Stargazer и воровство трафа, как избавиться?

[Константин 0]

но если сеть большая? например 3 тыс абонентов? или 5?

А какая разница? При любом количестве должна быть система и отчетность. Возникшее подозрение быстро проверяется, виновник вычисляется, а потом информация о виновнике "случайно" уходит нескольким наиболее заинтересованным пострадавшим...

Притом такие манипуляции не доступны простому пользователю, для этого надо чуть-чуть понимать в том что делаешь. А уж админы больше знаються на тех кто понимает или нет. Так что вычисления падают на 50%.

[Den_LocalNet 1 472]

С этим понятно.... но как доказать это??

[XoRe 0]

Доказывают в суде.

Админу достаточно подозрения, чтобы настроить arpwatch + trafshow + tcpdump на подозреваемый ip или mac адрес. И на основании полученных логов отключить клиента. А для того, чтобы информация ушла пострадавшим клиентам, даже логов не надо.

[Гость Guest]

Работа над ВПН идет

Всем привет)

 

Люди, объясните мне плиз, почему старгейзер не будет работать с впн?

 

Я использую FreeBSD и собираюсь перейти на эту биллинговую систему. Какая разница для сервера по какому интерфейсу считать трафик?

 

цитата из конфига:

# for FreeBSD only

# Имя интерфейсов на которых нужно вести подсчет трафика

iface=xl0,xl1,xl2

 

если сюда написать ng0,ng1,....,ngXX , то где тут грабли возникнут?

 

Прошу извинить меня, если глупость спросил, тк только вникаю в механизм работы.

 

 

-Дмитрий.

[Max 0]

Насколько я помню STG2 не умеет считать с фиртуальных интерфейсов!

[Гость Jora]

Доказывают в суде.

Админу достаточно подозрения, чтобы настроить arpwatch + trafshow + tcpdump на подозреваемый ip или mac адрес. И на основании полученных логов отключить клиента. А для того, чтобы информация ушла пострадавшим клиентам, даже логов не надо.

Да подымай что хочешь, не выловишь ты его.

Не неси чепухи.

[XoRe 0]

2Jora: Не несу. Согласен, если запустить эту связку в первый раз, то, к примеру arpwatch вместо того, чтобы выявить нехорошего человека, пришлет кучу писем "New station found". Поэтому эту программу нужно запускать как можно раньше. И настраивать её так, чтобы она слала все сообщения на мыло.

Именно с помощью этой программы я сразу узнал, что кто-то стучится под чужими айпишниками. А, так как я сохранял все сообщения этой программы, то смог найти по сообщению месячной давности, у какого ip адреса впервые появился такой mac адрес. Согласен, когда подделывается ip и mac адрес, это малоэффективно. Поэтому я и добавил tcpdump в связку "arpwatch + trafshow + tcpdump". Возможность сохранения на жёсткий всех пакетов с указанным ip адресом в заголовке ещё никто не отменял. Этот дамп можно потом ещё раз пропарсить тем же tcpdump'ом. И в более спокойной обстановке просмотреть содержимое всех пакетов. С пострадавшим пользователем договориться, чтобы он заходил только на пару левых сайтов. Следовательно, все остальные сайты будут на совести нехорошего человека. И не только сайты, а pop3, icq, smtp, nntp, ftp сессии. Все пароли будут в твоем распоряжении, как только он их передаст по сети. А ещё его мыла и, возможно номера icq. Я думаю, этого более чем достаточно, чтобы узнать, кто занимается нехорошей деятельностью.

Согласен, если ничего не делать и сидеть сложа руки, я его не выловлю.

Мало того, если ничего не предпринимать, то будут страдать ещё и клиенты.

 

Но это только пловина вопроса.

Люди тут много написали про то, что это физически будет работать через ж#пу в сети на свичах и на хабах. Ты это никак не прокомментировал. Что ты думаешь о том, что люди написали про свои опыты с включением 2 машин с одинаковыми сетевыми реквизитами в одну сеть?

[XoRe 0]

И ещё. Мне интересно, как ты обоснуешь теоретически возможность нормальной работы двух компов в одной сети с одинаковыми mac и ip, когда первая машина будет посылать в инет RST'ы на SYN'ы предназначенные для второй машины, а вторая машина будет делать это для пакетов, предназначенных для первой машины?

[Гость Jora]

Проверял через 3 свича все рулило.

Да косяки есть но тырить мона налегке и скорость нормальная на выкачку из инета.

[XoRe 0]

Возможно. Тогда после первой жалобы врубаем tcpdump.

А потом разбираем дамп =))

[ZeRoCoLd 0]

Кароче по тестам на любом свиче можно делать 1 и тотже ип и такойже мак выход ето тока дорогой свичь который управляемый все начиная от акорпа по 3ком робят одинакого. мараль такова покупайте дорогую активку)))))

[Гость Jora]

Возможно. Тогда после первой жалобы врубаем tcpdump.

А потом разбираем дамп =))

А незапаришься?

[Гость alg]

Вообщем если усер авторизаруеться через старгазет, то через он конект на этого юсерара открываеться фаервол.

Так если злоумышленик подменит мак и ип адрес и выставит шлюз то инет получит на халяву как бороться с такой фикней?

Два одинаковых мака и сетка не легла ?

Странные у тебя свитчи - телепаты - сами знают кому пакеты отдавать..

 

Как боротся , купить нормальное железо и строить сетку не на свичах по 2 бакса за порт.Можеш посмотреть в сторону лайткомов , по 10 баксов за порт с виланами и привязкой мака к порту...

[ZeRoCoLd 0]

Вообщем если усер авторизаруеться через старгазет, то через он конект на этого юсерара открываеться фаервол.

Так если злоумышленик подменит мак и ип адрес и выставит шлюз то инет получит на халяву как бороться с такой фикней?

Два одинаковых мака и сетка не легла ?

Странные у тебя свитчи - телепаты - сами знают кому пакеты отдавать..

 

Как боротся , купить нормальное железо и строить сетку не на свичах по 2 бакса за порт.Можеш посмотреть в сторону лайткомов , по 10 баксов за порт с виланами и привязкой мака к порту...

при 2 одинаковых маках сетка не ложится просто ети два компа не видят друг друга но главное чтобы у них ИП были разные а вот когда и ИП и МАК одинаковый то у меня покрайней мере сеть ложится а точнее тормазит и сетевое окружение пропадает в 90% вероятности.

[XoRe 0]

А незапаришься?

Смотря как делать. Если умеючи, то нет. Все, как обычно, упирается в уровень знаний =)

[Советчик (блин) 0]

Всёравно не понимаю как могут находится два одинаковых ип адресса в одной подсетиЮ даже если маки разные......как свичу после этого работать если у него в таблице 2 хоста с одним MACом???

 

 

Попробовал у себя..... сразу вывалило на обеих машинах: "Конфликт ипадресса"

 

и никакого соединения с сетью....

Это под виндами конфликт. А если на одной машине у тебя уже работает винда, а на другой Линух и на нем делаешь подмену, то винда будет спокойно молчать.

Происходит это потому, что винда при загрузке выдает в сеть arp "Скажите мне 192.168.0.1 кто такой 192.168.0.1" и если есть второй с 192.168.0.1 он обязательно ответит и тогда винда крикнет, что есть совпадение адресов. Но это все только при загрузке или при смене адреса под виндой. Линух молча поменяет, так что никто ничего не услышит и не увидит - не любит Линух лишнюю работу делать ("и ето правильно" copyright Горбачев)

[Советчик (блин) 0]

Без покупки дополнительного оборудования тут можно придумать лишь VPN(вообщем-то тоже не панацея от взломщиков как некоторые думают, но дополнительная защита всё-таки) для раздачи инета, но к сожалению старгейзер это дело не держит

Ну панацея не панацея впн нагнуть куда труднее чем старгазер, причем если стоит openvpn с раздачей ключей то ваще запариться можно.

Я не говорю что нельзя сломать впн ну это куда трудней чем сменить мак и ип и сидеть в инете нахаляву.

Вообщем вывод такой для езернет провайдинга СТГ не катит.

А если и катит то для сетей построиных на умных свичах.

Правда если сеть построина на умных свичах то СТГ и нафик не нужен.

Во-первых: openvpn катит только на Windows 2000/XP and higher. На других виндах он могёт.

Во-вторых: читай для чего нужен stg - для учета трафика. Или ты умными свичами будешь собирать трафик по разным направлениям?

[Советчик (блин) 0]

Да того чувыка просто с будуна осенила мысля и он тут ляпнул, притом в сетевых протоколах ваще ни бум бум. Даже попробовать лень ему было. Потому что по протоколу IP создать два одинаковых адреса никак нельзя (ПРИ ЛЮБЫХ МАК-ах и если они друг друга видят) соответственно создав два одинаковых мака в сети получишь на свичах просто глюки а на хабах оба будут получать то что просит и один и другой. Такая ситуация нереальна.

угу

так и получилось

 

после смены МАКа я знал что сейчас свичи немного офигеют, но не думал что они офигеют так

Это какие же свичи вы используете? Маде ин Молдова?

 

Нормальный свич не "офигевает", он просто постоянно изменяет свою таблицу. Офигевают обе конечные станции, то от потери пакета (поскольку не ему его послали - повтор пойдет), то от приема левого пакета (с этим бороться легче - просто отбрасывается).

Короче обе станции будут довольно медленно работать в сети (при одинаковой активности), а если один молчит (будучи авторизованным в stg), то другой сможет легко выжрать его трафик.

 

Выход есть - почаще пинговать клиентов (через stg blowfish), чтобы свич почаще менял свои записи на правильные.

[Советчик (блин) 0]

Кто-то тут сказал насчет сетевых протоколов, сами вы не бумбум.

Если вы блин неможете ип вместе с маком поменять мне вас жаль.

Сраргазет класная система будет когда начнет работать хотябы с tun*.

Под Линухом можешь юзать libipq - кто тебе не дает?

А правилами iptables посылай в очередь все, что надо считать.

[Советчик (блин) 0]

Обязательное условие: оба компа воткнуты в один свитч. В разные на работает. В хабы не работает.

Че-то мне кажется, что неправильно как-то проверял. ARP должен сраться во все порты и на все свичи (которые не через роутер подключены, а через аплинк). А ответ на этот ARP поменяет таблицу свича.

В хабах иначе, но должно работать вообще без потерь. Потери могут быть только при совпадении номеров TCP-сессий, а это маловероятно, а поэтому очень редко.

 

Это все в теории - на практике лень.

 

ЗЫ: железки надо иметь нормальные.

[Советчик (блин) 0]

2Jora: ты ещё яйцами потряси для важности =))

 

Разговор не только о подмене ip-адреса, но и о подменеме mac-адреса. В этом случае в виндувсе табличка не выскакивает, ибо НЕТУ машины с ДРУГИМ mac-адресом. Есть машина с ТАКИМ-ЖЕ mac-адресом и, соответственно, ip-адресом.

 

Я думаю, тут дело больше не в поведении компов в сети, а в поведении свичей и хабов.

 

На хабах, я думаю, такое работать не будет. Ибо 1 компьютер будет получать пакеты, предназначенные другому компьютеру с такими-же сетевыми реквизитами. И будет слать RST на SYN'ы и всякие host unreachable. Аналогично и с другой машиной.

 

На свичах, насколько я помню, есть несколько алгоритмов реализации запоминания соответствия ip-адреса mac-адресу.

Поэтому тут ещё возможна какая-то совместная работа.

Насколько я понимаю, глючить будет безбожно не только эти 2 компа, а и вся сетка.

Ану вспомни кто syn'ы посылает? Правильно - клиент посвлает syn'ы, а не клиенту их присылают (только для passive ftp на клиента они приходят).

Ты о свичах какого уровня говоришь? Если второго (типа того Surecom, который вспоминали), то они с ip-адресами не работают, а только в маками.

А глючность сетки зависит от нагрузки, которую создадут эти 2 машины (а в интернете она будет небольшой) и еще от качества исполнения свича. По-идее изменение таблицы свича не влияет на скорость передачи.

[Советчик (блин) 0]

Хе хе ради спорт интереса поставил шустрого 16 портового возле серваков так вот сделал маки и ип одинаковые на 2 тачках сетка сразу загнулась 1. тормазит все что тока можно 2. сетевое окружение испарилось кудато))))) в никуда видимо 3. инет дает но тормаза безбожные так что сразу видно что ктото гадит врубаем нетвью и смотрим а он сразу показывает что в сетке творится и идем пинать по яйцам тому кто гадит)))) кароче ето бред все такой кипиш из-за тормазов поднимается в сети что тут трудно не найти гниду.

Ага. Остается еще узнать к какому порту кто подключен.

 

Народ пишите после того как подумаете, а не до того.

[Гость Jora]

Хе хе ради спорт интереса поставил шустрого 16 портового возле серваков так вот сделал маки и ип одинаковые на 2 тачках сетка сразу загнулась 1. тормазит все что тока можно 2. сетевое окружение испарилось кудато))))) в никуда видимо 3. инет дает но тормаза безбожные так что сразу видно что ктото гадит врубаем нетвью и смотрим а он сразу показывает что в сетке творится и идем пинать по яйцам тому кто гадит)))) кароче ето бред все такой кипиш из-за тормазов поднимается в сети что тут трудно не найти гниду.

Ага. Остается еще узнать к какому порту кто подключен.

 

Народ пишите после того как подумаете, а не до того.

Ага, все проблемы блин решают tcpdumз netwatch ну итд.

Типа вылавят, ха ха ха, наивные.

Вот такие крутые админы в сетках, хотелбы я глянуть на товарища у которого гигов так 5 слили.

[Гость Jora]

Кто-то тут сказал насчет сетевых протоколов, сами вы не бумбум.

Если вы блин неможете ип вместе с маком поменять мне вас жаль.

Сраргазет класная система будет когда начнет работать хотябы с tun*.

Под Линухом можешь юзать libipq - кто тебе не дает?

А правилами iptables посылай в очередь все, что надо считать.

Я не под линуксом, да и есть чем считать, все считаеться все довольны.

[Советчик (блин) 0]

Кто-то тут сказал насчет сетевых протоколов, сами вы не бумбум.

Если вы блин неможете ип вместе с маком поменять мне вас жаль.

Сраргазет класная система будет когда начнет работать хотябы с tun*.

Под Линухом можешь юзать libipq - кто тебе не дает?

А правилами iptables посылай в очередь все, что надо считать.

Я не под линуксом, да и есть чем считать, все считаеться все довольны.

Вот чудак-человек. Что же ты тогда делаешь в этом топике, если не пользуешься stg и доволен?