MD ARP Monitor 4.1.5
27.06.2013
MD ARP Monitor - программа слежения за локальной ARP-таблицей при работе в локальной сети. При появлении пары IP-MAC сравнивает ее с образцами. Если какой-нибудь хакер подменил IP или MAC, немедленно сообщит об этом. (Об атаках типа ARP spoofing хорошая статья
"Сниффинг сети на коммутаторах")
Образцы могут пополняться автоматически.
Есть функция посылки ARP запроса. Можно легко узнать MAC-адрес любого компьютера или получить список всех работающих компьютеров в сети. При желании можно запрашивать имена компьютеров. Имейте ввиду, что при этом данные могут появляться в ARP таблице и в образцах, если у вас включено "Пополнять образцы". Лишние образцы будут замедлять проверку адресов, поэтому при опросе большого диапазона IP с именами лучше отключить на время флаг "Пополнять образцы", затем очистить ARP таблицу. Без запросов имен ARP таблица не пополняется.
Имя в списке кэша берется из образцов. В списках работает групповое выделение (с использованием Shift или Ctrl). Есть возможность сортировки при щелчке по заголовку нужного столбца. В сообщении о подмене в скобках указан образец.
Программа работает на все адаптеры, добавление записей в ARP-кэш производится по адресу адаптера и маске. Программа создает файлы для хранения данных, поэтому лучше поместить ее в отдельный каталог.
Программа работает на Windows 2000, XP.
В новой версии 4.1.5 сделана возможность выбора типов событий для разных видов оповещений.
3.9.1 - возможность периодического автоматического опроса адресов.
3.8 beta 1 - пытался устранить проблемы появляющиеся при большом размере файла лога. Была жалоба в гостевой.
Сделал запись в лог на функциях WinAPI. Файл постоянно открыт, расшарен для чтения.
Попутно обнаружил косяк в проверке адресов. Похоже, программа пропускала некоторые подмены. :(
'*' теперь может заменять любую часть адреса. Как IP так и MAC. Т.к. правила теперь могут пересекаться, и
работает первый подходящий образец сверху, появились пункты меню "Выше" и "Ниже".
3.7 beta 4 - устранена нестабильность контроля изменения таблицы маршрутов.
3.7 beta 2 - Исправил ошибку часто появлявшуюся при отправке сообщения по почте. Сделал возможность отправки по почте без авторизации, если сервер позволяет. Добавил поле метрики при добавлении маршрута. (Был случай, когда маршрут не работал с метрикой 1)
3.7 beta 1 - В этой версии вместо МАС-адреса в образцах можно ввести '*'. При проверке адресов этот адрес
будет игнорироваться. '*' может быть перед адресом, если адрес нужно сохранить. Добавлена вкладка с таблицей маршрутов. Возможны оповещения при изменении маршрутов.
3.6 beta 2 - Неподходящая по маске запись добавляется на первый интерфейс.
Будем пока считать, что одна запись работает для всех интерфейсов. Мелкие доработки.
3.6 beta 1 - Вернул добавление любого IP в кэш, не по маске. Если по маске
ни к одному интерфейсу не подходит, то добавляется для всех. Возможно, это лишнее и запись будет одна. Проверить пока негде. У кого два и более интерфейсов
напишите на какие интерфейсы добавляется такая запись. Случайный MAC при блокировке новых IP.
3.5 - Исправлена ошибка в сортировке по IP.
3.4 - Финальная версия. Добавлен пункт меню "Копировать список" в образцах.
3.4 beta 2 - Ничего нового. Сделана бесплатным компилятором.
3.4 beta 1 - Посылка сообщений по почте.
3.3 beta 1 - Добавлена возможность блокировки работы с новыми IP. MAC нового IP заменяется в кэше на 00-00-00-00-00-01. Т.е. вы можете добавить в образцы только нужные адреса, всех остальных блокировать. Интересует ваше мнение об этой функции. Насколько надежна такая изоляция ?
3.2 beta 3 - Отключено сообщение "Адрес отсутствует в образцах". Теперь, если
отключено "Пополнять образцы" и включено "Сверять с образцами", новые
адреса не будут контролироваться и сообщения не будет. Логика такая: если
вам не нужны новые образцы, то и контролировать вы их не хотите.
На одном форуме в ответ на то, что нормальный хакер заменит и IP и MAC было кстати замечено,
что пароль-то ему обычно все равно нужен, а без ARP-спуфинга он его не получит, чему
и помешает MD ARP Monitor. Кроме того, при ручном добавлении записей в ARP-кэш они
добавляются как статические, т.е. можно предотвратить их изменение.
Загрузить MD ARP Monitor 4.1.5 (mdarpm415.zip) ~150 Kb
Предыдущая версия 3.9.1 (mdarpm39.zip) ~144 Kb
|