drb 0 Опубликовано: 2006-01-12 11:07:17 Share Опубликовано: 2006-01-12 11:07:17 Сеть по городу из 150 компов на неуправляемых свичах, PPPoE. Есть проблема - клиент меняет IP, МАС рассилает флуд, производит другие деверсии в сети, как вычислить? Управляемые свичи не пердлагать Ссылка на сообщение Поделиться на других сайтах
S_ergey 21 Опубліковано: 2006-01-12 11:55:27 Share Опубліковано: 2006-01-12 11:55:27 Тогда привязка IP+MAC и arpwatch Ссылка на сообщение Поделиться на других сайтах
KMiNT21 0 Опубліковано: 2006-01-12 13:13:24 Share Опубліковано: 2006-01-12 13:13:24 2drb: В такой конфигурации никак. Абсолютно. Кроме как ходить и кабель выдергивать (куски сети), пока не вычислишь кто это методом исключения. P.S. Если ты имел в виду вычислить _кто_ это делает. Ссылка на сообщение Поделиться на других сайтах
XoRe 0 Опубліковано: 2006-01-13 02:13:56 Share Опубліковано: 2006-01-13 02:13:56 Согласен с KMiNT21. Ещё можно попробовать сделать вывод из замудреного сниффинга ) Ссылка на сообщение Поделиться на других сайтах
nn 7 Опубліковано: 2006-01-13 07:35:11 Share Опубліковано: 2006-01-13 07:35:11 В принцыпе есть проги, кот. вычисляют, что интерфейс в промис моде находится. Так можно сузить круг подозреваемых. А вообще придется бегать с ноутом и выдергивать сегменты. Главное выключить кого-то показательно, чтобы другим не было повадно. Армейский принцып реально сработает. Даже, если выключишь кого попало. :loop: Ссылка на сообщение Поделиться на других сайтах
drb 0 Опубліковано: 2006-01-13 10:28:26 Автор Share Опубліковано: 2006-01-13 10:28:26 Слышал есть проги (методы) вычислить через какое количество свичей от сервера находится клиент. Никто не встречал? Ссылка на сообщение Поделиться на других сайтах
nn 7 Опубліковано: 2006-01-13 21:56:08 Share Опубліковано: 2006-01-13 21:56:08 Это разве что по длине пинга, точнее по времени прохождения сигнала. Так надо калибровать такую прогу сначала. И точнось такого метода весьма сомнительна. Ссылка на сообщение Поделиться на других сайтах
Foster 0 Опубліковано: 2006-01-13 23:00:01 Share Опубліковано: 2006-01-13 23:00:01 у меня клиент один дома поставил еще одну тачку и не предупредил я через пинг вычислил, причем очень даже неплохо берешь пускаешь килобайтный пинг или посущественнее что-то и смотришь в каком сегменте у тебя клиент, и потом каждого с сегмента довольно четко опеределяется, если сеть маленькая и все известно Ссылка на сообщение Поделиться на других сайтах
XoRe 0 Опубліковано: 2006-01-14 03:08:48 Share Опубліковано: 2006-01-14 03:08:48 2Foster: Поподробнее можно? А то В моей локалке пинги приходят отовсюду в общем-то одновременно ) Ссылка на сообщение Поделиться на других сайтах
Foster 0 Опубліковано: 2006-01-14 10:08:13 Share Опубліковано: 2006-01-14 10:08:13 захожу на сервак пускаю пинг [root@root]# ping 192.168.0.10 -s 1000 PING 192.168.0.10 (192.168.0.10) 1000(1028) bytes of data. 1008 bytes from 192.168.0.10: icmp_seq=1 ttl=128 time=0.920 ms 1008 bytes from 192.168.0.10: icmp_seq=2 ttl=128 time=0.892 ms 1008 bytes from 192.168.0.10: icmp_seq=3 ttl=128 time=0.913 ms 1008 bytes from 192.168.0.10: icmp_seq=4 ttl=128 time=0.894 ms 1008 bytes from 192.168.0.10: icmp_seq=5 ttl=128 time=0.892 ms 1008 bytes from 192.168.0.10: icmp_seq=6 ttl=128 time=0.905 ms 1008 bytes from 192.168.0.10: icmp_seq=7 ttl=128 time=0.904 ms 1008 bytes from 192.168.0.10: icmp_seq=8 ttl=128 time=0.892 ms 1008 bytes from 192.168.0.10: icmp_seq=9 ttl=128 time=0.894 ms 1008 bytes from 192.168.0.10: icmp_seq=10 ttl=128 time=0.899 ms делаю такой же на других клиентов [root@root]# ping 192.168.0.7 -s 1000 PING 192.168.0.7 (192.168.0.7) 1000(1028) bytes of data. 1008 bytes from 192.168.0.7: icmp_seq=1 ttl=128 time=2.47 ms 1008 bytes from 192.168.0.7: icmp_seq=2 ttl=128 time=2.47 ms 1008 bytes from 192.168.0.7: icmp_seq=3 ttl=128 time=2.47 ms 1008 bytes from 192.168.0.7: icmp_seq=4 ttl=128 time=2.47 ms 1008 bytes from 192.168.0.7: icmp_seq=5 ttl=128 time=2.45 ms 1008 bytes from 192.168.0.7: icmp_seq=6 ttl=128 time=2.80 ms 1008 bytes from 192.168.0.7: icmp_seq=7 ttl=128 time=3.00 ms 1008 bytes from 192.168.0.7: icmp_seq=8 ttl=128 time=3.00 ms 1008 bytes from 192.168.0.7: icmp_seq=9 ttl=128 time=2.47 ms 1008 bytes from 192.168.0.7: icmp_seq=10 ttl=128 time=6.09 ms чем больше свитчей проходит, тем дольше время отклика думаю видно отличие в пингах. Если не видно, то делай пинги на 65500 после того как определил какой свитч по клиентам думаю несложно понять кто чудит. Если просто человечески непонятно, то делай такой же пинг по тому свитчу... будет зависеть от сетевухи и длины кабеля примитивно конечно, но меня один раз выручило Ссылка на сообщение Поделиться на других сайтах
Stiv 0 Опубліковано: 2006-01-15 09:25:43 Share Опубліковано: 2006-01-15 09:25:43 Да это конечно проблема, пробую решать это композитовскими свитчами. Ссылка на сообщение Поделиться на других сайтах
keshaLG 5 Опубліковано: 2006-01-15 18:04:12 Share Опубліковано: 2006-01-15 18:04:12 Народ, а кто такое видел?? и что это может быть (интересный мак) ? [kesha@freenet ~]$ sudo arping iverson.freenet.local ARPING 192.168.1.213 from 192.168.1.1 eth0 Unicast reply from 192.168.1.213 [00:00:00:00:00:00] 1.762ms Unicast reply from 192.168.1.213 [00:00:00:00:00:00] 0.946ms Sent 2 probes (1 broadcast(s)) Received 2 response(s) Ссылка на сообщение Поделиться на других сайтах
N.Leiten 89 Опубліковано: 2006-01-16 06:08:40 Share Опубліковано: 2006-01-16 06:08:40 Это может быть битая сетевая... или дрова на интегрированную сетевуху не поставили нормально и винда свои подобрала... Ссылка на сообщение Поделиться на других сайтах
trinity0333 11 Опубліковано: 2006-01-16 08:33:31 Share Опубліковано: 2006-01-16 08:33:31 захожу на сервакпускаю пинг [root@root]# ping 192.168.0.10 -s 1000 PING 192.168.0.10 (192.168.0.10) 1000(1028) bytes of data. 1008 bytes from 192.168.0.10: icmp_seq=1 ttl=128 time=0.920 ms 1008 bytes from 192.168.0.10: icmp_seq=2 ttl=128 time=0.892 ms 1008 bytes from 192.168.0.10: icmp_seq=3 ttl=128 time=0.913 ms 1008 bytes from 192.168.0.10: icmp_seq=4 ttl=128 time=0.894 ms 1008 bytes from 192.168.0.10: icmp_seq=5 ttl=128 time=0.892 ms 1008 bytes from 192.168.0.10: icmp_seq=6 ttl=128 time=0.905 ms 1008 bytes from 192.168.0.10: icmp_seq=7 ttl=128 time=0.904 ms 1008 bytes from 192.168.0.10: icmp_seq=8 ttl=128 time=0.892 ms 1008 bytes from 192.168.0.10: icmp_seq=9 ttl=128 time=0.894 ms 1008 bytes from 192.168.0.10: icmp_seq=10 ttl=128 time=0.899 ms делаю такой же на других клиентов [root@root]# ping 192.168.0.7 -s 1000 PING 192.168.0.7 (192.168.0.7) 1000(1028) bytes of data. 1008 bytes from 192.168.0.7: icmp_seq=1 ttl=128 time=2.47 ms 1008 bytes from 192.168.0.7: icmp_seq=2 ttl=128 time=2.47 ms 1008 bytes from 192.168.0.7: icmp_seq=3 ttl=128 time=2.47 ms 1008 bytes from 192.168.0.7: icmp_seq=4 ttl=128 time=2.47 ms 1008 bytes from 192.168.0.7: icmp_seq=5 ttl=128 time=2.45 ms 1008 bytes from 192.168.0.7: icmp_seq=6 ttl=128 time=2.80 ms 1008 bytes from 192.168.0.7: icmp_seq=7 ttl=128 time=3.00 ms 1008 bytes from 192.168.0.7: icmp_seq=8 ttl=128 time=3.00 ms 1008 bytes from 192.168.0.7: icmp_seq=9 ttl=128 time=2.47 ms 1008 bytes from 192.168.0.7: icmp_seq=10 ttl=128 time=6.09 ms чем больше свитчей проходит, тем дольше время отклика думаю видно отличие в пингах. Если не видно, то делай пинги на 65500 после того как определил какой свитч по клиентам думаю несложно понять кто чудит. Если просто человечески непонятно, то делай такой же пинг по тому свитчу... будет зависеть от сетевухи и длины кабеля примитивно конечно, но меня один раз выручило Вот 1-й клиент ping -s 1000 192.168.1.22 PING 192.168.1.22 (192.168.1.22): 1000 data bytes 1008 bytes from 192.168.1.22: icmp_seq=0 ttl=64 time=2.781 ms 1008 bytes from 192.168.1.22: icmp_seq=1 ttl=64 time=2.608 ms 1008 bytes from 192.168.1.22: icmp_seq=2 ttl=64 time=2.627 ms 1008 bytes from 192.168.1.22: icmp_seq=3 ttl=64 time=2.626 ms 1008 bytes from 192.168.1.22: icmp_seq=4 ttl=64 time=2.622 ms Вот 2-й клиент aspect# ping -s 1000 192.168.1.240 PING 192.168.1.240 (192.168.1.240): 1000 data bytes 1008 bytes from 192.168.1.240: icmp_seq=0 ttl=128 time=1.025 ms 1008 bytes from 192.168.1.240: icmp_seq=1 ttl=128 time=0.818 ms 1008 bytes from 192.168.1.240: icmp_seq=2 ttl=128 time=0.872 ms 1008 bytes from 192.168.1.240: icmp_seq=3 ttl=128 time=0.838 ms 1008 bytes from 192.168.1.240: icmp_seq=4 ttl=128 time=0.821 ms Оба клиента находятся на 1 свитче в соседних портах. Разница в пинге есть.. Это не метод. Ссылка на сообщение Поделиться на других сайтах
Лёха 0 Опубліковано: 2006-01-16 09:23:44 Share Опубліковано: 2006-01-16 09:23:44 Тут еще играет сам комп..... Если он новый и с нормальной сетевухой,то пинг будет естественно пониже. А если там какая то развалюха, то по пингу можно будет сказать шо он вообще не из твоей сети. Ссылка на сообщение Поделиться на других сайтах
Алик 0 Опубліковано: 2006-01-16 10:12:09 Share Опубліковано: 2006-01-16 10:12:09 Никто не пользовался такой вот прелестью как livemac ? Модуль к ядру. Некий Российский умелец наваял. Замену MAC+IP делает безсмысленной тратой времени. Ссылка на сообщение Поделиться на других сайтах
Foster 0 Опубліковано: 2006-01-16 10:25:11 Share Опубліковано: 2006-01-16 10:25:11 Вот 1-й клиент ping -s 1000 192.168.1.22 PING 192.168.1.22 (192.168.1.22): 1000 data bytes 1008 bytes from 192.168.1.22: icmp_seq=0 ttl=64 time=2.781 ms 1008 bytes from 192.168.1.22: icmp_seq=1 ttl=64 time=2.608 ms 1008 bytes from 192.168.1.22: icmp_seq=2 ttl=64 time=2.627 ms 1008 bytes from 192.168.1.22: icmp_seq=3 ttl=64 time=2.626 ms 1008 bytes from 192.168.1.22: icmp_seq=4 ttl=64 time=2.622 ms Вот 2-й клиент aspect# ping -s 1000 192.168.1.240 PING 192.168.1.240 (192.168.1.240): 1000 data bytes 1008 bytes from 192.168.1.240: icmp_seq=0 ttl=128 time=1.025 ms 1008 bytes from 192.168.1.240: icmp_seq=1 ttl=128 time=0.818 ms 1008 bytes from 192.168.1.240: icmp_seq=2 ttl=128 time=0.872 ms 1008 bytes from 192.168.1.240: icmp_seq=3 ttl=128 time=0.838 ms 1008 bytes from 192.168.1.240: icmp_seq=4 ttl=128 time=0.821 ms Оба клиента находятся на 1 свитче в соседних портах. Разница в пинге есть.. Это не метод. или я чего-то не понял или кто-то не то прочитал суть метода как раз в том, чтобы отличать каждого клиента по пингам Ссылка на сообщение Поделиться на других сайтах
drb 0 Опубліковано: 2006-01-16 10:36:05 Автор Share Опубліковано: 2006-01-16 10:36:05 Пинг не подходит однозначно так как зависит от сетевухи, компа и даже ОС. Слышал что прохождение через свич меняет чтото в стеке ТСП... Может кто знает? Ссылка на сообщение Поделиться на других сайтах
Slava 1 Опубліковано: 2006-01-16 10:41:47 Share Опубліковано: 2006-01-16 10:41:47 Никто не пользовался такой вот прелестью как livemac ? Модуль к ядру. Некий Российский умелец наваял. Замену MAC+IP делает безсмысленной тратой времени. А ссылочку мошеш дать где можно скачать. Ссылка на сообщение Поделиться на других сайтах
CronAcronis 0 Опубліковано: 2006-01-16 14:12:53 Share Опубліковано: 2006-01-16 14:12:53 А где вообще можно почитать о существующих диверсиях? Можно по подробнее о ARP-FLOOD? Ссылка на сообщение Поделиться на других сайтах
XoRe 0 Опубліковано: 2006-01-16 14:17:35 Share Опубліковано: 2006-01-16 14:17:35 На nag.ru и на uinc.ru было по статье на эту тему. А ещё на этом форуме было исписано достаточно. 2Алик: ya.ru дал всего 1 ссылку на livemac Если у кого есть сырцы - плиз, выложите ссылку или на xor<бобик>elizovo.ru и я выложу у себя ) Штучка меня заинтересовала. 2drb: arpwatch и при любых шевелениях в сети arping. Хотя надо у консоли сидеть постоянно + результат негарантирован. Можно ещё tcpdump запустить и с бубном попрыгать вокруг ) 2Foster: имхо, этот способ себя оправдывает, если есть узкие участки сети. Например у меня 2 участка одной сетки соединены 2мбитными дсл модемами. Вот там, спору нет, пинг 50-500мс, сразу видно, откуда ) А остальные места, где 10/100, однозначно не определишь, если компов > 100 и, тем более, сетка в разные стороны, как паутина. Ссылка на сообщение Поделиться на других сайтах
Foster 0 Опубліковано: 2006-01-16 14:36:43 Share Опубліковано: 2006-01-16 14:36:43 2Foster: имхо, этот способ себя оправдывает, если есть узкие участки сети.Например у меня 2 участка одной сетки соединены 2мбитными дсл модемами. Вот там, спору нет, пинг 50-500мс, сразу видно, откуда ) А остальные места, где 10/100, однозначно не определишь, если компов > 100 и, тем более, сетка в разные стороны, как паутина. кажется я так и говорил... насчет размеров сети это был просто пример как я у себя однажды с точностью 100% обнаружил клиента, который поставил себе еще одну тачку Ссылка на сообщение Поделиться на других сайтах
Hash 0 Опубліковано: 2006-02-01 02:19:17 Share Опубліковано: 2006-02-01 02:19:17 IPSentinel полностью заменяет вышеописаный live-mac, кроме того, его исходники свободно скачиваются с офф. сайта http://www.nongnu.org/ip-sentinel/ Ссылка на сообщение Поделиться на других сайтах
Apelsin 34 Опубліковано: 2008-05-23 20:41:58 Share Опубліковано: 2008-05-23 20:41:58 вот представте вредный юзер делает себе подменю мака предположим что он скопировал айпи и мак реального клиента, но еще не поставил себе только скопировал в блокнот. дождался пока комп с этим айпи выключился, отстоеденил кабель от своей сетевухи поменял айпи и мак и вот уже через минуту он в сети... вот тут и возникает идея в какой-нить програмке которая будет отслеживать все входы и выходы в сети. Круг подозреваемых можно сузить, а потом если сравнить со статистикой начала хищения трафика, то можно понять кто это сделал. Ссылка на сообщение Поделиться на других сайтах
911 140 Опубліковано: 2008-05-23 21:18:21 Share Опубліковано: 2008-05-23 21:18:21 вот представте вредный юзер делает себе подменю мака предположим что он скопировал айпи и мак реального клиента, но еще не поставил себе только скопировал в блокнот. дождался пока комп с этим айпи выключился, отстоеденил кабель от своей сетевухи поменял айпи и мак и вот уже через минуту он в сети... вот тут и возникает идея в какой-нить програмке которая будет отслеживать все входы и выходы в сети.Круг подозреваемых можно сузить, а потом если сравнить со статистикой начала хищения трафика, то можно понять кто это сделал. ну сейчас в моде анлимы, так что и смысла у соседа траф п*здить особо-то нет Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас