Вычислить "халявщиков"

[delfin 3]

Предоставляю безлимитный интернет, есть пару человек которые через прогу Wingate "деляться" инетом со своими друзьями, соседями. Возможно ли как-нибудь вычислить, или как узнать какие процессы на компьютере загружены.

Обычно (предположительно) стоит свитч D-link 3026 - к нему неуправляемый - там пользователи. Один из них покупает интернет и "делиться" с другими. Как вариант если поставят вторую сетевую на комп через неё раздавать. Как с этим бороться? :argh:

[trinix 0]

Мне рассказывали про прогу какая смотрит какие маки делают запросы с ip'шника или что-то такое, думаю гугл поможет. С ходу название не скажу, если очень надо - могу узнать.

[Queeq 0]

Не знаю точно, но попробуй посмотреть на TTL исходящих пакетов.

[BUM 237]

Посмотри какие порты на тачках открыты

Обычно всякие проксики на 8080, 3180 порту находятся

[delfin 3]

А если сотня-две пользователей, то каждого по отдельности проверять надо?!

[RAW 0]

Ну не всех конечно - себя можешь не проверять, а то получишь ложную тревогу .

[911 140]

если правильно настроить раздачу инета, то хрен ты увидишь

главное, правильно настроить фаервол, и тогда все будут хавать у тебя инет, а админ ничего не увидит ))

а насчет TTL, так можно заставить роутер не менять TTL пакетов

и к тому же, а вдруг у человека дома стоит какой-нибудь роутер д-линк или еще что-нить, потому что у него дома 2 компа? или 1 комп и 1 спутниковый ресивер с картшарингом? как ты докажешь, что он перепродает инет??

[Queeq 0]

Не думаю, что большинство пользователей будет обращать внимание на изменение TTL.

 

2Delfin:

 

У тебя в сети разрешается иметь пользователям компы за роутером?

[dead 93]

А если сотня-две пользователей, то каждого по отдельности проверять надо?!

а ты, конечно, хотел чтоб тебе само все вычисляло и еще и звонило на телефон и смодулированным голосом сообщало фио нарушителя. Если взялся админить, то будь добр выдилять время на вычисления. По TTL нормальный вариант, но умники тебя проведут. Вообще, таких тем уже поднималось... например предлагалось анализировать трафик типа если в КС играют больше чем в один поток ну и др. фичи. В любом случае, самый мудрый совет - это правильное ценообразование. Жулики будут всегда, ты должен работать не против них, а НА тех, кого они обслуживают. Те клиенты должны понять, что покупать инет напрямую у тебя намного выгодней и надежней. Правда не все админы это понимают

[delfin 3]

To Queeq:

Запрещено, в комнате могут быть 1 неуправляемый свитч который мы мы сами подключаем.

 

To dead:

Как раз и пытаюсь тут найти наиболее эффективный метод.

 

Попробовал поставить xspider (http://77.120.100.12/file/2208001/1701192/XSpider.v7.5.Full.zip), интересная программка, но можно ли через нее наверняка сказать что с этого компьютера раздают интернет пока не разобрался.

 

Что именно я должен увидеть в исходящих TTL, как я понял это через tcpdump можно? Или что-то другое надо.

[Shuher 216]

Популярно объясняю!!!

Сканить кучу тачек и смотреть открытые порты можно так:

http://www.softperfect.com/products/networkscanner/manual/

 

Если фаервол настроен юзвером правельно и тебя посылает . Тачка наверное вообще будет морочится на твой IP. А это уже подозрение!

 

Берем програмку GiveMeToo (снифер) и смотрим что ходит с подозреваемого IP к другим юзерам.

 

смотря какие юзверы. Я бы поставил pppoe сервер без IP адреса, щифровал бы трафик и делился бы и-нетом. И наврядлиб ты меня поймал!

[beerhoff 0]

Хочу посоветовать еще один инструмент для подобной работы: NetCrunch. После сканирования ресурсов твоей сети по каждому хосту покажет какой у него сервис доступен. Но это не панацея. Увидев, что на таком-то ip-шнике не только обычный pingrequest, а и http/smtp, это повод проверять именно этот хост. Например, в определенный момент ты отключаешь в 4-00 утра инет для хоста на некоторое время и если тебе звонят тут же - еще один повод его проверять дальше. Как вариант получи через арп мас'и некоторых своих абонентов, которым (как ты предполагаешь) разадается инет и в 4-00 сам попробуй подключиться к инету через вероятного раздающего. В общем, пофантазируй, способ вычислить достаточно много. Есть конкретные аппаратно-программные решения, но они дорогие, для ДС проще руками это делать.

[devchaos 1]

Вообще если подойти к вопросу грамотно то заметить сложно. Попробуйте ограничить количество сессий у юзверя для начала. Ну и правильная ценовая политика спасет. А от 2х "друзяк" которые скинулись на анлим не спасет ничего да и нет смысла заморачиватся пока явно не будет доказана вина. Если сетка небольшая можно вообще наведатся к абоненту для смены чегонить или установки правда скорее всего к ПК Вас не подпустят в таком случае )

[Queeq 0]

Чтобы допустили к ПК надо им "сломать интернет" Ну и свалить на то, что комп юзера виноват Хотя в этом случае те, кто не спалился за раздачей интернета не поведутся.

[XoRe 0]

Я бы посоветовал озаботиться TTL.

Хороший вариант - сделать TTL 1 в сторону клиента.

Это можно обойти, но не на винде.

Да и на *nix для этого понадобится хороший уровень знаний.

 

Да и вообще на винде можно только поменять TTL.

Заставить не изменять TTL при шлюзовании на винде врядли можно.

Поэтому простой анализ TTL пакетов от клиентов даст многое.

 

Как варианты, можно попробовать - VPN, PPPOE, VLAN.