kvirtu 315 Опубликовано: 2013-03-21 11:13:16 Share Опубликовано: 2013-03-21 11:13:16 В сети завелся шуршик, перебирающий МАС-адреса. Сетка на мыльницах, адреса выдаются статически по DHCP. Как его вычислить без физического отключения портов ? Или без вариантов. спасибо. Ссылка на сообщение Поделиться на других сайтах
onorua 126 Опубліковано: 2013-03-21 11:20:10 Share Опубліковано: 2013-03-21 11:20:10 (відредаговано) на мыльницах без вариантов. Если идет толпа мыльниц, а дальше какой-то управляемый свитч, можно включить local_opt_82(если это dlink), по логам dhcp сервера будет ясно с какого сегмента пришло. Відредаговано 2013-03-21 11:20:28 onorua Ссылка на сообщение Поделиться на других сайтах
onorua 126 Опубліковано: 2013-03-21 11:41:10 Share Опубліковано: 2013-03-21 11:41:10 может быть всем расскажете? мне вот например это интересно Ссылка на сообщение Поделиться на других сайтах
Земеля 728 Опубліковано: 2013-03-21 11:46:58 Share Опубліковано: 2013-03-21 11:46:58 а что мешает 1 раз сесть в такси и поехать на гирлянду мыльниц и дергать там кабеля? если скупился на свичах и возникла проблема сочувствую на сэкономленные деньги будь любезен ехать на район дергать свичи Ссылка на сообщение Поделиться на других сайтах
LV10 281 Опубліковано: 2013-03-21 11:55:20 Share Опубліковано: 2013-03-21 11:55:20 а что мешает 1 раз сесть в такси и поехать на гирлянду мыльниц и дергать там кабеля? если скупился на свичах и возникла проблема сочувствую на сэкономленные деньги будь любезен ехать на район дергать свичи пока доехал - перебор кончился Ссылка на сообщение Поделиться на других сайтах
Земеля 728 Опубліковано: 2013-03-21 11:59:44 Share Опубліковано: 2013-03-21 11:59:44 а как вы видите перебор мака? если злоумышленник подобрал МАК, то он на нем сидит пару часов хотя он мог включить сниф и увидеть список всех маков и их ай-пи как вариант дроби гирлянду микроткиами \ умными свичами или еще чем-то и когда идет перебор отключай сразу сегментами Ссылка на сообщение Поделиться на других сайтах
Sanito 129 Опубліковано: 2013-03-21 12:08:54 Share Опубліковано: 2013-03-21 12:08:54 Ссылка на сообщение Поделиться на других сайтах
inco 20 Опубліковано: 2013-03-21 12:21:52 Share Опубліковано: 2013-03-21 12:21:52 афтар пруф! Ссылка на сообщение Поделиться на других сайтах
sfc 17 Опубліковано: 2013-03-21 12:39:13 Share Опубліковано: 2013-03-21 12:39:13 (відредаговано) В сети завелся шуршик, перебирающий МАС-адреса. Сетка на мыльницах... совершенно не понятно, зачем что-то перебирать, если сеть не управляемая? адреса выдаются статически по DHCP.это как? п.с. вернее, нафига это вам нужно? человек поменял себе сетевуху и снова к вам на поклон? Відредаговано 2013-03-21 12:47:19 sfc Ссылка на сообщение Поделиться на других сайтах
Tux 24 Опубліковано: 2013-03-21 12:52:05 Share Опубліковано: 2013-03-21 12:52:05 (відредаговано) п.с. вернее, нафига это вам нужно? человек поменял себе сетевуху и снова к вам на поклон? У нас такая-же схема. Вполне отлично. Абонент не заморачивается с настройками адресов на сетевой. А сетевки (компьютера, роутеры и т.д.) меняются не так уж и часто А по теме, только разбивать сеть на сегменты и смотреть откуда идут подмены, как выше писали можно взять одну управляемый коммутатор Відредаговано 2013-03-21 12:53:24 Tux Ссылка на сообщение Поделиться на других сайтах
Гайджин 574 Опубліковано: 2013-03-21 13:01:38 Share Опубліковано: 2013-03-21 13:01:38 Да че там никак. Позвони расскажу что и как логировать. Когда сеть была плоской и неуправляемой пользовался частенько. И в 99% вычислял сразу, либо сужал круг до подтверждения выдергиваеием одного двух портов. В двух словах концепт алгоритма в личку озвучьте - ибо сомневаюсь я что прям как то так все легко. Ссылка на сообщение Поделиться на других сайтах
sfc 17 Опубліковано: 2013-03-21 13:48:13 Share Опубліковано: 2013-03-21 13:48:13 п.с. вернее, нафига это вам нужно? человек поменял себе сетевуху и снова к вам на поклон? У нас такая-же схема. Вполне отлично. Абонент не заморачивается с настройками адресов на сетевой. А сетевки (компьютера, роутеры и т.д.) меняются не так уж и часто А по теме, только разбивать сеть на сегменты и смотреть откуда идут подмены, как выше писали можно взять одну управляемый коммутатор я не говорю про то, чтобы абоненту усложнять жизнь. я спрашиваю, зачем раздавать ip в связке с mac? я бы вас понял, если бы сеть была управляемой. а так вы сами себе создаете проблему. "шуршики заводятся" когда есть повод. уберите повод и шуршик сам по себе отвалится. kvirtu, сеть у вас большая? Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2013-03-21 14:57:41 Автор Share Опубліковано: 2013-03-21 14:57:41 (відредаговано) Значит сетка в студ. общаге - думаю о многом скажет. Структура комнат и секций такова что один-два умных БОЛЬШИХ свича не поставишь (((( Один другому сказал логин и пароль, что бы не платить ..... вот и пробуют еще и МАК подобрать Вот кусочек лога DHCP, такого МАКа нет в базе клиентов, через некоторое время МАК другой, тоже не и базы клиентов 2013-03-21 16:44:04 hostnet DHCPDISCOVER from 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0 2013-03-21 16:44:04 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0 2013-03-21 16:44:02 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0 Відредаговано 2013-03-21 14:58:30 kvirtu Ссылка на сообщение Поделиться на других сайтах
sfc 17 Опубліковано: 2013-03-21 15:28:16 Share Опубліковано: 2013-03-21 15:28:16 Значит сетка в студ. общаге - думаю о многом скажет. Структура комнат и секций такова что один-два умных БОЛЬШИХ свича не поставишь (((( Один другому сказал логин и пароль, что бы не платить ..... вот и пробуют еще и МАК подобрать Вот кусочек лога DHCP, такого МАКа нет в базе клиентов, через некоторое время МАК другой, тоже не и базы клиентов 2013-03-21 16:44:04 hostnet DHCPDISCOVER from 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0 2013-03-21 16:44:04 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0 2013-03-21 16:44:02 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0 общага - это сила... случайно не факультет программеров? я так понимаю, что "платят" вам за возможность доступа в интернет? оплата по трафику или как? у вас пограничный маршрутизатор аппаратный или стоит комп, выполняющий функции nat, биллинга? отключите нафик этот мас-контроль! если nat реализован на компе, то поставьте на нем, нет - подключите свой сервер, на котором реализуйте радиус, биллинг и доступ в и-нет через vpn. соответственно, одновременно выход в интернет по одному логину сможет только один пользователь. если пользователь с кем-то "поделился" своими регистрационными данными, то и пусть платит за путешествия "друга" по и-нету. настройте радиус так, чтобы при одновременном подключении двух устройств по одному логину, этот аккаунт блокировался. разблокировать можете только вы. введите штраф за распространение логина и пароля. а вообще, глупости какие-то. если мне "вася" дал свой логин и пароль, то что мешает этому же "васе" дать мне свой mac? Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2013-03-21 15:39:51 Автор Share Опубліковано: 2013-03-21 15:39:51 Значит сетка в студ. общаге - думаю о многом скажет. Структура комнат и секций такова что один-два умных БОЛЬШИХ свича не поставишь (((( Один другому сказал логин и пароль, что бы не платить ..... вот и пробуют еще и МАК подобрать Вот кусочек лога DHCP, такого МАКа нет в базе клиентов, через некоторое время МАК другой, тоже не и базы клиентов 2013-03-21 16:44:04 hostnet DHCPDISCOVER from 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0 2013-03-21 16:44:04 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0 2013-03-21 16:44:02 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0 общага - это сила... случайно не факультет программеров? я так понимаю, что "платят" вам за возможность доступа в интернет? оплата по трафику или как? у вас пограничный маршрутизатор аппаратный или стоит комп, выполняющий функции nat, биллинга? отключите нафик этот мас-контроль! если nat реализован на компе, то поставьте на нем, нет - подключите свой сервер, на котором реализуйте радиус, биллинг и доступ в и-нет через vpn. соответственно, одновременно выход в интернет по одному логину сможет только один пользователь. если пользователь с кем-то "поделился" своими регистрационными данными, то и пусть платит за путешествия "друга" по и-нету. настройте радиус так, чтобы при одновременном подключении двух устройств по одному логину, этот аккаунт блокировался. разблокировать можете только вы. введите штраф за распространение логина и пароля. а вообще, глупости какие-то. если мне "вася" дал свой логин и пароль, то что мешает этому же "васе" дать мне свой mac? Интересно это тока у меня кроме логина и пароля еще МАК привязка идет ??? Логин и пароль указаны на карточке клиента, тут особого труда передать кому-то не составляет. С МАС-адресом тут уже мозги нужны: где его глянуть, как поменять ..... Ссылка на сообщение Поделиться на других сайтах
sfc 17 Опубліковано: 2013-03-21 15:49:36 Share Опубліковано: 2013-03-21 15:49:36 Интересно это тока у меня кроме логина и пароля еще МАК привязка идет ??? у операторов такого вообще нет. вы представляете как проводить mac-контроль, когда у тебя тысячи абонентов? С МАС-адресом тут уже мозги нужны: где его глянуть, как поменять ..... это и не всегда реально возможно сделать. ладно. вы мне так и не ответили как у вас проводится аутентификация пользователя. есть идея. но, нужно понимать, как ее реализовать. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2013-03-21 15:56:24 Автор Share Опубліковано: 2013-03-21 15:56:24 Интересно это тока у меня кроме логина и пароля еще МАК привязка идет ??? у операторов такого вообще нет. вы представляете как проводить mac-контроль, когда у тебя тысячи абонентов? С МАС-адресом тут уже мозги нужны: где его глянуть, как поменять ..... это и не всегда реально возможно сделать. ладно. вы мне так и не ответили как у вас проводится аутентификация пользователя. есть идея. но, нужно понимать, как ее реализовать. В сетке: статический DHCP: IP+MAC В инет: PPPOE: login+password (Poоl_IP+MAC) Ссылка на сообщение Поделиться на других сайтах
sfc 17 Опубліковано: 2013-03-21 16:02:07 Share Опубліковано: 2013-03-21 16:02:07 В инет: PPPOE у вас для этого радиус стоит или что? Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2013-03-21 16:18:34 Автор Share Опубліковано: 2013-03-21 16:18:34 В инет: PPPOE у вас для этого радиус стоит или что? уху Ссылка на сообщение Поделиться на других сайтах
sfc 17 Опубліковано: 2013-03-21 16:26:47 Share Опубліковано: 2013-03-21 16:26:47 (відредаговано) В инет: PPPOE у вас для этого радиус стоит или что? уху сообразите сетевой "смс-пейджер" или что-то подобное... в целом, найдите способ реализовать этот алгоритм аутентификации... и "шуршикам" будет *опа! Відредаговано 2013-03-21 16:29:19 sfc Ссылка на сообщение Поделиться на других сайтах
mr.Scamp 41 Опубліковано: 2013-03-21 16:42:19 Share Опубліковано: 2013-03-21 16:42:19 Значит сетка в студ. общаге - думаю о многом скажет. Структура комнат и секций такова что один-два умных БОЛЬШИХ свича не поставишь (((( Один другому сказал логин и пароль, что бы не платить ..... вот и пробуют еще и МАК подобрать Вот кусочек лога DHCP, такого МАКа нет в базе клиентов, через некоторое время МАК другой, тоже не и базы клиентов 2013-03-21 16:44:04 hostnet DHCPDISCOVER from 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0 2013-03-21 16:44:04 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0 2013-03-21 16:44:02 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0 Хостнейм DHCP-dropper говорит о том, что скорее всего маки перебирают не студенты вручную, в надежде попасть на рабочее сочетание, чтобы посидеть нахаляву, а делает это программа, которой атакуют вашу сеть с целью вызвать отказ в обслуживании DHCP-сервера, из-за переполнения пула адресов. Возможно, эта http://www.opennet.ru/prog/info/3604.shtml Если это так, то ищите внедрившихся недоброжелаетелей. Ссылка на сообщение Поделиться на других сайтах
kvirtu 315 Опубліковано: 2013-03-21 16:43:47 Автор Share Опубліковано: 2013-03-21 16:43:47 В инет: PPPOE у вас для этого радиус стоит или что? уху и "шуршикам" будет *опа! Их я найду все равно, и опу сделаю ! Просто перебор идет не постоянно, а через 10,13, 23, 47 минут .. ..... Ссылка на сообщение Поделиться на других сайтах
sfc 17 Опубліковано: 2013-03-21 16:50:55 Share Опубліковано: 2013-03-21 16:50:55 нихрена себе не постоянно... да это кто-то стабильно долбит... Ссылка на сообщение Поделиться на других сайтах
sfc 17 Опубліковано: 2013-03-21 16:52:06 Share Опубліковано: 2013-03-21 16:52:06 это ежедневно происходит? Ссылка на сообщение Поделиться на других сайтах
zulu_Radist 856 Опубліковано: 2013-03-21 17:00:40 Share Опубліковано: 2013-03-21 17:00:40 (відредаговано) когда с баблом туго, такие дела решаются с одним управляемым свитчем и одним гонцом) сначала ставим упрсвитч в начале дерева, определяется направление, и потом по веточке идем вниз. если злоумышленника не успели выловить в следующей ветке, можно оставить свитч на ночь, и логи сыпать куда-нибудь, на утречко перебрать) ничего сложного, было бы желание и время) поверьте у нас такой секс был, 60 тупых свитчей в одной колбасе, я ипал нах Відредаговано 2013-03-21 17:03:12 zulu_Radist Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас