Как вычислить кто перебирает MAC-адреса.

[kvirtu 315]

В сети завелся шуршик, перебирающий МАС-адреса.

Сетка на мыльницах, адреса выдаются статически по DHCP.

Как его вычислить без физического отключения портов ?

Или без вариантов.

спасибо.

[onorua 126]

на мыльницах без вариантов. Если идет толпа мыльниц, а дальше какой-то управляемый свитч, можно включить local_opt_82(если это dlink), по логам dhcp  сервера будет ясно с какого сегмента пришло. 

Відредаговано 2013-03-21 11:20:28 onorua

[hex@set 1 423]

В сети завелся шуршик, перебирающий МАС-адреса.

Сетка на мыльницах, адреса выдаются статически по DHCP.

Как его вычислить без физического отключения портов ?

Или без вариантов.

спасибо.

Да че там никак. Позвони расскажу что и как логировать.

Когда сеть была плоской и неуправляемой пользовался частенько. И в 99% вычислял сразу, либо сужал круг до подтверждения выдергиваеием одного двух портов. 

Відредаговано 2013-03-21 11:38:24 hex@set

[onorua 126]

может быть всем расскажете? мне вот например это интересно 

[Земеля 714]

а что мешает 1 раз сесть в такси и поехать на гирлянду мыльниц и дергать там кабеля? если скупился на свичах и возникла проблема сочувствую на сэкономленные деньги будь любезен ехать на район дергать свичи 

[LV10 275]

а что мешает 1 раз сесть в такси и поехать на гирлянду мыльниц и дергать там кабеля? если скупился на свичах и возникла проблема сочувствую на сэкономленные деньги будь любезен ехать на район дергать свичи 

 

пока доехал - перебор кончился

[Земеля 714]

а как вы видите перебор мака?  если злоумышленник подобрал МАК, то он на нем сидит пару часов 

хотя он мог включить сниф и увидеть список всех маков и их ай-пи 

как вариант дроби гирлянду микроткиами \ умными свичами или еще чем-то и когда идет перебор отключай сразу сегментами 

[Sanito 127]

[hex@set 1 423]

может быть всем расскажете? мне вот например это интересно 

Форум читают и перебиральщики

[inco 20]

афтар пруф!

[hex@set 1 423]

Ностальжи..   http://forum.nag.ru/forum/index.php?showtopic=20060&view=findpost&p=178132

[sfc 17]

В сети завелся шуршик, перебирающий МАС-адреса.

Сетка на мыльницах...

совершенно не понятно, зачем что-то перебирать, если сеть не управляемая?

адреса выдаются статически по DHCP.

это как?

п.с. вернее, нафига это вам нужно? человек поменял себе сетевуху и снова к вам на поклон?

Відредаговано 2013-03-21 12:47:19 sfc

[Tux 24]

 

 

п.с. вернее, нафига это вам нужно? человек поменял себе сетевуху и снова к вам на поклон?

У нас такая-же схема. Вполне отлично. Абонент не заморачивается с настройками адресов на сетевой. А сетевки (компьютера, роутеры и т.д.) меняются не так уж и часто

А по теме, только разбивать сеть на сегменты и смотреть откуда идут подмены, как выше писали можно взять одну управляемый коммутатор

Відредаговано 2013-03-21 12:53:24 Tux

[Гайджин 574]

Да че там никак. Позвони расскажу что и как логировать.

Когда сеть была плоской и неуправляемой пользовался частенько. И в 99% вычислял сразу, либо сужал круг до подтверждения выдергиваеием одного двух портов.

В двух словах концепт алгоритма в личку озвучьте - ибо сомневаюсь я что прям как то так все легко.

[sfc 17]

 

 

 

п.с. вернее, нафига это вам нужно? человек поменял себе сетевуху и снова к вам на поклон?

У нас такая-же схема. Вполне отлично. Абонент не заморачивается с настройками адресов на сетевой. А сетевки (компьютера, роутеры и т.д.) меняются не так уж и часто

А по теме, только разбивать сеть на сегменты и смотреть откуда идут подмены, как выше писали можно взять одну управляемый коммутатор

я не говорю про то, чтобы абоненту усложнять жизнь. я спрашиваю, зачем раздавать ip в связке с mac?

я бы вас понял, если бы сеть была управляемой. а так вы сами себе создаете проблему.

"шуршики заводятся" когда есть повод.

уберите повод и шуршик сам по себе отвалится.

 

kvirtu, сеть у вас большая?

[kvirtu 315]

Значит сетка в студ. общаге - думаю о многом скажет. Структура комнат и секций такова что один-два умных БОЛЬШИХ свича не поставишь ((((

Один другому сказал логин и пароль, что бы не платить ..... вот и пробуют еще и МАК подобрать

Вот кусочек лога DHCP, такого МАКа нет в базе клиентов, через некоторое время МАК другой, тоже не и базы клиентов

2013-03-21 16:44:04 hostnet DHCPDISCOVER from 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0

2013-03-21 16:44:04 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0

2013-03-21 16:44:02 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0

Відредаговано 2013-03-21 14:58:30 kvirtu

[hex@set 1 423]

 

 

Да че там никак. Позвони расскажу что и как логировать.

Когда сеть была плоской и неуправляемой пользовался частенько. И в 99% вычислял сразу, либо сужал круг до подтверждения выдергиваеием одного двух портов.

В двух словах концепт алгоритма в личку озвучьте - ибо сомневаюсь я что прям как то так все легко.

 

 

Сбственно прожка отслеживает все изменения в сети. Кто когда включился, кто отключился. И подробный наглядный лог в связке по всем параметрам , мак , имя , тип системы итд. Пока сеть до 200 -300 машин очень упрощает жизнь. Очень часто людишки маскируясь меняют не все параметры одновременно, Достаточно одного отличия , чтобы обнаружить что сейчас комп не легитимный. Или одного параметра чтобы индетифицировать "кто" реально работает.

И я не говорил что 100% панацея но от "кулхацкеров" помогает )

Відредаговано 2013-03-21 15:06:01 hex@set

[sfc 17]

Значит сетка в студ. общаге - думаю о многом скажет. Структура комнат и секций такова что один-два умных БОЛЬШИХ свича не поставишь ((((

Один другому сказал логин и пароль, что бы не платить ..... вот и пробуют еще и МАК подобрать

Вот кусочек лога DHCP, такого МАКа нет в базе клиентов, через некоторое время МАК другой, тоже не и базы клиентов

2013-03-21 16:44:04 hostnet DHCPDISCOVER from 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0

2013-03-21 16:44:04 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0

2013-03-21 16:44:02 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0

общага - это сила... случайно не факультет программеров?

 

я так понимаю, что "платят" вам за возможность доступа в интернет?

оплата по трафику или как? у вас пограничный маршрутизатор аппаратный или стоит комп, выполняющий функции nat, биллинга?

 

отключите нафик этот мас-контроль! если nat реализован на компе, то поставьте на нем, нет - подключите свой сервер, на котором реализуйте радиус, биллинг и доступ в и-нет через vpn. соответственно, одновременно выход в интернет по одному логину сможет только один пользователь. если пользователь с кем-то "поделился" своими регистрационными данными, то и пусть платит за путешествия "друга" по и-нету. настройте радиус так, чтобы при одновременном подключении двух устройств по одному логину, этот аккаунт блокировался. разблокировать можете только вы. введите штраф за распространение логина и пароля.

 

а вообще, глупости какие-то. если мне "вася" дал свой логин и пароль, то что мешает этому же "васе" дать мне свой mac?

[kvirtu 315]

 

Значит сетка в студ. общаге - думаю о многом скажет. Структура комнат и секций такова что один-два умных БОЛЬШИХ свича не поставишь ((((

Один другому сказал логин и пароль, что бы не платить ..... вот и пробуют еще и МАК подобрать

Вот кусочек лога DHCP, такого МАКа нет в базе клиентов, через некоторое время МАК другой, тоже не и базы клиентов

2013-03-21 16:44:04 hostnet DHCPDISCOVER from 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0

2013-03-21 16:44:04 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0

2013-03-21 16:44:02 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0

общага - это сила... случайно не факультет программеров?

 

я так понимаю, что "платят" вам за возможность доступа в интернет?

оплата по трафику или как? у вас пограничный маршрутизатор аппаратный или стоит комп, выполняющий функции nat, биллинга?

 

отключите нафик этот мас-контроль! если nat реализован на компе, то поставьте на нем, нет - подключите свой сервер, на котором реализуйте радиус, биллинг и доступ в и-нет через vpn. соответственно, одновременно выход в интернет по одному логину сможет только один пользователь. если пользователь с кем-то "поделился" своими регистрационными данными, то и пусть платит за путешествия "друга" по и-нету. настройте радиус так, чтобы при одновременном подключении двух устройств по одному логину, этот аккаунт блокировался. разблокировать можете только вы. введите штраф за распространение логина и пароля.

 

а вообще, глупости какие-то. если мне "вася" дал свой логин и пароль, то что мешает этому же "васе" дать мне свой mac?

Интересно это тока у меня кроме логина и пароля еще МАК привязка идет ???

Логин и пароль указаны на карточке клиента, тут особого труда передать кому-то не составляет. С МАС-адресом тут уже мозги нужны: где его глянуть, как поменять .....

[sfc 17]

Интересно это тока у меня кроме логина и пароля еще МАК привязка идет ???

 

у операторов такого вообще нет. вы представляете как проводить mac-контроль, когда у тебя тысячи абонентов?

 

 

 

С МАС-адресом тут уже мозги нужны: где его глянуть, как поменять .....

это и не всегда реально возможно сделать.

 

ладно. вы мне так и не ответили как у вас проводится аутентификация пользователя. есть идея. но, нужно понимать, как ее реализовать.

[kvirtu 315]

 

Интересно это тока у меня кроме логина и пароля еще МАК привязка идет ???

 

у операторов такого вообще нет. вы представляете как проводить mac-контроль, когда у тебя тысячи абонентов?

 

 

 

 

С МАС-адресом тут уже мозги нужны: где его глянуть, как поменять .....

это и не всегда реально возможно сделать.

 

ладно. вы мне так и не ответили как у вас проводится аутентификация пользователя. есть идея. но, нужно понимать, как ее реализовать.

 

В сетке: статический DHCP: IP+MAC

В инет: PPPOE: login+password (Poоl_IP+MAC)

[sfc 17]

В инет: PPPOE

у вас для этого радиус стоит или что?

[kvirtu 315]

 

В инет: PPPOE

у вас для этого радиус стоит или что?

уху

[sfc 17]

 

 

В инет: PPPOE

у вас для этого радиус стоит или что?

уху

сообразите сетевой "смс-пейджер" или что-то подобное...

 

в целом, найдите способ реализовать этот алгоритм аутентификации...

 

и "шуршикам" будет *опа! 

Відредаговано 2013-03-21 16:29:19 sfc

[mr.Scamp 41]

Значит сетка в студ. общаге - думаю о многом скажет. Структура комнат и секций такова что один-два умных БОЛЬШИХ свича не поставишь ((((

Один другому сказал логин и пароль, что бы не платить ..... вот и пробуют еще и МАК подобрать

Вот кусочек лога DHCP, такого МАКа нет в базе клиентов, через некоторое время МАК другой, тоже не и базы клиентов

2013-03-21 16:44:04 hostnet DHCPDISCOVER from 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0

2013-03-21 16:44:04 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0

2013-03-21 16:44:02 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0

Хостнейм DHCP-dropper говорит о том, что скорее всего маки перебирают не студенты вручную, в надежде попасть на рабочее сочетание, чтобы посидеть нахаляву,

а делает это программа, которой атакуют вашу сеть с целью вызвать отказ в обслуживании DHCP-сервера, из-за переполнения пула адресов.

Возможно, эта http://www.opennet.ru/prog/info/3604.shtml

Если это так, то ищите внедрившихся недоброжелаетелей.