drb 0 Posted 2006-01-12 11:07:17 Share Posted 2006-01-12 11:07:17 Сеть по городу из 150 компов на неуправляемых свичах, PPPoE. Есть проблема - клиент меняет IP, МАС рассилает флуд, производит другие деверсии в сети, как вычислить? Управляемые свичи не пердлагать Link to post Share on other sites
S_ergey 21 Posted 2006-01-12 11:55:27 Share Posted 2006-01-12 11:55:27 Тогда привязка IP+MAC и arpwatch Link to post Share on other sites
KMiNT21 0 Posted 2006-01-12 13:13:24 Share Posted 2006-01-12 13:13:24 2drb: В такой конфигурации никак. Абсолютно. Кроме как ходить и кабель выдергивать (куски сети), пока не вычислишь кто это методом исключения. P.S. Если ты имел в виду вычислить _кто_ это делает. Link to post Share on other sites
XoRe 0 Posted 2006-01-13 02:13:56 Share Posted 2006-01-13 02:13:56 Согласен с KMiNT21. Ещё можно попробовать сделать вывод из замудреного сниффинга ) Link to post Share on other sites
nn 7 Posted 2006-01-13 07:35:11 Share Posted 2006-01-13 07:35:11 В принцыпе есть проги, кот. вычисляют, что интерфейс в промис моде находится. Так можно сузить круг подозреваемых. А вообще придется бегать с ноутом и выдергивать сегменты. Главное выключить кого-то показательно, чтобы другим не было повадно. Армейский принцып реально сработает. Даже, если выключишь кого попало. :loop: Link to post Share on other sites
drb 0 Posted 2006-01-13 10:28:26 Author Share Posted 2006-01-13 10:28:26 Слышал есть проги (методы) вычислить через какое количество свичей от сервера находится клиент. Никто не встречал? Link to post Share on other sites
nn 7 Posted 2006-01-13 21:56:08 Share Posted 2006-01-13 21:56:08 Это разве что по длине пинга, точнее по времени прохождения сигнала. Так надо калибровать такую прогу сначала. И точнось такого метода весьма сомнительна. Link to post Share on other sites
Foster 0 Posted 2006-01-13 23:00:01 Share Posted 2006-01-13 23:00:01 у меня клиент один дома поставил еще одну тачку и не предупредил я через пинг вычислил, причем очень даже неплохо берешь пускаешь килобайтный пинг или посущественнее что-то и смотришь в каком сегменте у тебя клиент, и потом каждого с сегмента довольно четко опеределяется, если сеть маленькая и все известно Link to post Share on other sites
XoRe 0 Posted 2006-01-14 03:08:48 Share Posted 2006-01-14 03:08:48 2Foster: Поподробнее можно? А то В моей локалке пинги приходят отовсюду в общем-то одновременно ) Link to post Share on other sites
Foster 0 Posted 2006-01-14 10:08:13 Share Posted 2006-01-14 10:08:13 захожу на сервак пускаю пинг [root@root]# ping 192.168.0.10 -s 1000 PING 192.168.0.10 (192.168.0.10) 1000(1028) bytes of data. 1008 bytes from 192.168.0.10: icmp_seq=1 ttl=128 time=0.920 ms 1008 bytes from 192.168.0.10: icmp_seq=2 ttl=128 time=0.892 ms 1008 bytes from 192.168.0.10: icmp_seq=3 ttl=128 time=0.913 ms 1008 bytes from 192.168.0.10: icmp_seq=4 ttl=128 time=0.894 ms 1008 bytes from 192.168.0.10: icmp_seq=5 ttl=128 time=0.892 ms 1008 bytes from 192.168.0.10: icmp_seq=6 ttl=128 time=0.905 ms 1008 bytes from 192.168.0.10: icmp_seq=7 ttl=128 time=0.904 ms 1008 bytes from 192.168.0.10: icmp_seq=8 ttl=128 time=0.892 ms 1008 bytes from 192.168.0.10: icmp_seq=9 ttl=128 time=0.894 ms 1008 bytes from 192.168.0.10: icmp_seq=10 ttl=128 time=0.899 ms делаю такой же на других клиентов [root@root]# ping 192.168.0.7 -s 1000 PING 192.168.0.7 (192.168.0.7) 1000(1028) bytes of data. 1008 bytes from 192.168.0.7: icmp_seq=1 ttl=128 time=2.47 ms 1008 bytes from 192.168.0.7: icmp_seq=2 ttl=128 time=2.47 ms 1008 bytes from 192.168.0.7: icmp_seq=3 ttl=128 time=2.47 ms 1008 bytes from 192.168.0.7: icmp_seq=4 ttl=128 time=2.47 ms 1008 bytes from 192.168.0.7: icmp_seq=5 ttl=128 time=2.45 ms 1008 bytes from 192.168.0.7: icmp_seq=6 ttl=128 time=2.80 ms 1008 bytes from 192.168.0.7: icmp_seq=7 ttl=128 time=3.00 ms 1008 bytes from 192.168.0.7: icmp_seq=8 ttl=128 time=3.00 ms 1008 bytes from 192.168.0.7: icmp_seq=9 ttl=128 time=2.47 ms 1008 bytes from 192.168.0.7: icmp_seq=10 ttl=128 time=6.09 ms чем больше свитчей проходит, тем дольше время отклика думаю видно отличие в пингах. Если не видно, то делай пинги на 65500 после того как определил какой свитч по клиентам думаю несложно понять кто чудит. Если просто человечески непонятно, то делай такой же пинг по тому свитчу... будет зависеть от сетевухи и длины кабеля примитивно конечно, но меня один раз выручило Link to post Share on other sites
Stiv 0 Posted 2006-01-15 09:25:43 Share Posted 2006-01-15 09:25:43 Да это конечно проблема, пробую решать это композитовскими свитчами. Link to post Share on other sites
keshaLG 5 Posted 2006-01-15 18:04:12 Share Posted 2006-01-15 18:04:12 Народ, а кто такое видел?? и что это может быть (интересный мак) ? [kesha@freenet ~]$ sudo arping iverson.freenet.local ARPING 192.168.1.213 from 192.168.1.1 eth0 Unicast reply from 192.168.1.213 [00:00:00:00:00:00] 1.762ms Unicast reply from 192.168.1.213 [00:00:00:00:00:00] 0.946ms Sent 2 probes (1 broadcast(s)) Received 2 response(s) Link to post Share on other sites
N.Leiten 89 Posted 2006-01-16 06:08:40 Share Posted 2006-01-16 06:08:40 Это может быть битая сетевая... или дрова на интегрированную сетевуху не поставили нормально и винда свои подобрала... Link to post Share on other sites
trinity0333 11 Posted 2006-01-16 08:33:31 Share Posted 2006-01-16 08:33:31 захожу на сервакпускаю пинг [root@root]# ping 192.168.0.10 -s 1000 PING 192.168.0.10 (192.168.0.10) 1000(1028) bytes of data. 1008 bytes from 192.168.0.10: icmp_seq=1 ttl=128 time=0.920 ms 1008 bytes from 192.168.0.10: icmp_seq=2 ttl=128 time=0.892 ms 1008 bytes from 192.168.0.10: icmp_seq=3 ttl=128 time=0.913 ms 1008 bytes from 192.168.0.10: icmp_seq=4 ttl=128 time=0.894 ms 1008 bytes from 192.168.0.10: icmp_seq=5 ttl=128 time=0.892 ms 1008 bytes from 192.168.0.10: icmp_seq=6 ttl=128 time=0.905 ms 1008 bytes from 192.168.0.10: icmp_seq=7 ttl=128 time=0.904 ms 1008 bytes from 192.168.0.10: icmp_seq=8 ttl=128 time=0.892 ms 1008 bytes from 192.168.0.10: icmp_seq=9 ttl=128 time=0.894 ms 1008 bytes from 192.168.0.10: icmp_seq=10 ttl=128 time=0.899 ms делаю такой же на других клиентов [root@root]# ping 192.168.0.7 -s 1000 PING 192.168.0.7 (192.168.0.7) 1000(1028) bytes of data. 1008 bytes from 192.168.0.7: icmp_seq=1 ttl=128 time=2.47 ms 1008 bytes from 192.168.0.7: icmp_seq=2 ttl=128 time=2.47 ms 1008 bytes from 192.168.0.7: icmp_seq=3 ttl=128 time=2.47 ms 1008 bytes from 192.168.0.7: icmp_seq=4 ttl=128 time=2.47 ms 1008 bytes from 192.168.0.7: icmp_seq=5 ttl=128 time=2.45 ms 1008 bytes from 192.168.0.7: icmp_seq=6 ttl=128 time=2.80 ms 1008 bytes from 192.168.0.7: icmp_seq=7 ttl=128 time=3.00 ms 1008 bytes from 192.168.0.7: icmp_seq=8 ttl=128 time=3.00 ms 1008 bytes from 192.168.0.7: icmp_seq=9 ttl=128 time=2.47 ms 1008 bytes from 192.168.0.7: icmp_seq=10 ttl=128 time=6.09 ms чем больше свитчей проходит, тем дольше время отклика думаю видно отличие в пингах. Если не видно, то делай пинги на 65500 после того как определил какой свитч по клиентам думаю несложно понять кто чудит. Если просто человечески непонятно, то делай такой же пинг по тому свитчу... будет зависеть от сетевухи и длины кабеля примитивно конечно, но меня один раз выручило Вот 1-й клиент ping -s 1000 192.168.1.22 PING 192.168.1.22 (192.168.1.22): 1000 data bytes 1008 bytes from 192.168.1.22: icmp_seq=0 ttl=64 time=2.781 ms 1008 bytes from 192.168.1.22: icmp_seq=1 ttl=64 time=2.608 ms 1008 bytes from 192.168.1.22: icmp_seq=2 ttl=64 time=2.627 ms 1008 bytes from 192.168.1.22: icmp_seq=3 ttl=64 time=2.626 ms 1008 bytes from 192.168.1.22: icmp_seq=4 ttl=64 time=2.622 ms Вот 2-й клиент aspect# ping -s 1000 192.168.1.240 PING 192.168.1.240 (192.168.1.240): 1000 data bytes 1008 bytes from 192.168.1.240: icmp_seq=0 ttl=128 time=1.025 ms 1008 bytes from 192.168.1.240: icmp_seq=1 ttl=128 time=0.818 ms 1008 bytes from 192.168.1.240: icmp_seq=2 ttl=128 time=0.872 ms 1008 bytes from 192.168.1.240: icmp_seq=3 ttl=128 time=0.838 ms 1008 bytes from 192.168.1.240: icmp_seq=4 ttl=128 time=0.821 ms Оба клиента находятся на 1 свитче в соседних портах. Разница в пинге есть.. Это не метод. Link to post Share on other sites
Лёха 0 Posted 2006-01-16 09:23:44 Share Posted 2006-01-16 09:23:44 Тут еще играет сам комп..... Если он новый и с нормальной сетевухой,то пинг будет естественно пониже. А если там какая то развалюха, то по пингу можно будет сказать шо он вообще не из твоей сети. Link to post Share on other sites
Алик 0 Posted 2006-01-16 10:12:09 Share Posted 2006-01-16 10:12:09 Никто не пользовался такой вот прелестью как livemac ? Модуль к ядру. Некий Российский умелец наваял. Замену MAC+IP делает безсмысленной тратой времени. Link to post Share on other sites
Foster 0 Posted 2006-01-16 10:25:11 Share Posted 2006-01-16 10:25:11 Вот 1-й клиент ping -s 1000 192.168.1.22 PING 192.168.1.22 (192.168.1.22): 1000 data bytes 1008 bytes from 192.168.1.22: icmp_seq=0 ttl=64 time=2.781 ms 1008 bytes from 192.168.1.22: icmp_seq=1 ttl=64 time=2.608 ms 1008 bytes from 192.168.1.22: icmp_seq=2 ttl=64 time=2.627 ms 1008 bytes from 192.168.1.22: icmp_seq=3 ttl=64 time=2.626 ms 1008 bytes from 192.168.1.22: icmp_seq=4 ttl=64 time=2.622 ms Вот 2-й клиент aspect# ping -s 1000 192.168.1.240 PING 192.168.1.240 (192.168.1.240): 1000 data bytes 1008 bytes from 192.168.1.240: icmp_seq=0 ttl=128 time=1.025 ms 1008 bytes from 192.168.1.240: icmp_seq=1 ttl=128 time=0.818 ms 1008 bytes from 192.168.1.240: icmp_seq=2 ttl=128 time=0.872 ms 1008 bytes from 192.168.1.240: icmp_seq=3 ttl=128 time=0.838 ms 1008 bytes from 192.168.1.240: icmp_seq=4 ttl=128 time=0.821 ms Оба клиента находятся на 1 свитче в соседних портах. Разница в пинге есть.. Это не метод. или я чего-то не понял или кто-то не то прочитал суть метода как раз в том, чтобы отличать каждого клиента по пингам Link to post Share on other sites
drb 0 Posted 2006-01-16 10:36:05 Author Share Posted 2006-01-16 10:36:05 Пинг не подходит однозначно так как зависит от сетевухи, компа и даже ОС. Слышал что прохождение через свич меняет чтото в стеке ТСП... Может кто знает? Link to post Share on other sites
Slava 1 Posted 2006-01-16 10:41:47 Share Posted 2006-01-16 10:41:47 Никто не пользовался такой вот прелестью как livemac ? Модуль к ядру. Некий Российский умелец наваял. Замену MAC+IP делает безсмысленной тратой времени. А ссылочку мошеш дать где можно скачать. Link to post Share on other sites
CronAcronis 0 Posted 2006-01-16 14:12:53 Share Posted 2006-01-16 14:12:53 А где вообще можно почитать о существующих диверсиях? Можно по подробнее о ARP-FLOOD? Link to post Share on other sites
XoRe 0 Posted 2006-01-16 14:17:35 Share Posted 2006-01-16 14:17:35 На nag.ru и на uinc.ru было по статье на эту тему. А ещё на этом форуме было исписано достаточно. 2Алик: ya.ru дал всего 1 ссылку на livemac Если у кого есть сырцы - плиз, выложите ссылку или на xor<бобик>elizovo.ru и я выложу у себя ) Штучка меня заинтересовала. 2drb: arpwatch и при любых шевелениях в сети arping. Хотя надо у консоли сидеть постоянно + результат негарантирован. Можно ещё tcpdump запустить и с бубном попрыгать вокруг ) 2Foster: имхо, этот способ себя оправдывает, если есть узкие участки сети. Например у меня 2 участка одной сетки соединены 2мбитными дсл модемами. Вот там, спору нет, пинг 50-500мс, сразу видно, откуда ) А остальные места, где 10/100, однозначно не определишь, если компов > 100 и, тем более, сетка в разные стороны, как паутина. Link to post Share on other sites
Foster 0 Posted 2006-01-16 14:36:43 Share Posted 2006-01-16 14:36:43 2Foster: имхо, этот способ себя оправдывает, если есть узкие участки сети.Например у меня 2 участка одной сетки соединены 2мбитными дсл модемами. Вот там, спору нет, пинг 50-500мс, сразу видно, откуда ) А остальные места, где 10/100, однозначно не определишь, если компов > 100 и, тем более, сетка в разные стороны, как паутина. кажется я так и говорил... насчет размеров сети это был просто пример как я у себя однажды с точностью 100% обнаружил клиента, который поставил себе еще одну тачку Link to post Share on other sites
Hash 0 Posted 2006-02-01 02:19:17 Share Posted 2006-02-01 02:19:17 IPSentinel полностью заменяет вышеописаный live-mac, кроме того, его исходники свободно скачиваются с офф. сайта http://www.nongnu.org/ip-sentinel/ Link to post Share on other sites
Apelsin 34 Posted 2008-05-23 20:41:58 Share Posted 2008-05-23 20:41:58 вот представте вредный юзер делает себе подменю мака предположим что он скопировал айпи и мак реального клиента, но еще не поставил себе только скопировал в блокнот. дождался пока комп с этим айпи выключился, отстоеденил кабель от своей сетевухи поменял айпи и мак и вот уже через минуту он в сети... вот тут и возникает идея в какой-нить програмке которая будет отслеживать все входы и выходы в сети. Круг подозреваемых можно сузить, а потом если сравнить со статистикой начала хищения трафика, то можно понять кто это сделал. Link to post Share on other sites
911 140 Posted 2008-05-23 21:18:21 Share Posted 2008-05-23 21:18:21 вот представте вредный юзер делает себе подменю мака предположим что он скопировал айпи и мак реального клиента, но еще не поставил себе только скопировал в блокнот. дождался пока комп с этим айпи выключился, отстоеденил кабель от своей сетевухи поменял айпи и мак и вот уже через минуту он в сети... вот тут и возникает идея в какой-нить програмке которая будет отслеживать все входы и выходы в сети.Круг подозреваемых можно сузить, а потом если сравнить со статистикой начала хищения трафика, то можно понять кто это сделал. ну сейчас в моде анлимы, так что и смысла у соседа траф п*здить особо-то нет Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now