
Форумы > Автоклуб > Общение Автоклуба

Задача для крутых сетевиков :)

Список Тем | Поиск | Правила | Статистика |

Задача для крутых сетевиков :)	^#872108	^наверх
Автор: BlackDeath[моцк] Дата: 17 сентября 2005 21:41 Итак, требо хелпу :-) Исходные данные: 2 здания, в каждом здании своя сеть. Допустим 192.168.100.0 и 10.10.10.0. обе с выходом в инет. настроен роутинг из 10-й сетки в 192. тобиш любой юзер может ходить в инет или на компы сетки 192. В сети 10.10.10.0 появиилсь пакеты системы snmp udp идущие от ip 192.168.1.10 на 255.255.255.255. броадкаст кароче. Надо поймать этого спамера. че можно прибумать ? :-)
0/0 \| \| Поделиться:

Re: Задача для крутых сетевиков :)	^#872109	^наверх
Автор: Danilka (О пользователе) Дата: 17 сентября 2005 21:42 Я думал, сетевой маркетинг... :-)
0/0 \| \| Поделиться:

Re: Задача для крутых сетевиков :)	^#872110	^наверх
Автор: -=Guest=- (О пользователе) Дата: 17 сентября 2005 21:45 снифер никто не отменял... узнаешь мак адрес и ежли учет железок ведется - найдешь шалуна...
0/0 \| \| Поделиться:

Re: Задача для крутых сетевиков :)

^#872113

^наверх

Автор: Tolka В Клубе Е1 12 лет. Свой человек в форумах: 118

(О пользователе)
Дата: 17 сентября 2005 21:49

Цитата:
От пользователя: -=Guest=-

узнаешь мак адрес - найдешь шалуна...

| Поделиться:

Re: Задача для крутых сетевиков :)	^#872114	^наверх
Автор: BlackDeath[моцк] Дата: 17 сентября 2005 21:49 снифер да, никто не отменял :-) но, каждый день в разное время от него уходит всего по 2-3 пакета. А мак можно и поменять так то :-)
0/0 \| \| Поделиться:

Re: Задача для крутых сетевиков :)

^#872117

^наверх

Автор: r0n
Дата: 17 сентября 2005 21:50

Цитата:
От пользователя: BlackDeath

А мак можно и поменять

arpwatch во многих случаях спасает

| Поделиться:

Re: Задача для крутых сетевиков :)	^#872125	^наверх
Автор: BlackDeath[моцк] Дата: 17 сентября 2005 21:53 arpwath не работает с этим трафиком. И езе раз - мак посмотреть не проблема. Проблема че делать дальше. Мак еще раз кто не в курсах на железках щас можно прописать любой
0/0 \| \| Поделиться:

Re: Задача для крутых сетевиков :)	^#872131	^наверх
Автор: BlackDeath[моцк] Дата: 17 сентября 2005 21:55 а, да, как искать если огромная контора ? :-) порядка 5 000 компов ? :-) [Сообщение изменено пользователем 17.09.2005 21:56]
0/0 \| \| Поделиться:

Re: Задача для крутых сетевиков :)	^#872132	^наверх
Автор: -=Guest=- (О пользователе) Дата: 17 сентября 2005 21:56 итить... поймай ИП пакет да погляди, дальше думаю объяснять не надо, ежли ТЦП/ИП протокол знаком :-)
0/0 \| \| Поделиться:

Re: Задача для крутых сетевиков :)	^#872139	^наверх
Автор: BlackDeath[моцк] Дата: 17 сентября 2005 21:58 гость видимо самый умный :-) в пакете ниче нет. Есть мак и ип шалуна. Шалун из другой сетки из которой В ПРИНЦИПЕ трафика быть не может.
0/0 \| \| Поделиться:

Re: Задача для крутых сетевиков :)

^#872141

^наверх

Автор: Andymion
Дата: 17 сентября 2005 21:59

Цитата:
От пользователя: BlackDeath

В сети 10.10.10.0 появиилсь пакеты системы snmp udp идущие от ip 192.168.1.10 на 255.255.255.255

Как они сюда попали?

| Поделиться:

Re: Задача для крутых сетевиков :)	^#872147	^наверх
Автор: BlackDeath[моцк] Дата: 17 сентября 2005 22:01 если бы я знал как попали - тут бы не писал :-) 192 сеть не может ходить на 10 сеть. Это условие :-) Если сразу не написал - пардон :-) Дам наводку - есть мнение что казел с ип 192 сидит внутри 10- й сетки :-) но задача в отловле стоит та же :-)
0/0 \| \| Поделиться:

Re: Задача для крутых сетевиков :)

^#872149

^наверх

Автор: r0n
Дата: 17 сентября 2005 22:02

Цитата:
От пользователя: Andymion

Как они сюда попали

видима какая-то железяка недонастроена

| Поделиться:

Re: Задача для крутых сетевиков :)	^#872152	^наверх
Автор: BlackDeath[моцк] Дата: 17 сентября 2005 22:03 все железо настроено :-) на это гнать не надо :-)
0/0 \| \| Поделиться:

Re: Задача для крутых сетевиков :)	^#872166	^наверх
Автор: -=Guest=- (О пользователе) Дата: 17 сентября 2005 22:07 snmp - собсно а-ля служебный протокол ;-) и работает по udp. Так что не факт, что хозя пакетов о них в курсе :-)
0/0 \| \| Поделиться:

Re: Задача для крутых сетевиков :)	^#872171	^наверх
Автор: r0n Дата: 17 сентября 2005 22:08 у Ettercap-а есть интересный плагин Isolate Host from LAN эта блуда все соединения киляет запусти на его адрес - сам прибежит :-)
0/0 \| \| Поделиться:

Re: Задача для крутых сетевиков :)	^#872184	^наверх
Автор: BlackDeath[моцк] Дата: 17 сентября 2005 22:13 эээээ... так то никто никуда не побежит :-) машину ессественно даже пропинговать не удается :-) ибо таки если она внутри сетви с таким адресом то просто все наружу уходит :-) ну и на мысля хозяина машины мне как бы наплевать, надо поймить саму машину.
0/0 \| \| Поделиться:

Re: Задача для крутых сетевиков :)	^#872287	^наверх
Автор: Pilgrim Дата: 17 сентября 2005 22:58 Если MAC адрес известен, то какие проблемы найти источник ?
0/0 \| \| Поделиться:

Re: Задача для крутых сетевиков :)	^#872409	^наверх
Автор: BlackDeath[моцк] Дата: 17 сентября 2005 23:35 ашо раз - как искать ? мак известен :-) и че с ним делать ? единственное - сходить с этими знаниями в сортир
0/0 \| \| Поделиться:

Re: Задача для крутых сетевиков :)

^#872482

^наверх

Автор: r0n
Дата: 17 сентября 2005 23:51

Цитата:
От пользователя: BlackDeath

машину ессественно даже пропинговать не удается :-) ибо таки если она внутри сетви с таким адресом то просто все наружу уходит

arp ping?

| Поделиться:

Re: Задача для крутых сетевиков :)	^#872492	^наверх
Автор: BlackDeath[моцк] Дата: 18 сентября 2005 00:02 r0n задача не пинговать а ловить :-) лабудой занимться так то я отлично умею и сам :-)
0/0 \| \| Поделиться:

Re: Задача для крутых сетевиков :)	^#872769	^наверх
Автор: Aleksey39 (О пользователе) Дата: 18 сентября 2005 12:33 а не может быть на какой-то машине 2 ип настроено? ишшо - мак известен, ип известен... даже у меня на 20 компов есть журнал ип, маков и ху из ху... Если свитчи вумные - можно на них посмотреть - с какого сегмена идет траффик. За что люблю групповые политики - взял и всем на виндузах прикрыл не нужные порты разом... [Сообщение изменено пользователем 18.09.2005 12:40]
0/0 \| \| Поделиться:

Re: Задача для крутых сетевиков :)	^#872784	^наверх
Автор: BlackDeath[моцк] Дата: 18 сентября 2005 13:29 по поводу свичей и прочего - типа табуретку поставил рядом и сутками ждять кады он этот пакет кинет ? по поводу групповых политик - никто не говорил что это ПК и тем более что это ПК конторы.
0/0 \| \| Поделиться:

Re: Задача для крутых сетевиков :)

^#872802

^наверх

Автор: Aleksey39 Свой человек в форумах: 67, 75

(О пользователе)
Дата: 18 сентября 2005 13:52

Цитата:
От пользователя: BlackDeath

по поводу свичей и прочего - типа табуретку поставил рядом и сутками ждять кады он этот пакет кинет

Зачем - допустим на 3326 длинках я могу посмотреть по заданному ип/маку на какой порт он цеплялся, в рамках размеров истории свитча - и так вычислить источник пакета. Могу вообще заблокировать этот ип, чтобы он не портил мне статистику :-)

ну и как еще вариант - на умном свитче можно порт замиррорить... и на зеркале поставить сниффер, который все будет в лог писать... А потом посмотреть - нет бэдовых пакетов, следующий порт миррорить...

[Сообщение изменено пользователем 18.09.2005 13:59]

| Поделиться:

Re: Задача для крутых сетевиков :)

^#873096

^наверх

Автор: Andymion
Дата: 18 сентября 2005 20:46

Цитата:
От пользователя: BlackDeath

в пакете ниче нет. Есть мак и ип шалуна. Шалун из другой сетки из которой В ПРИНЦИПЕ трафика быть не может.

Следовательно, пакет из своей сети. Вы ведь не допускаете, что рутер живет собственной жизнью и пускает что хочет? Кроме того, как вы знаете, броадкаст не уходит дальше маршрутизатора.

Скорее всего некто юзает тулзу - мониторилку сети.

Дополнительно убедиться в истинности "своячности" источника можно посмотрев MAC. Определить - какого производителя сетевушки имеют аналогичный MAC-префикс. Сравнить с другими местными компами, которые закупались в рамках разных партий. Если MAC не был подменен - 80%, что найдете очень близкие значения.

Как крайнюю меру, я бы порекомендовал организовать DoS атаку на данный IP. Затем, если есть домен, посмотрите аудит успешных входов.

| Поделиться:

Список Тем | Поиск | Правила | Статистика |

Обсуждение этой темы закрыто модератором форума