Перейти до

Как вычислить кто перебирает MAC-адреса.


Рекомендованные сообщения

В сети завелся шуршик, перебирающий МАС-адреса.

Сетка на мыльницах, адреса выдаются статически по DHCP.

Как его вычислить без физического отключения портов ?

Или без вариантов.

спасибо.

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 81
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Т.е. рука-лицо...   p.s. Ну не смог я сдержаться. Сейчас немного в себя приду, от испытанного шока, и продолжим.

Posted Images

на мыльницах без вариантов. Если идет толпа мыльниц, а дальше какой-то управляемый свитч, можно включить local_opt_82(если это dlink), по логам dhcp  сервера будет ясно с какого сегмента пришло. 

Відредаговано onorua
Ссылка на сообщение
Поделиться на других сайтах

а что мешает 1 раз сесть в такси и поехать на гирлянду мыльниц и дергать там кабеля? если скупился на свичах и возникла проблема сочувствую на сэкономленные деньги будь любезен ехать на район дергать свичи 

Ссылка на сообщение
Поделиться на других сайтах

а что мешает 1 раз сесть в такси и поехать на гирлянду мыльниц и дергать там кабеля? если скупился на свичах и возникла проблема сочувствую на сэкономленные деньги будь любезен ехать на район дергать свичи 

 

пока доехал - перебор кончился

Ссылка на сообщение
Поделиться на других сайтах

а как вы видите перебор мака?  если злоумышленник подобрал МАК, то он на нем сидит пару часов 

хотя он мог включить сниф и увидеть список всех маков и их ай-пи 

как вариант дроби гирлянду микроткиами \ умными свичами или еще чем-то и когда идет перебор отключай сразу сегментами 

Ссылка на сообщение
Поделиться на других сайтах

В сети завелся шуршик, перебирающий МАС-адреса.

Сетка на мыльницах...

совершенно не понятно, зачем что-то перебирать, если сеть не управляемая?

адреса выдаются статически по DHCP.

это как? :blink:

п.с. вернее, нафига это вам нужно? человек поменял себе сетевуху и снова к вам на поклон?

Відредаговано sfc
Ссылка на сообщение
Поделиться на других сайтах

 

 
п.с. вернее, нафига это вам нужно? человек поменял себе сетевуху и снова к вам на поклон?

У нас такая-же схема. Вполне отлично. Абонент не заморачивается с настройками адресов на сетевой. А сетевки (компьютера, роутеры и т.д.) меняются не так уж и часто ;)

А по теме, только разбивать сеть на сегменты и смотреть откуда идут подмены, как выше писали можно взять одну управляемый коммутатор :)

Відредаговано Tux
Ссылка на сообщение
Поделиться на других сайтах

Да че там никак. Позвони расскажу что и как логировать.

Когда сеть была плоской и неуправляемой пользовался частенько. И в 99% вычислял сразу, либо сужал круг до подтверждения выдергиваеием одного двух портов.

В двух словах концепт алгоритма в личку озвучьте - ибо сомневаюсь я что прям как то так все легко.
Ссылка на сообщение
Поделиться на других сайтах

 

 

 
п.с. вернее, нафига это вам нужно? человек поменял себе сетевуху и снова к вам на поклон?

У нас такая-же схема. Вполне отлично. Абонент не заморачивается с настройками адресов на сетевой. А сетевки (компьютера, роутеры и т.д.) меняются не так уж и часто ;)

А по теме, только разбивать сеть на сегменты и смотреть откуда идут подмены, как выше писали можно взять одну управляемый коммутатор :)

я не говорю про то, чтобы абоненту усложнять жизнь. я спрашиваю, зачем раздавать ip в связке с mac?

я бы вас понял, если бы сеть была управляемой. а так вы сами себе создаете проблему.

"шуршики заводятся" когда есть повод. ;)

уберите повод и шуршик сам по себе отвалится.

 

kvirtu, сеть у вас большая?

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

Значит сетка в студ. общаге - думаю о многом скажет. Структура комнат и секций такова что один-два умных БОЛЬШИХ свича не поставишь ((((

Один другому сказал логин и пароль, что бы не платить ..... вот и пробуют еще и МАК подобрать

Вот кусочек лога DHCP, такого МАКа нет в базе клиентов, через некоторое время МАК другой, тоже не и базы клиентов

2013-03-21 16:44:04 hostnet DHCPDISCOVER from 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0

2013-03-21 16:44:04 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0

2013-03-21 16:44:02 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0

Відредаговано kvirtu
Ссылка на сообщение
Поделиться на других сайтах

Значит сетка в студ. общаге - думаю о многом скажет. Структура комнат и секций такова что один-два умных БОЛЬШИХ свича не поставишь ((((

Один другому сказал логин и пароль, что бы не платить ..... вот и пробуют еще и МАК подобрать

Вот кусочек лога DHCP, такого МАКа нет в базе клиентов, через некоторое время МАК другой, тоже не и базы клиентов

2013-03-21 16:44:04 hostnet DHCPDISCOVER from 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0

2013-03-21 16:44:04 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0

2013-03-21 16:44:02 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0

общага - это сила... случайно не факультет программеров? :lol:

 

я так понимаю, что "платят" вам за возможность доступа в интернет?

оплата по трафику или как? у вас пограничный маршрутизатор аппаратный или стоит комп, выполняющий функции nat, биллинга?

 

отключите нафик этот мас-контроль! если nat реализован на компе, то поставьте на нем, нет - подключите свой сервер, на котором реализуйте радиус, биллинг и доступ в и-нет через vpn. соответственно, одновременно выход в интернет по одному логину сможет только один пользователь. если пользователь с кем-то "поделился" своими регистрационными данными, то и пусть платит за путешествия "друга" по и-нету. настройте радиус так, чтобы при одновременном подключении двух устройств по одному логину, этот аккаунт блокировался. разблокировать можете только вы. введите штраф за распространение логина и пароля.

 

а вообще, глупости какие-то. если мне "вася" дал свой логин и пароль, то что мешает этому же "васе" дать мне свой mac? :D

Ссылка на сообщение
Поделиться на других сайтах

 

Значит сетка в студ. общаге - думаю о многом скажет. Структура комнат и секций такова что один-два умных БОЛЬШИХ свича не поставишь ((((

Один другому сказал логин и пароль, что бы не платить ..... вот и пробуют еще и МАК подобрать

Вот кусочек лога DHCP, такого МАКа нет в базе клиентов, через некоторое время МАК другой, тоже не и базы клиентов

2013-03-21 16:44:04 hostnet DHCPDISCOVER from 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0

2013-03-21 16:44:04 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0

2013-03-21 16:44:02 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0

общага - это сила... случайно не факультет программеров? :lol:

 

я так понимаю, что "платят" вам за возможность доступа в интернет?

оплата по трафику или как? у вас пограничный маршрутизатор аппаратный или стоит комп, выполняющий функции nat, биллинга?

 

отключите нафик этот мас-контроль! если nat реализован на компе, то поставьте на нем, нет - подключите свой сервер, на котором реализуйте радиус, биллинг и доступ в и-нет через vpn. соответственно, одновременно выход в интернет по одному логину сможет только один пользователь. если пользователь с кем-то "поделился" своими регистрационными данными, то и пусть платит за путешествия "друга" по и-нету. настройте радиус так, чтобы при одновременном подключении двух устройств по одному логину, этот аккаунт блокировался. разблокировать можете только вы. введите штраф за распространение логина и пароля.

 

а вообще, глупости какие-то. если мне "вася" дал свой логин и пароль, то что мешает этому же "васе" дать мне свой mac? :D

Интересно это тока у меня кроме логина и пароля еще МАК привязка идет ???

Логин и пароль указаны на карточке клиента, тут особого труда передать кому-то не составляет. С МАС-адресом тут уже мозги нужны: где его глянуть, как поменять .....

Ссылка на сообщение
Поделиться на других сайтах

Интересно это тока у меня кроме логина и пароля еще МАК привязка идет ???

 

у операторов такого вообще нет. вы представляете как проводить mac-контроль, когда у тебя тысячи абонентов?

 

 

 
С МАС-адресом тут уже мозги нужны: где его глянуть, как поменять .....

это и не всегда реально возможно сделать.

 

ладно. вы мне так и не ответили как у вас проводится аутентификация пользователя. есть идея. но, нужно понимать, как ее реализовать.

Ссылка на сообщение
Поделиться на других сайтах

 

Интересно это тока у меня кроме логина и пароля еще МАК привязка идет ???

 

у операторов такого вообще нет. вы представляете как проводить mac-контроль, когда у тебя тысячи абонентов?

 

 

 

 
С МАС-адресом тут уже мозги нужны: где его глянуть, как поменять .....

это и не всегда реально возможно сделать.

 

ладно. вы мне так и не ответили как у вас проводится аутентификация пользователя. есть идея. но, нужно понимать, как ее реализовать.

 

В сетке: статический DHCP: IP+MAC

В инет: PPPOE: login+password (Poоl_IP+MAC)

Ссылка на сообщение
Поделиться на других сайтах

 

 

В инет: PPPOE

у вас для этого радиус стоит или что?

уху

сообразите сетевой "смс-пейджер" или что-то подобное...

 

в целом, найдите способ реализовать этот алгоритм аутентификации...

 

и "шуршикам" будет *опа!  ;)

Відредаговано sfc
Ссылка на сообщение
Поделиться на других сайтах

Значит сетка в студ. общаге - думаю о многом скажет. Структура комнат и секций такова что один-два умных БОЛЬШИХ свича не поставишь ((((

Один другому сказал логин и пароль, что бы не платить ..... вот и пробуют еще и МАК подобрать

Вот кусочек лога DHCP, такого МАКа нет в базе клиентов, через некоторое время МАК другой, тоже не и базы клиентов

2013-03-21 16:44:04 hostnet DHCPDISCOVER from 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0

2013-03-21 16:44:04 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0

2013-03-21 16:44:02 hostnet DHCPOFFER on 172.16.2.42 to 00:29:3a:b7:fa:6d (DHCP-dropper) via fxp0

Хостнейм DHCP-dropper говорит о том, что скорее всего маки перебирают не студенты вручную, в надежде попасть на рабочее сочетание, чтобы посидеть нахаляву,

а делает это программа, которой атакуют вашу сеть с целью вызвать отказ в обслуживании DHCP-сервера, из-за переполнения пула адресов.

Возможно, эта http://www.opennet.ru/prog/info/3604.shtml

Если это так, то ищите внедрившихся недоброжелаетелей.

Ссылка на сообщение
Поделиться на других сайтах

 

 

 

В инет: PPPOE

у вас для этого радиус стоит или что?

уху

и "шуршикам" будет *опа!  ;)

Их я найду все равно, и опу сделаю !

Просто перебор идет не постоянно, а через 10,13, 23, 47 минут .. .....

Ссылка на сообщение
Поделиться на других сайтах

когда с баблом туго, такие дела решаются с одним управляемым свитчем и одним гонцом)

сначала ставим упрсвитч в начале дерева, определяется направление, и потом по веточке идем вниз.

если злоумышленника не успели выловить в следующей ветке, можно оставить свитч на ночь, и логи сыпать куда-нибудь, на утречко перебрать)

ничего сложного, было бы желание и время)

поверьте у нас такой секс был, 60 тупых свитчей в одной колбасе, я ипал нах

Відредаговано zulu_Radist
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.


×
×
  • Створити нове...