kvirtu 315 Posted 2013-03-21 11:13:16 Share Posted 2013-03-21 11:13:16 В сети завелся шуршик, перебирающий МАС-адреса. Сетка на мыльницах, адреса выдаются статически по DHCP. Как его вычислить без физического отключения портов ? Или без вариантов. спасибо. Link to post Share on other sites
onorua 126 Posted 2013-03-21 11:20:10 Share Posted 2013-03-21 11:20:10 (edited) на мыльницах без вариантов. Если идет толпа мыльниц, а дальше какой-то управляемый свитч, можно включить local_opt_82(если это dlink), по логам dhcp сервера будет ясно с какого сегмента пришло. Edited 2013-03-21 11:20:28 by onorua Link to post Share on other sites
hex@set 1,423 Posted 2013-03-21 11:35:59 Share Posted 2013-03-21 11:35:59 (edited) В сети завелся шуршик, перебирающий МАС-адреса. Сетка на мыльницах, адреса выдаются статически по DHCP. Как его вычислить без физического отключения портов ? Или без вариантов. спасибо. Да че там никак. Позвони расскажу что и как логировать. Когда сеть была плоской и неуправляемой пользовался частенько. И в 99% вычислял сразу, либо сужал круг до подтверждения выдергиваеием одного двух портов. Edited 2013-03-21 11:38:24 by hex@set Link to post Share on other sites
onorua 126 Posted 2013-03-21 11:41:10 Share Posted 2013-03-21 11:41:10 может быть всем расскажете? мне вот например это интересно Link to post Share on other sites
Земеля 711 Posted 2013-03-21 11:46:58 Share Posted 2013-03-21 11:46:58 а что мешает 1 раз сесть в такси и поехать на гирлянду мыльниц и дергать там кабеля? если скупился на свичах и возникла проблема сочувствую на сэкономленные деньги будь любезен ехать на район дергать свичи Link to post Share on other sites
LV10 273 Posted 2013-03-21 11:55:20 Share Posted 2013-03-21 11:55:20 а что мешает 1 раз сесть в такси и поехать на гирлянду мыльниц и дергать там кабеля? если скупился на свичах и возникла проблема сочувствую на сэкономленные деньги будь любезен ехать на район дергать свичи пока доехал - перебор кончился Link to post Share on other sites
Земеля 711 Posted 2013-03-21 11:59:44 Share Posted 2013-03-21 11:59:44 а как вы видите перебор мака? если злоумышленник подобрал МАК, то он на нем сидит пару часов хотя он мог включить сниф и увидеть список всех маков и их ай-пи как вариант дроби гирлянду микроткиами \ умными свичами или еще чем-то и когда идет перебор отключай сразу сегментами Link to post Share on other sites
Sanito 127 Posted 2013-03-21 12:08:54 Share Posted 2013-03-21 12:08:54 Link to post Share on other sites
hex@set 1,423 Posted 2013-03-21 12:16:34 Share Posted 2013-03-21 12:16:34 может быть всем расскажете? мне вот например это интересно Форум читают и перебиральщики Link to post Share on other sites
inco 20 Posted 2013-03-21 12:21:52 Share Posted 2013-03-21 12:21:52 афтар пруф! Link to post Share on other sites
hex@set 1,423 Posted 2013-03-21 12:27:34 Share Posted 2013-03-21 12:27:34 Ностальжи.. http://forum.nag.ru/forum/index.php?showtopic=20060&view=findpost&p=178132 Link to post Share on other sites
sfc 17 Posted 2013-03-21 12:39:13 Share Posted 2013-03-21 12:39:13 (edited) В сети завелся шуршик, перебирающий МАС-адреса. Сетка на мыльницах... совершенно не понятно, зачем что-то перебирать, если сеть не управляемая? адреса выдаются статически по DHCP.это как? п.с. вернее, нафига это вам нужно? человек поменял себе сетевуху и снова к вам на поклон? Edited 2013-03-21 12:47:19 by sfc Link to post Share on other sites
Tux 24 Posted 2013-03-21 12:52:05 Share Posted 2013-03-21 12:52:05 (edited) п.с. вернее, нафига это вам нужно? человек поменял себе сетевуху и снова к вам на поклон? У нас такая-же схема. Вполне отлично. Абонент не заморачивается с настройками адресов на сетевой. А сетевки (компьютера, роутеры и т.д.) меняются не так уж и часто А по теме, только разбивать сеть на сегменты и смотреть откуда идут подмены, как выше писали можно взять одну управляемый коммутатор Edited 2013-03-21 12:53:24 by Tux Link to post Share on other sites
Гайджин 574 Posted 2013-03-21 13:01:38 Share Posted 2013-03-21 13:01:38 Да че там никак. Позвони расскажу что и как логировать. Когда сеть была плоской и неуправляемой пользовался частенько. И в 99% вычислял сразу, либо сужал круг до подтверждения выдергиваеием одного двух портов. В двух словах концепт алгоритма в личку озвучьте - ибо сомневаюсь я что прям как то так все легко. Link to post Share on other sites
sfc 17 Posted 2013-03-21 13:48:13 Share Posted 2013-03-21 13:48:13 п.с. вернее, нафига это вам нужно? человек поменял себе сетевуху и снова к вам на поклон? У нас такая-же схема. Вполне отлично. Абонент не заморачивается с настройками адресов на сетевой. А сетевки (компьютера, роутеры и т.д.) меняются не так уж и часто А по теме, только разбивать сеть на сегменты и смотреть откуда идут подмены, как выше писали можно взять одну управляемый коммутатор я не говорю про то, чтобы абоненту усложнять жизнь. я спрашиваю, зачем раздавать ip в связке с mac? я бы вас понял, если бы сеть была управляемой. а так вы сами себе создаете проблему. "шуршики заводятся" когда есть повод. уберите повод и шуршик сам по себе отвалится. kvirtu, сеть у вас большая? Link to post Share on other sites
kvirtu 315 Posted 2013-03-21 14:57:41 Author Share Posted 2013-03-21 14:57:41 (edited) Значит сетка в студ. общаге - думаю о многом скажет. Структура комнат и секций такова что один-два умных БОЛЬШИХ свича не поставишь (((( Один другому сказал логин и пароль, что бы не платить ..... вот и пробуют еще и МАК подобрать Вот кусочек лога DHCP, такого МАКа нет в базе клиентов, через некоторое время МАК другой, тоже не и базы клиентов 2013-03-21 16:44:04 hostnet DHCPDISCOVER from 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0 2013-03-21 16:44:04 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0 2013-03-21 16:44:02 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0 Edited 2013-03-21 14:58:30 by kvirtu Link to post Share on other sites
hex@set 1,423 Posted 2013-03-21 15:04:59 Share Posted 2013-03-21 15:04:59 (edited) Да че там никак. Позвони расскажу что и как логировать. Когда сеть была плоской и неуправляемой пользовался частенько. И в 99% вычислял сразу, либо сужал круг до подтверждения выдергиваеием одного двух портов. В двух словах концепт алгоритма в личку озвучьте - ибо сомневаюсь я что прям как то так все легко. Сбственно прожка отслеживает все изменения в сети. Кто когда включился, кто отключился. И подробный наглядный лог в связке по всем параметрам , мак , имя , тип системы итд. Пока сеть до 200 -300 машин очень упрощает жизнь. Очень часто людишки маскируясь меняют не все параметры одновременно, Достаточно одного отличия , чтобы обнаружить что сейчас комп не легитимный. Или одного параметра чтобы индетифицировать "кто" реально работает. И я не говорил что 100% панацея но от "кулхацкеров" помогает ) Edited 2013-03-21 15:06:01 by hex@set Link to post Share on other sites
sfc 17 Posted 2013-03-21 15:28:16 Share Posted 2013-03-21 15:28:16 Значит сетка в студ. общаге - думаю о многом скажет. Структура комнат и секций такова что один-два умных БОЛЬШИХ свича не поставишь (((( Один другому сказал логин и пароль, что бы не платить ..... вот и пробуют еще и МАК подобрать Вот кусочек лога DHCP, такого МАКа нет в базе клиентов, через некоторое время МАК другой, тоже не и базы клиентов 2013-03-21 16:44:04 hostnet DHCPDISCOVER from 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0 2013-03-21 16:44:04 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0 2013-03-21 16:44:02 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0 общага - это сила... случайно не факультет программеров? я так понимаю, что "платят" вам за возможность доступа в интернет? оплата по трафику или как? у вас пограничный маршрутизатор аппаратный или стоит комп, выполняющий функции nat, биллинга? отключите нафик этот мас-контроль! если nat реализован на компе, то поставьте на нем, нет - подключите свой сервер, на котором реализуйте радиус, биллинг и доступ в и-нет через vpn. соответственно, одновременно выход в интернет по одному логину сможет только один пользователь. если пользователь с кем-то "поделился" своими регистрационными данными, то и пусть платит за путешествия "друга" по и-нету. настройте радиус так, чтобы при одновременном подключении двух устройств по одному логину, этот аккаунт блокировался. разблокировать можете только вы. введите штраф за распространение логина и пароля. а вообще, глупости какие-то. если мне "вася" дал свой логин и пароль, то что мешает этому же "васе" дать мне свой mac? Link to post Share on other sites
kvirtu 315 Posted 2013-03-21 15:39:51 Author Share Posted 2013-03-21 15:39:51 Значит сетка в студ. общаге - думаю о многом скажет. Структура комнат и секций такова что один-два умных БОЛЬШИХ свича не поставишь (((( Один другому сказал логин и пароль, что бы не платить ..... вот и пробуют еще и МАК подобрать Вот кусочек лога DHCP, такого МАКа нет в базе клиентов, через некоторое время МАК другой, тоже не и базы клиентов 2013-03-21 16:44:04 hostnet DHCPDISCOVER from 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0 2013-03-21 16:44:04 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0 2013-03-21 16:44:02 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0 общага - это сила... случайно не факультет программеров? я так понимаю, что "платят" вам за возможность доступа в интернет? оплата по трафику или как? у вас пограничный маршрутизатор аппаратный или стоит комп, выполняющий функции nat, биллинга? отключите нафик этот мас-контроль! если nat реализован на компе, то поставьте на нем, нет - подключите свой сервер, на котором реализуйте радиус, биллинг и доступ в и-нет через vpn. соответственно, одновременно выход в интернет по одному логину сможет только один пользователь. если пользователь с кем-то "поделился" своими регистрационными данными, то и пусть платит за путешествия "друга" по и-нету. настройте радиус так, чтобы при одновременном подключении двух устройств по одному логину, этот аккаунт блокировался. разблокировать можете только вы. введите штраф за распространение логина и пароля. а вообще, глупости какие-то. если мне "вася" дал свой логин и пароль, то что мешает этому же "васе" дать мне свой mac? Интересно это тока у меня кроме логина и пароля еще МАК привязка идет ??? Логин и пароль указаны на карточке клиента, тут особого труда передать кому-то не составляет. С МАС-адресом тут уже мозги нужны: где его глянуть, как поменять ..... Link to post Share on other sites
sfc 17 Posted 2013-03-21 15:49:36 Share Posted 2013-03-21 15:49:36 Интересно это тока у меня кроме логина и пароля еще МАК привязка идет ??? у операторов такого вообще нет. вы представляете как проводить mac-контроль, когда у тебя тысячи абонентов? С МАС-адресом тут уже мозги нужны: где его глянуть, как поменять ..... это и не всегда реально возможно сделать. ладно. вы мне так и не ответили как у вас проводится аутентификация пользователя. есть идея. но, нужно понимать, как ее реализовать. Link to post Share on other sites
kvirtu 315 Posted 2013-03-21 15:56:24 Author Share Posted 2013-03-21 15:56:24 Интересно это тока у меня кроме логина и пароля еще МАК привязка идет ??? у операторов такого вообще нет. вы представляете как проводить mac-контроль, когда у тебя тысячи абонентов? С МАС-адресом тут уже мозги нужны: где его глянуть, как поменять ..... это и не всегда реально возможно сделать. ладно. вы мне так и не ответили как у вас проводится аутентификация пользователя. есть идея. но, нужно понимать, как ее реализовать. В сетке: статический DHCP: IP+MAC В инет: PPPOE: login+password (Poоl_IP+MAC) Link to post Share on other sites
sfc 17 Posted 2013-03-21 16:02:07 Share Posted 2013-03-21 16:02:07 В инет: PPPOE у вас для этого радиус стоит или что? Link to post Share on other sites
kvirtu 315 Posted 2013-03-21 16:18:34 Author Share Posted 2013-03-21 16:18:34 В инет: PPPOE у вас для этого радиус стоит или что? уху Link to post Share on other sites
sfc 17 Posted 2013-03-21 16:26:47 Share Posted 2013-03-21 16:26:47 (edited) В инет: PPPOE у вас для этого радиус стоит или что? уху сообразите сетевой "смс-пейджер" или что-то подобное... в целом, найдите способ реализовать этот алгоритм аутентификации... и "шуршикам" будет *опа! Edited 2013-03-21 16:29:19 by sfc Link to post Share on other sites
mr.Scamp 41 Posted 2013-03-21 16:42:19 Share Posted 2013-03-21 16:42:19 Значит сетка в студ. общаге - думаю о многом скажет. Структура комнат и секций такова что один-два умных БОЛЬШИХ свича не поставишь (((( Один другому сказал логин и пароль, что бы не платить ..... вот и пробуют еще и МАК подобрать Вот кусочек лога DHCP, такого МАКа нет в базе клиентов, через некоторое время МАК другой, тоже не и базы клиентов 2013-03-21 16:44:04 hostnet DHCPDISCOVER from 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0 2013-03-21 16:44:04 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0 2013-03-21 16:44:02 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0 Хостнейм DHCP-dropper говорит о том, что скорее всего маки перебирают не студенты вручную, в надежде попасть на рабочее сочетание, чтобы посидеть нахаляву, а делает это программа, которой атакуют вашу сеть с целью вызвать отказ в обслуживании DHCP-сервера, из-за переполнения пула адресов. Возможно, эта http://www.opennet.ru/prog/info/3604.shtml Если это так, то ищите внедрившихся недоброжелаетелей. Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now