna@xxxxxxxxxxx                      <
>  HP   : http://www.hawkeye.ac/micky            <
>  PGP  : http://www.hawkeye.ac/micky/micky.pub  <
>------------------------------------------------<