Jump to content

Подмена MAC, arp-flood. Как вычислить?


Recommended Posts

Сеть по городу из 150 компов на неуправляемых свичах, PPPoE. Есть проблема - клиент меняет IP, МАС рассилает флуд, производит другие деверсии в сети, как вычислить?

Управляемые свичи не пердлагать:(

Link to post
Share on other sites

2drb: В такой конфигурации никак. Абсолютно. :(

 

Кроме как ходить и кабель выдергивать (куски сети), пока не вычислишь кто это методом исключения. :(

 

P.S. Если ты имел в виду вычислить _кто_ это делает.

Link to post
Share on other sites

В принцыпе есть проги, кот. вычисляют, что интерфейс в промис моде находится.

Так можно сузить круг подозреваемых.

А вообще придется бегать с ноутом и выдергивать сегменты.

Главное выключить кого-то показательно, чтобы другим не было повадно.

Армейский принцып реально сработает.

Даже, если выключишь кого попало.

:loop:

Link to post
Share on other sites

Слышал есть проги (методы) вычислить через какое количество свичей от сервера находится клиент.

Никто не встречал?

Link to post
Share on other sites

Это разве что по длине пинга, точнее по времени прохождения сигнала. Так надо калибровать такую прогу сначала. И точнось такого метода весьма сомнительна.

Link to post
Share on other sites

у меня клиент один дома поставил еще одну тачку и не предупредил

я через пинг вычислил, причем очень даже неплохо

берешь пускаешь килобайтный пинг или посущественнее что-то и смотришь в каком сегменте у тебя клиент, и потом каждого с сегмента

довольно четко опеределяется, если сеть маленькая и все известно

Link to post
Share on other sites

захожу на сервак

пускаю пинг

[root@root]# ping 192.168.0.10 -s 1000
PING 192.168.0.10 (192.168.0.10) 1000(1028) bytes of data.
1008 bytes from 192.168.0.10: icmp_seq=1 ttl=128 time=0.920 ms
1008 bytes from 192.168.0.10: icmp_seq=2 ttl=128 time=0.892 ms
1008 bytes from 192.168.0.10: icmp_seq=3 ttl=128 time=0.913 ms
1008 bytes from 192.168.0.10: icmp_seq=4 ttl=128 time=0.894 ms
1008 bytes from 192.168.0.10: icmp_seq=5 ttl=128 time=0.892 ms
1008 bytes from 192.168.0.10: icmp_seq=6 ttl=128 time=0.905 ms
1008 bytes from 192.168.0.10: icmp_seq=7 ttl=128 time=0.904 ms
1008 bytes from 192.168.0.10: icmp_seq=8 ttl=128 time=0.892 ms
1008 bytes from 192.168.0.10: icmp_seq=9 ttl=128 time=0.894 ms
1008 bytes from 192.168.0.10: icmp_seq=10 ttl=128 time=0.899 ms

делаю такой же на других клиентов

[root@root]# ping 192.168.0.7 -s 1000
PING 192.168.0.7 (192.168.0.7) 1000(1028) bytes of data.
1008 bytes from 192.168.0.7: icmp_seq=1 ttl=128 time=2.47 ms
1008 bytes from 192.168.0.7: icmp_seq=2 ttl=128 time=2.47 ms
1008 bytes from 192.168.0.7: icmp_seq=3 ttl=128 time=2.47 ms
1008 bytes from 192.168.0.7: icmp_seq=4 ttl=128 time=2.47 ms
1008 bytes from 192.168.0.7: icmp_seq=5 ttl=128 time=2.45 ms
1008 bytes from 192.168.0.7: icmp_seq=6 ttl=128 time=2.80 ms
1008 bytes from 192.168.0.7: icmp_seq=7 ttl=128 time=3.00 ms
1008 bytes from 192.168.0.7: icmp_seq=8 ttl=128 time=3.00 ms
1008 bytes from 192.168.0.7: icmp_seq=9 ttl=128 time=2.47 ms
1008 bytes from 192.168.0.7: icmp_seq=10 ttl=128 time=6.09 ms

чем больше свитчей проходит, тем дольше время отклика

думаю видно отличие в пингах. Если не видно, то делай пинги на 65500 :(

после того как определил какой свитч по клиентам думаю несложно понять кто чудит. Если просто человечески непонятно, то делай такой же пинг по тому свитчу... будет зависеть от сетевухи и длины кабеля

 

примитивно конечно, но меня один раз выручило

Link to post
Share on other sites

Народ, а кто такое видел??

и что это может быть (интересный мак) ?

[kesha@freenet ~]$ sudo arping iverson.freenet.local
ARPING 192.168.1.213 from 192.168.1.1 eth0
Unicast reply from 192.168.1.213 [00:00:00:00:00:00]  1.762ms
Unicast reply from 192.168.1.213 [00:00:00:00:00:00]  0.946ms
Sent 2 probes (1 broadcast(s))
Received 2 response(s)

Link to post
Share on other sites

Это может быть битая сетевая... или дрова на интегрированную сетевуху не поставили нормально и винда свои подобрала...

Link to post
Share on other sites
захожу на сервак

пускаю пинг

[root@root]# ping 192.168.0.10 -s 1000
PING 192.168.0.10 (192.168.0.10) 1000(1028) bytes of data.
1008 bytes from 192.168.0.10: icmp_seq=1 ttl=128 time=0.920 ms
1008 bytes from 192.168.0.10: icmp_seq=2 ttl=128 time=0.892 ms
1008 bytes from 192.168.0.10: icmp_seq=3 ttl=128 time=0.913 ms
1008 bytes from 192.168.0.10: icmp_seq=4 ttl=128 time=0.894 ms
1008 bytes from 192.168.0.10: icmp_seq=5 ttl=128 time=0.892 ms
1008 bytes from 192.168.0.10: icmp_seq=6 ttl=128 time=0.905 ms
1008 bytes from 192.168.0.10: icmp_seq=7 ttl=128 time=0.904 ms
1008 bytes from 192.168.0.10: icmp_seq=8 ttl=128 time=0.892 ms
1008 bytes from 192.168.0.10: icmp_seq=9 ttl=128 time=0.894 ms
1008 bytes from 192.168.0.10: icmp_seq=10 ttl=128 time=0.899 ms

делаю такой же на других клиентов

[root@root]# ping 192.168.0.7 -s 1000
PING 192.168.0.7 (192.168.0.7) 1000(1028) bytes of data.
1008 bytes from 192.168.0.7: icmp_seq=1 ttl=128 time=2.47 ms
1008 bytes from 192.168.0.7: icmp_seq=2 ttl=128 time=2.47 ms
1008 bytes from 192.168.0.7: icmp_seq=3 ttl=128 time=2.47 ms
1008 bytes from 192.168.0.7: icmp_seq=4 ttl=128 time=2.47 ms
1008 bytes from 192.168.0.7: icmp_seq=5 ttl=128 time=2.45 ms
1008 bytes from 192.168.0.7: icmp_seq=6 ttl=128 time=2.80 ms
1008 bytes from 192.168.0.7: icmp_seq=7 ttl=128 time=3.00 ms
1008 bytes from 192.168.0.7: icmp_seq=8 ttl=128 time=3.00 ms
1008 bytes from 192.168.0.7: icmp_seq=9 ttl=128 time=2.47 ms
1008 bytes from 192.168.0.7: icmp_seq=10 ttl=128 time=6.09 ms

чем больше свитчей проходит, тем дольше время отклика

думаю видно отличие в пингах. Если не видно, то делай пинги на 65500 :(

после того как определил какой свитч по клиентам думаю несложно понять кто чудит. Если просто человечески непонятно, то делай такой же пинг по тому свитчу... будет зависеть от сетевухи и длины кабеля

 

примитивно конечно, но меня один раз выручило

Вот 1-й клиент

ping -s 1000 192.168.1.22
PING 192.168.1.22 (192.168.1.22): 1000 data bytes
1008 bytes from 192.168.1.22: icmp_seq=0 ttl=64 time=2.781 ms
1008 bytes from 192.168.1.22: icmp_seq=1 ttl=64 time=2.608 ms
1008 bytes from 192.168.1.22: icmp_seq=2 ttl=64 time=2.627 ms
1008 bytes from 192.168.1.22: icmp_seq=3 ttl=64 time=2.626 ms
1008 bytes from 192.168.1.22: icmp_seq=4 ttl=64 time=2.622 ms

Вот 2-й клиент

aspect# ping -s 1000 192.168.1.240
PING 192.168.1.240 (192.168.1.240): 1000 data bytes
1008 bytes from 192.168.1.240: icmp_seq=0 ttl=128 time=1.025 ms
1008 bytes from 192.168.1.240: icmp_seq=1 ttl=128 time=0.818 ms
1008 bytes from 192.168.1.240: icmp_seq=2 ttl=128 time=0.872 ms
1008 bytes from 192.168.1.240: icmp_seq=3 ttl=128 time=0.838 ms
1008 bytes from 192.168.1.240: icmp_seq=4 ttl=128 time=0.821 ms

 

Оба клиента находятся на 1 свитче в соседних портах. :( Разница в пинге есть.. Это не метод.

Link to post
Share on other sites

Тут еще играет сам комп.....

Если он новый и с нормальной сетевухой,то пинг будет естественно пониже.

А если там какая то развалюха, то по пингу можно будет сказать шо он вообще не из твоей сети.

Link to post
Share on other sites

Никто не пользовался такой вот прелестью как livemac ?

Модуль к ядру. Некий Российский умелец наваял. Замену MAC+IP делает безсмысленной тратой времени.

Link to post
Share on other sites
Вот 1-й клиент

ping -s 1000 192.168.1.22
PING 192.168.1.22 (192.168.1.22): 1000 data bytes
1008 bytes from 192.168.1.22: icmp_seq=0 ttl=64 time=2.781 ms
1008 bytes from 192.168.1.22: icmp_seq=1 ttl=64 time=2.608 ms
1008 bytes from 192.168.1.22: icmp_seq=2 ttl=64 time=2.627 ms
1008 bytes from 192.168.1.22: icmp_seq=3 ttl=64 time=2.626 ms
1008 bytes from 192.168.1.22: icmp_seq=4 ttl=64 time=2.622 ms

Вот 2-й клиент

aspect# ping -s 1000 192.168.1.240
PING 192.168.1.240 (192.168.1.240): 1000 data bytes
1008 bytes from 192.168.1.240: icmp_seq=0 ttl=128 time=1.025 ms
1008 bytes from 192.168.1.240: icmp_seq=1 ttl=128 time=0.818 ms
1008 bytes from 192.168.1.240: icmp_seq=2 ttl=128 time=0.872 ms
1008 bytes from 192.168.1.240: icmp_seq=3 ttl=128 time=0.838 ms
1008 bytes from 192.168.1.240: icmp_seq=4 ttl=128 time=0.821 ms

 

Оба клиента находятся на 1 свитче в соседних портах. :( Разница в пинге есть.. Это не метод.

или я чего-то не понял или кто-то не то прочитал

суть метода как раз в том, чтобы отличать каждого клиента по пингам

Link to post
Share on other sites

Пинг не подходит однозначно так как зависит от сетевухи, компа и даже ОС. Слышал что прохождение через свич меняет чтото в стеке ТСП... Может кто знает?

Link to post
Share on other sites
Никто не пользовался такой вот прелестью как livemac ?

Модуль к ядру. Некий Российский умелец наваял. Замену MAC+IP  делает безсмысленной тратой времени.

А ссылочку мошеш дать где можно скачать.

Link to post
Share on other sites

На nag.ru и на uinc.ru было по статье на эту тему.

А ещё на этом форуме было исписано достаточно.

 

2Алик: ya.ru дал всего 1 ссылку на livemac

Если у кого есть сырцы - плиз, выложите ссылку или на xor<бобик>elizovo.ru и я выложу у себя )

Штучка меня заинтересовала.

 

2drb: arpwatch и при любых шевелениях в сети arping.

Хотя надо у консоли сидеть постоянно + результат негарантирован.

Можно ещё tcpdump запустить и с бубном попрыгать вокруг )

 

2Foster: имхо, этот способ себя оправдывает, если есть узкие участки сети.

Например у меня 2 участка одной сетки соединены 2мбитными дсл модемами.

Вот там, спору нет, пинг 50-500мс, сразу видно, откуда )

А остальные места, где 10/100, однозначно не определишь, если компов > 100 и, тем более, сетка в разные стороны, как паутина.

Link to post
Share on other sites
2Foster: имхо, этот способ себя оправдывает, если есть узкие участки сети.

Например у меня 2 участка одной сетки соединены 2мбитными дсл модемами.

Вот там, спору нет, пинг 50-500мс, сразу видно, откуда )

А остальные места, где 10/100, однозначно не определишь, если компов > 100 и, тем более, сетка в разные стороны, как паутина.

кажется я так и говорил... насчет размеров сети

это был просто пример как я у себя однажды с точностью 100% обнаружил клиента, который поставил себе еще одну тачку

Link to post
Share on other sites
  • 3 weeks later...
  • 2 years later...

вот представте вредный юзер делает себе подменю мака предположим что он скопировал айпи и мак реального клиента, но еще не поставил себе только скопировал в блокнот. дождался пока комп с этим айпи выключился, отстоеденил кабель от своей сетевухи поменял айпи и мак и вот уже через минуту он в сети... вот тут и возникает идея в какой-нить програмке которая будет отслеживать все входы и выходы в сети.

Круг подозреваемых можно сузить, а потом если сравнить со статистикой начала хищения трафика, то можно понять кто это сделал.

Link to post
Share on other sites
вот представте вредный юзер делает себе подменю мака предположим что он скопировал айпи и мак реального клиента, но еще не поставил себе только скопировал в блокнот. дождался пока комп с этим айпи выключился, отстоеденил кабель от своей сетевухи поменял айпи и мак и вот уже через минуту он в сети... вот тут и возникает идея в какой-нить програмке которая будет отслеживать все входы и выходы в сети.

Круг подозреваемых можно сузить, а потом если сравнить со статистикой начала хищения трафика, то можно понять кто это сделал.

ну сейчас в моде анлимы, так что и смысла у соседа траф п*здить особо-то нет :(

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...