PDA

Bekijk Volledige Versie : Proxy ARP ?



Lode Stienaers
09/09/03, 00:30
In het weekend van 6-7/09/03 werd mijn account (UPC Belgium / Chello) zonder
enige vorm van verwittiging afgesloten. Navraag op 08/09/03 leerde dat mijn
account op "Abuse" stond met als reden "proxy ARP".
De man aan de helpdesk wist ook niet wat dit wou zeggen, en hij kon de
"beheerder" (die de account had afgesloten en deze boodschap had ingetikt)
niet bereiken.

Iemand die weet wat "proxy ARP" als reden van een abuse kan betekenen ?

Lode Stienaers.

Ghingis Khan
09/09/03, 00:30
"Lode Stienaers" <lode@stienaers.f2s.com> schreef in bericht
news:3f5cf15d$0$1119$6c56d894@feed0.news.be.easyne t.net...
> In het weekend van 6-7/09/03 werd mijn account (UPC Belgium / Chello) zonder
> enige vorm van verwittiging afgesloten. Navraag op 08/09/03 leerde dat mijn
> account op "Abuse" stond met als reden "proxy ARP".
> De man aan de helpdesk wist ook niet wat dit wou zeggen, en hij kon de
> "beheerder" (die de account had afgesloten en deze boodschap had ingetikt)
> niet bereiken.
>
> Iemand die weet wat "proxy ARP" als reden van een abuse kan betekenen ?
>
> Lode Stienaers.
>
>
http://tldp.org/HOWTO/Proxy-ARP-Subnet/index.html

--
Ghingis Khan
Welcome to the North America-Mongolia Business Council
Visit http://www.nambc.org/

homer
09/09/03, 00:30
Lode Stienaers wrote:
> In het weekend van 6-7/09/03 werd mijn account (UPC Belgium / Chello)
> zonder enige vorm van verwittiging afgesloten. Navraag op 08/09/03
> leerde dat mijn account op "Abuse" stond met als reden "proxy ARP".
> De man aan de helpdesk wist ook niet wat dit wou zeggen, en hij kon de
> "beheerder" (die de account had afgesloten en deze boodschap had
> ingetikt) niet bereiken.
>
> Iemand die weet wat "proxy ARP" als reden van een abuse kan betekenen
> ?
>
> Lode Stienaers.


http://wombat.doc.ic.ac.uk/foldoc/foldoc.cgi?proxy+ARP

homer
09/09/03, 00:30
Ghingis Khan wrote:
> "Lode Stienaers" <lode@stienaers.f2s.com> schreef in bericht
> news:3f5cf15d$0$1119$6c56d894@feed0.news.be.easyne t.net...
>> In het weekend van 6-7/09/03 werd mijn account (UPC Belgium /
>> Chello) zonder enige vorm van verwittiging afgesloten. Navraag op
>> 08/09/03 leerde dat mijn account op "Abuse" stond met als reden
>> "proxy ARP".
>> De man aan de helpdesk wist ook niet wat dit wou zeggen, en hij kon
>> de "beheerder" (die de account had afgesloten en deze boodschap had
>> ingetikt) niet bereiken.
>>
>> Iemand die weet wat "proxy ARP" als reden van een abuse kan
>> betekenen ?
>>
>> Lode Stienaers.
>>
>>
> http://tldp.org/HOWTO/Proxy-ARP-Subnet/index.html

je vergat erbij te zeggen RTFM
;)

Lode Stienaers
09/09/03, 01:00
> > In het weekend van 6-7/09/03 werd mijn account (UPC Belgium / Chello)
> > zonder enige vorm van verwittiging afgesloten. Navraag op 08/09/03
> > leerde dat mijn account op "Abuse" stond met als reden "proxy ARP".
> > De man aan de helpdesk wist ook niet wat dit wou zeggen, en hij kon de
> > "beheerder" (die de account had afgesloten en deze boodschap had
> > ingetikt) niet bereiken.
> >
> > Iemand die weet wat "proxy ARP" als reden van een abuse kan betekenen
> > ?
> >
> > Lode Stienaers.
>
>
> http://wombat.doc.ic.ac.uk/foldoc/foldoc.cgi?proxy+ARP
>
>
Begrijp ik daar goed uit dat iedereen die een NAT router gebruikt zich
hieraan "bezondigt" ?
Ik veronderstel dat mijn provider denkt dat ik op die manier meerdere PC's
internet-access geef ?

Lode Stienaers
09/09/03, 01:00
"homer" <homer@kweetnie.invilid> wrote in message
news:5v67b.9365$Bf6.319622@phobos.telenet-ops.be...
> Ghingis Khan wrote:
> > "Lode Stienaers" <lode@stienaers.f2s.com> schreef in bericht
> > news:3f5cf15d$0$1119$6c56d894@feed0.news.be.easyne t.net...
> >> In het weekend van 6-7/09/03 werd mijn account (UPC Belgium /
> >> Chello) zonder enige vorm van verwittiging afgesloten. Navraag op
> >> 08/09/03 leerde dat mijn account op "Abuse" stond met als reden
> >> "proxy ARP".
> >> De man aan de helpdesk wist ook niet wat dit wou zeggen, en hij kon
> >> de "beheerder" (die de account had afgesloten en deze boodschap had
> >> ingetikt) niet bereiken.
> >>
> >> Iemand die weet wat "proxy ARP" als reden van een abuse kan
> >> betekenen ?
> >>
> >> Lode Stienaers.
> >>
> >>
> > http://tldp.org/HOWTO/Proxy-ARP-Subnet/index.html
>
> je vergat erbij te zeggen RTFM
> ;)
>
>
Dan missen ze die toch ook op de helpdesk van UPC / Chello, want daar wist
men ook niet wat deze "cryptische" (dixit de helpdeskmedewerker) boodschap
wou zeggen.

homer
09/09/03, 01:30
Lode Stienaers wrote:
>>> In het weekend van 6-7/09/03 werd mijn account (UPC Belgium /
>>> Chello) zonder enige vorm van verwittiging afgesloten. Navraag op
>>> 08/09/03 leerde dat mijn account op "Abuse" stond met als reden
>>> "proxy ARP". De man aan de helpdesk wist ook niet wat dit wou
>>> zeggen, en hij kon de "beheerder" (die de account had afgesloten en
>>> deze boodschap had ingetikt) niet bereiken.
>>>
>>> Iemand die weet wat "proxy ARP" als reden van een abuse kan
>>> betekenen ?
>>>
>>> Lode Stienaers.
>>
>>
>> http://wombat.doc.ic.ac.uk/foldoc/foldoc.cgi?proxy+ARP
>>
>>
> Begrijp ik daar goed uit dat iedereen die een NAT router gebruikt zich
> hieraan "bezondigt" ?
> Ik veronderstel dat mijn provider denkt dat ik op die manier meerdere
> PC's internet-access geef ?

zoiets ja...

Jody Appermans
09/09/03, 03:45
Lode Stienaers wrote:

> Begrijp ik daar goed uit dat iedereen die een NAT router gebruikt zich
> hieraan "bezondigt" ?
> Ik veronderstel dat mijn provider denkt dat ik op die manier meerdere PC's
> internet-access geef ?
nope
Ergens is prolly iets mis gegaan en ge hebt ne hoop mensen zonder
internet gezet :)

--
Jody Appermans

GiGa WiZaRD
09/09/03, 09:15
"Jody Appermans" <jody@appermans.be> schreef in bericht
news:8bfv21-3vk.ln1@news.appermans.be
> Lode Stienaers wrote:
>
>> Begrijp ik daar goed uit dat iedereen die een NAT router gebruikt
>> zich hieraan "bezondigt" ?
>> Ik veronderstel dat mijn provider denkt dat ik op die manier
>> meerdere PC's internet-access geef ?
> nope
> Ergens is prolly iets mis gegaan en ge hebt ne hoop mensen zonder
> internet gezet :)

routertje met externe adressen ipv interne?
firewall die je onzichtbaar maakt achter (kabel/adsl) modem.
--
vriendelijke groet,

*Giga Wizard*

/Telenet.be = kl*te, ze kl*ten/, *PUB* ook?

arne
09/09/03, 14:15
On Mon, 08 Sep 2003 23:24:31 +0200, Lode Stienaers wrote:

> In het weekend van 6-7/09/03 werd mijn account (UPC Belgium / Chello)
> zonder enige vorm van verwittiging afgesloten. Navraag op 08/09/03 leerde
> dat mijn account op "Abuse" stond met als reden "proxy ARP". De man aan de
> helpdesk wist ook niet wat dit wou zeggen, en hij kon de "beheerder" (die
> de account had afgesloten en deze boodschap had ingetikt) niet bereiken.
>
> Iemand die weet wat "proxy ARP" als reden van een abuse kan betekenen ?
>
> Lode Stienaers.

ik heb al die links en howto's niet gelezen hier, maar ik vermoed dat je
aan je wan kant van je pc (de pc met het publieke ip-adres) ook
arp-who-has request beantwoord voor mensen die in je buurt wonen. Dus als
jij en je gebuur op internet zitten, en je gebuur vraagt iets op van
internet, zal men van upc uit willen antwoorden naar je gebuur, maar jouw
pc zegt dat hij dat IP-adres ook heeft. Zo komt dus heel je wijk zonder
internet te zitten

groetjes
Arne - XS4ALL

Secret
10/09/03, 16:15
"Lode Stienaers" <lode@stienaers.f2s.com> wrote in message
news:3f5cf15d$0$1119$6c56d894@feed0.news.be.easyne t.net...

> In het weekend van 6-7/09/03 werd mijn account (UPC Belgium / Chello)
zonder
> enige vorm van verwittiging afgesloten. Navraag op 08/09/03 leerde dat
mijn
> account op "Abuse" stond met als reden "proxy ARP".

Spijtig voor jou, maar ik vind dit een goeie zaak... Alle providers zouden
dit moeten doen. Je zou het aantal SPAM en Hacking attempts zien dalen!

Waarschijnlijk had je gewoon een open proxy draaien.
Met alle respect, maar heel wat mensen draaien proxy software, zonder te
beseffen dat ze dat ding ook deftig moeten beveiligen.

Met andere woorden: je proxy zal ook vanaf het internet toegankelijk zijn
geweest, wat zoveel wil zeggen dat SPAMMERS , Hackers en ander Web-related
ongedierte JOUW ip als gateway ging gebruiken. En aangezien de eigenaar van
een Proxy 100% aansprakelijk is voor wat er via die proxy gebeurt...

Ik heb niets tegen mensen die proxy softs gebruiken, ik heb alleen geen
begrip voor mensen die dingen gebruiken waar ze niet mee kunnen omspringen.
Laat dit een les zijn en RTFM vooraleer je in de toekomst dergelijke
experimenten uitvoert ;-)

No hard feelings, just my 2 cents...

Cheers,

D.

Oelewapperke
10/09/03, 22:30
Secret wrote:

>
> "Lode Stienaers" <lode@stienaers.f2s.com> wrote in message
> news:3f5cf15d$0$1119$6c56d894@feed0.news.be.easyne t.net...
>
>> In het weekend van 6-7/09/03 werd mijn account (UPC Belgium / Chello)
> zonder
>> enige vorm van verwittiging afgesloten. Navraag op 08/09/03 leerde dat
> mijn
>> account op "Abuse" stond met als reden "proxy ARP".
>
> Spijtig voor jou, maar ik vind dit een goeie zaak... Alle providers zouden
> dit moeten doen. Je zou het aantal SPAM en Hacking attempts zien dalen!
>
> Waarschijnlijk had je gewoon een open proxy draaien.
> Met alle respect, maar heel wat mensen draaien proxy software, zonder te
> beseffen dat ze dat ding ook deftig moeten beveiligen.
>
> Met andere woorden: je proxy zal ook vanaf het internet toegankelijk zijn
> geweest, wat zoveel wil zeggen dat SPAMMERS , Hackers en ander Web-related
> ongedierte JOUW ip als gateway ging gebruiken. En aangezien de eigenaar
> van een Proxy 100% aansprakelijk is voor wat er via die proxy gebeurt...
>
> Ik heb niets tegen mensen die proxy softs gebruiken, ik heb alleen geen
> begrip voor mensen die dingen gebruiken waar ze niet mee kunnen
> omspringen. Laat dit een les zijn en RTFM vooraleer je in de toekomst
> dergelijke experimenten uitvoert ;-)
>
> No hard feelings, just my 2 cents...

Enkele kleine vraagjes :

1) wat is arp (niet alleen de afkorting op inet te vinden, wat doet het) ?
2) waarvoor staat proxy-arp dan ?
3) wat is het verband tussen "proxy arp" en "gateway"
4) waarom zou een proxy (en welk soort proxy zou dat dan zijn) proxy arp
doen ?
5) Welke conclusie kan er dus getrokken worden over uw bewering ivm spammers
en "ander internet ongedierte" ?
6) hoe kan iemand met zoveel kennis ter zake (de poster) iets tegoei
configureren ?

Kzal een hint geven voor vraag 5 : construeer een zin met "totaal" en
"ongegrond"

Oelewapperke

.no1sname
10/09/03, 23:15
> 1) wat is arp (niet alleen de afkorting op inet te vinden, wat doet het) ?

hier een voorbeeld dat ik op inet gevonden heb. Onderste deel is nog
redelijk grappig.



FROM: Rabid Wombat
DATE: 11/28/1997 13:11:39
SUBJECT: Re: ARP servers






On Wed, 26 Nov 1997, Ed Sawicki wrote:

> I notice that some Unix hosts allow for the publishing
> of one or more hosts in their ARP tables using the "pub"
> parameter in a "arp -s" command. This allows the host
> to respond to ARP requests on behalf of other hosts.
>
> 1. Under what conditions is this useful?
>
> 2. What are the security implications of this?
>
> 3. Do firewalls deal with this issue at all?
>

I`m too lazy to check the switch setting, but I believe you are refering
to proxy ARP.

Proxy ARP has a number of practical uses. When implemented, it is often
found on a system which is acting as the router for a segment. It allows
the router to accept/forward traffic for/to systems on the serviced
segment without having to send an ARP to obtain a MAC/IP address pairing.
It can be used to supply connectivity to systems which do not speak ARP,
or to supply off-segment connectivity for systems which do not comprehend
a default gateway. Since IP is fairly standardized these days, one does
not often run into proxy ARP mcuh any more.

>From a security perspective, I have used static ARP entries at a router to
enforce the use of an assigned IP address / MAC address combination, and
to deny the use of unassigned addresses (Not foolproof, as spoofing could
still take place, but every little bit helps).This is not the same as
using proxy arp, but should illustrate how arp entries and security are
related. A compromised router w/ static entries added to its ARP table
would effectively deny service to a MAC address, or could be used to
re-direct traffic destined to a system to another system on the segment.

As for firewalls, ARP is used at the destination segment, to reconcile
the MAC address / IP address pairing; it doesn`t have bearing off the
local segment, so a firewall should not enter into the question where ARP
is concerned.

My recent ARP abuse annecdote: I recently helped out an ISP who had a
customer who was experiencing strange problems; the customer was
dual-homed to two ISPs, (without BGP, mistake #1) and the "other" ISP
connection had been in place first, with proxy ARP turned on at the
router. The customer was running some NT systems (mistake #2?), and was
trying to set them up on the "new" addresses provided by the second ISP.
For some reason, they were putting these on the same segment as the
original addresses (which was mistake #3).

The interesting part, though, was that the NT system would come up with a
newly assigned IP address. The router w/ proxy arp would pick up the
IP/MAC address combination, and add it to its table. The NT system would
then send an ARP, querying its *OWN* IP address, to check to make sure that
the address was not already in use. The router w/ proxy arp enabled would
respond to the ARP broadcast (proxy), and the NT system would "think"
another
system was using its address! :) After several hours of fooling around,
the customer had managed to "use up" all the new IP addresses, and had
more "used up" addresses than they had systems - they called the second
ISP to complain that they had been given "bad addresses", and wanted some
"good ones."

:0 ARGGGGH!

-r.w.

Bernard Grymonpon
10/09/03, 23:15
Oelewapperke <oelewapperke@wol.be> wrote:
> Secret wrote:

>>
>> "Lode Stienaers" <lode@stienaers.f2s.com> wrote in message
>> news:3f5cf15d$0$1119$6c56d894@feed0.news.be.easyne t.net...
>>
>>> In het weekend van 6-7/09/03 werd mijn account (UPC Belgium / Chello)
>> zonder
>>> enige vorm van verwittiging afgesloten. Navraag op 08/09/03 leerde dat
>> mijn
>>> account op "Abuse" stond met als reden "proxy ARP".
>>
>> Spijtig voor jou, maar ik vind dit een goeie zaak... Alle providers zouden
>> dit moeten doen. Je zou het aantal SPAM en Hacking attempts zien dalen!
>>

> Enkele kleine vraagjes :

> 1) wat is arp (niet alleen de afkorting op inet te vinden, wat doet het) ?

ARP is een protocol dat gebruikt wordt om in een subnet het hardware
adres van een ethernet-device te vinden. Wanneer een pakket naar de
volgende hop gestuurd moet worden, gaat het ARP mechanisme op het
netwerk vragen naar het hardware adres van het device die luistert
naar een bepaald IP-adres. Eens dat gekend is, wordt het te verzenden
pakket in een ethernet frame geplaatst, komt daarop "voor
<gedetecteerd adres>" in grote letters en wordt het op de kabel gezet.

En de afkorting staat voor Address Resolution Protocol.

> 2) waarvoor staat proxy-arp dan ?

Het komt erop neer dat een machine (die tussen twee netwerken staat,
denk "Chello" - Machine - "Thuisnetwerk") luistert en antwoord op
requests voor een hardware adres, die eigenlijk niet voor hem
zijn. Stel, chello stuurt "who-has xxx.yyy.zzz.xxx". Dit is eigenlijk
het IP van een machine op het thuisnetwerk. Die kan natuurlijk niet
antwoorden, want ARP-requests worden normaal niet gerouted. De machine
ertussen zal antwoorden met zijn ARP-request.

> 3) wat is het verband tussen "proxy arp" en "gateway"

Geen. Normaal toch niet. Een gateway is een device op je netwerk, die
toegang biedt tot een/meerdere ander(e) netwerk(en). Een black hole
waar alles waar je geen raad me weet naartoe mag. Als je geluk hebt
komt het antwoord terug. (Geluk heeft er weinig mee te maken).

Een proxy is een device die pakketen/vragen gaat analyseren en
her-uitsturen, al dan aangepast. Het antwoord keert terug via dezelfde
proxy. Een doorgeefluik dus.

Het is wel zo dat deze dicht bijeen liggen. Een proxy wordt meestal
naast een gateway geinstalleerd, als die gateway iets speciaals doet
naast het forwarden van pakketen (firewalling, natting,...).

> 4) waarom zou een proxy (en welk soort proxy zou dat dan zijn) proxy arp
> doen ?

Er zijn daar verschillende redenen voor. Ik denk dit geval misschien
een geval is van "programma afhalen, installeren en configureren met
de gedachte 'ik wil alles'". Kan ook een hardware router/gateway/proxy
zijn die dit standaard aan boord heeft,... Verschillende redenen zijn
mogelijk. Hierover moet de OP zich uitspreken hoe die proxy ARP er
komt.

> 5) Welke conclusie kan er dus getrokken worden over uw bewering ivm spammers
> en "ander internet ongedierte" ?

Slecht geconfigureerde proxy's geven aanleiding tot misbruik door
spammers/crackers/... Proxy ARP's zijn moeilijker te misbruiken voor
deze doeleinden, maar er zal wel een extreem geval bestaan waar er een
op een bepaalde manier misbruik van gemaakt kan worden. Ook heeft
Chello recht om dit als misbruik te gaan zien, aangezien je device
antwoord op vragen die misschien voor een andere in je straat
zijn... Dit is dus geen totaal ongegronde klacht.

> 6) hoe kan iemand met zoveel kennis ter zake (de poster) iets tegoei
> configureren ?

Lees de manual, vink niet alles aan, installeer geen dingen die je
vreemd in de oren klinken. Vertrouw geen afkortingen...

> Kzal een hint geven voor vraag 5 : construeer een zin met "totaal" en
> "ongegrond"

Done.

Vriendelijke groeten,
Bernard Grymonpon

--
Openminds bvba www.openminds.be
Tweebruggenstraat 16 - 9000 Gent - Belgium

wimpie
11/09/03, 01:00
Oelewapperke wrote:

>
> Enkele kleine vraagjes :
>
> 1) wat is arp (niet alleen de afkorting op inet te vinden, wat doet het) ?

Adress resolution protocol. Dit vertaalt een IP adress naar een mac
adres. Dit word dan in de frame header gestoken waardoor de router/ps
weet of het pakket voor hem is of niet.

> 2) waarvoor staat proxy-arp dan ?

das gewoon een proxy voor arp requesten.

> 3) wat is het verband tussen "proxy arp" en "gateway"
gateway bedoel je router ?

Als je het mac adress van de destination niet kent ga je een arp request
versturen de router kijkt in zijn arp tables en indien die het heeft
stuurt die een rarp terug (reversed)

> 4) waarom zou een proxy (en welk soort proxy zou dat dan zijn) proxy arp
> doen ?

als je een groot netwerk achter een router of switch hebt hangen
versnelt dit het versturen van de pakketen.


groetjes