Дыра у провайдера?

[Kote 27]

Всем привет! Сижу я как то в интернете через обычный кабельный РРРоЕ провайдер и роутер микротик. Вдруг, интернет пропадает. Захожу на роутер, вижу, что нет ответа от браса.
Включаю шнурок напрямую в комп, и врубаю вайршарк. Он поймал кучу PADI пакетов от других клиентов а также один очень интересный пакет Vlan. Заглядываю в заголовок, а там виден IP источника: 10.1.2.10 и VLAN ID: 500.
Втыкаю шнурок обратно в микротик, поднимаю на интерфейсе влан с тем самым ид 500 и вешаю на этот влан ип 10.1.2.200.
Захожу в Ping и...о чудо! Пингуется 10.1.2.10. Это коммутатор Huawei S2326TP-EI. Дальше-больше. Коннектюсь к нему телнетом, а там заводской пароль стоит. Вот некоторые данные:

<Lenina_45_p2>display arp

IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE INTERFACE      VPN-INSTANCE

                                          VLAN

------------------------------------------------------------------------------

10.1.2.10      тут-был-мак-свича            I -  Vlanif500

10.1.2.200     тут-был-мой-мак  13        D-0  GE0/0/2

                                          500

10.1.0.1       Incomplete      0         D-0  GE0/0/1

                                          500
Acl's step is 5

 rule 5 permit l2-protocol 0x8863

 rule 10 permit l2-protocol 0x8864

 rule 15 deny

Далее:

display vlan summary

static vlan:

Total 3 static vlan.

  1 500 1200
dynamic vlan:

Total 0 dynamic vlan.
reserved vlan:

Total 0 reserved vlan.

Подробней о вланах:

display vlan 500

--------------------------------------------------------------------------------

U: Up;         D: Down;         TG: Tagged;         UT: Untagged;

MP: Vlan-mapping;               ST: Vlan-stacking;

#: ProtocolTransparent-vlan;    *: Management-vlan;

--------------------------------------------------------------------------------
VID  Type    Ports

--------------------------------------------------------------------------------

500  common  TG:GE0/0/1(U)      GE0/0/2(U)
VID  Status  Property      MAC-LRN Statistics Description

--------------------------------------------------------------------------------

500  enable  default       enable  disable    MGMT_500

display vlan 1200

--------------------------------------------------------------------------------

U: Up;         D: Down;         TG: Tagged;         UT: Untagged;

MP: Vlan-mapping;               ST: Vlan-stacking;

#: ProtocolTransparent-vlan;    *: Management-vlan;

--------------------------------------------------------------------------------
VID  Type    Ports

--------------------------------------------------------------------------------

1200 common  UT:Eth0/0/1(D)     Eth0/0/2(D)     Eth0/0/3(D)     Eth0/0/4(D)

                Eth0/0/5(D)     Eth0/0/6(D)     Eth0/0/7(D)     Eth0/0/8(D)

                Eth0/0/9(D)     Eth0/0/10(D)    Eth0/0/11(D)    Eth0/0/12(D)

                Eth0/0/13(D)    Eth0/0/14(D)    Eth0/0/15(D)    Eth0/0/16(D)

                Eth0/0/17(D)    Eth0/0/18(D)    Eth0/0/19(D)    Eth0/0/20(D)

                Eth0/0/21(D)    Eth0/0/22(D)    Eth0/0/23(D)    Eth0/0/24(D)

             TG:GE0/0/1(U)      GE0/0/2(U)
VID  Status  Property      MAC-LRN Statistics Description

--------------------------------------------------------------------------------

1200 enable  default       enable  disable    ICAAA1200

И данные об аплинк портах. Показываю только один порт т.к. данные одинаковые:

interface GigabitEthernet0/0/2

 undo port hybrid vlan 1

 port hybrid tagged vlan 500 1200

 undo lldp tlv-enable dot1-tlv all

 undo lldp tlv-enable med-tlv all

 undo lldp tlv-enable dot3-tlv all

Я не спец, но вроде как это классический влан на дом. Один влан на управление и один клиентский. Кроме того, как видно из имени свича, он находится в моем доме во 2 подъезде, в то время как я живу в первом. Не понятно вот что:

1)Если топология у прова звезда да ещё и влан на дом, то каким образом он ловил пакеты с других домов? Там должны быть другие клиентские вланы...или они были одинаковыми?

2)Как мне удалось залезть во влан управления? Ведь после того как наладилась связь, я зайти на свич с теми же настройками уже не мог. И даже потом, когда снова не было инета, не прокатило. И того самого Vlan пакета вайршарком мне больше поймать не удавалось.

3)Вообще на сколько верная конфигурация у свича? Я кинул лишь некоторую часть, но при желании могу кинуть больше. Не спец, но на фига они повесили управляющий влан на гигабитный порт, который вроде как не смотрит в сторону аплинка?

P.S. Все вланы, ипы и прочее конечно же изменены по понятным причинам.

Відредаговано 2014-07-19 01:11:39 Kote

[Kto To 602]

на 361-ую статью ты уже заработал УБК за тобой уже выехало )))

[Kote 27]

Это было не сегодня, а несколько недель назад. Так что больно долго едет.

 

Отвечайте лучше по теме или проходите мимо, если нечего сказать.

[vaz02 500]

Так он и сказал по теме. Не твоё не лезь!

Відредаговано 2014-07-19 05:43:39 vaz02

[KaYot 3 708]

На НАГе послали, так ты тут решил поделиться достижением? Даже не лень было регистрироваться..

Всем пофиг.

[Kote 27]

Так он и сказал по теме. Не твоё не лезь!

На пол часа стало моим, вот и залез. Не по своей вине, заметь. И ни коим образом не нарушил работу оборудования.

[Kote 27]

На НАГе послали, так ты тут решил поделиться достижением? Даже не лень было регистрироваться..

Всем пофиг.

На наге не послали, а обьяснили на сколько могли. Если вы не можете, то это ваша проблема. А может и свич ваш...я бы не удивился.

Відредаговано 2014-07-19 06:14:46 Kote

[BARVIT 113]

Что Вы собственно хотите услышать? Какие-то предположения? Если сильно интересно можете узнать у своего провайдера, это будет самый точный и правильный ответ. А гадать почему кто-то сделал именно так нет смысла, все равно в конечном итоге это будут только догадки Вам Ваш провайдер точно объяснит что там и как, возможно после его объяснений желание узнать всю тайну мистического управляемого влана отпадет полностью и навсегда.

[Kote 27]

Что Вы собственно хотите услышать? Какие-то предположения? Если сильно интересно можете узнать у своего провайдера, это будет самый точный и правильный ответ. А гадать почему кто-то сделал именно так нет смысла, все равно в конечном итоге это будут только догадки Вам Ваш провайдер точно объяснит что там и как, возможно после его объяснений желание узнать всю тайну мистического управляемого влана отпадет полностью и навсегда.

Хочу услышать, как я попал на коммутатор и почему не могу сделать это сейчас? Зачем гадать, если есть конфиг?

[BARVIT 113]

Ну вы же спрашиваете:

 

Не спец, но на фига они повесили управляющий влан на гигабитный порт, который вроде как не смотрит в сторону аплинка?

Вот я и написал про гадания, это известно Вашему провайдеру. И опять же, Вы от нас хотите услышать как Вы попали на коммутатор? Примерно так...

Відредаговано 2014-07-19 06:32:18 BARVIT

[BARVIT 113]

Включаю шнурок напрямую в комп, и врубаю вайршарк. Он поймал кучу PADI пакетов от других клиентов а также один очень интересный пакет Vlan. Заглядываю в заголовок, а там виден IP источника: 10.1.2.10 и VLAN ID: 500. Втыкаю шнурок обратно в микротик, поднимаю на интерфейсе влан с тем самым ид 500 и вешаю на этот влан ип 10.1.2.200. Захожу в Ping и...о чудо! Пингуется 10.1.2.10. Это коммутатор Huawei S2326TP-EI. Дальше-больше. Коннектюсь к нему телнетом, а там заводской пароль стоит.

А сейчас не можете попасть потому, что в этих моделях свичей, менеджмент влан имеет свою структуру, он так и называется блуждающий, блудит по коммутаторам и чтоб вам снова попасть на свитч, нужно его ловить вайршарком, но когда он снова блуканет на ваш коммутатор неизвестно, поэтому мониторить нужно 24 часа в сутки.

Відредаговано 2014-07-19 06:35:04 BARVIT

[kvirtu 315]

 

Что Вы собственно хотите услышать? Какие-то предположения? Если сильно интересно можете узнать у своего провайдера, это будет самый точный и правильный ответ. А гадать почему кто-то сделал именно так нет смысла, все равно в конечном итоге это будут только догадки Вам Ваш провайдер точно объяснит что там и как, возможно после его объяснений желание узнать всю тайну мистического управляемого влана отпадет полностью и навсегда.

Хочу услышать, как я попал на коммутатор и почему не могу сделать это сейчас? Зачем гадать, если есть конфиг?

 

мабуть пароль поставили )

[Kote 27]

Ну самый простой вариант это инженер-м@д#к в моём провайдере. Не хотелось бы верить в такое. Хотя, судя по заводскому паролю на свиче-это так...((

Может быть у них каждый дом обходит одно волокно по кольцу т.е. если в доме 4 свича, то схема "агрегация---свич1---свич2---свич3---свич4---агрегация" Тогда вроде логично, что все транковые порты с тэгами и вланами управления. Но это бы означало, что в моём подъезде №1 ненастроенный или скорей всего неуправляемый свич. А также то, что АСЛ:

 

 

rule 5 permit l2-protocol 0x8863

 rule 10 permit l2-protocol 0x8864

 rule 15 deny

 

в этом случае бестолку.

Відредаговано 2014-07-19 06:39:29 Kote

[Kote 27]

 

 

Что Вы собственно хотите услышать? Какие-то предположения? Если сильно интересно можете узнать у своего провайдера, это будет самый точный и правильный ответ. А гадать почему кто-то сделал именно так нет смысла, все равно в конечном итоге это будут только догадки Вам Ваш провайдер точно объяснит что там и как, возможно после его объяснений желание узнать всю тайну мистического управляемого влана отпадет полностью и навсегда.

Хочу услышать, как я попал на коммутатор и почему не могу сделать это сейчас? Зачем гадать, если есть конфиг?

 

мабуть пароль поставили )

 

Причём тут пароль, если свич не виден и не пингуется. Равно как и его шлюз. Либо влан сменили либо я хз...потому и зашел спросить. Может пронюхали и убрали влан 500 с порта GE 2. Респект им))

[Kote 27]

 

Включаю шнурок напрямую в комп, и врубаю вайршарк. Он поймал кучу PADI пакетов от других клиентов а также один очень интересный пакет Vlan. Заглядываю в заголовок, а там виден IP источника: 10.1.2.10 и VLAN ID: 500. Втыкаю шнурок обратно в микротик, поднимаю на интерфейсе влан с тем самым ид 500 и вешаю на этот влан ип 10.1.2.200. Захожу в Ping и...о чудо! Пингуется 10.1.2.10. Это коммутатор Huawei S2326TP-EI. Дальше-больше. Коннектюсь к нему телнетом, а там заводской пароль стоит.

А сейчас не можете попасть потому, что в этих моделях свичей, менеджмент влан имеет свою структуру, он так и называется блуждающий, блудит по коммутаторам и чтоб вам снова попасть на свитч, нужно его ловить вайршарком, но когда он снова блуканет на ваш коммутатор неизвестно, поэтому мониторить нужно 24 часа в сутки.

 

У меня была такая идея, наверно так и сделаю. Если не поймаю, значит они убрали 500 влан со второго гигабитного порта. То есть пофиксили багу))

[zaborovsky 359]

 

Так он и сказал по теме. Не твоё не лезь!

На пол часа стало моим, вот и залез. Не по своей вине, заметь. И ни коим образом не нарушил работу оборудования.

 

 

зачем?

[Kote 27]

Зачем не нарушил работу? Ну это не хорошо, да и потом, сам бы остался без инета. Хотя, у меня есть и второй провайдер.

 

Зачем полез? Интереса ради. Это как вы чето вскрываете, чтобы понять как оно работает. Только я при этом не сломал ничего.

[dandul 42]

Может быть Вы просто попали на момент настройки оборудования, и там монтажник/инженер с ноутом был у свитча.. Хотя зачем это Вам вобще делать - не ясно.

[KaYot 3 708]

Главное, зачем на профильных форумах создавать об этом темы? "Ты крутой хакер, маладец!" могут сказать только школьники во дворе, им и рассказывай. Сетевикам твои победы как-то до попы.

[Kote 27]

 

 

Думаю тупо послали монтажника сменить свичь, Воткнули с склада первый попавшийся с левым конфигом , потом удаленно настроили (либо билингом налили)нужный конфиг по месту.

 

На свич я залез через час после пропадания инета. Больно долго меняли. При том что инета не было почти 20 часов... Да и удаленно тоже не могли настроить. Так как интернета не было не только у меня, но и в соседних домах тоже. В тот день также проскакивала новость, что у моего провайдера спёрли с крыши оптику. Спёрли далековато от меня, но в пределах моего района.

Может быть Вы просто попали на момент настройки оборудования, и там монтажник/инженер с ноутом был у свитча.. Хотя зачем это Вам вобще делать - не ясно.

Может и попал...но пока я висел на телнте, там никого не было. А в целом простой интернета длился 20 часов.

[Kote 27]

Главное, зачем на профильных форумах создавать об этом темы? "Ты крутой хакер, маладец!" могут сказать только школьники во дворе, им и рассказывай. Сетевикам твои победы как-то до попы.

Надо было спросить про свич на форуме домохозяек?)) Думай, что написал. Если тебе померещилось, что я крутой хакер, то расстрою....это не я хакер, а админ моего прова м@д#к. Лично к тебе (как к админу) это, НАДЕЮСЬ, не относится.

Хотя, тебе вроде похер, а уже второй раз тут гадишь оффтопом, как бы намекая...))

Відредаговано 2014-07-19 08:19:03 Kote

[zaborovsky 359]

Зачем не нарушил работу? Ну это не хорошо, да и потом, сам бы остался без инета. Хотя, у меня есть и второй провайдер.

по-правильному, это если бы вы обнаружили дырку и тихонько написали в саппорт провайдера, мол, уважаемые, у вас дыра, закройте.

(чисто для примера: когда я (случайно) обнаружил дырку у одного из своих бывших провайдеров, причем, я ни в какое провайдерское оборудование не лез, что важно -- я тихонько написал тамошнему сотруднику, с которым был знаком по неофициальному провайдерскому форуму, тот передал письмо в саппорт, дырку прикрыли и поблагодарили)

 

и то, тут вопросы, как именно вы ее обнаружили: если случайно и непреднамеренно и при этом никуда не лезли -- вопрос один, а если целенаправленно полезли менять конфиги и перехватывать информацию -- это уже 361-я в чистом виде.

тут на форуме есть юрист, zachott его ник -- поинтересуйтесь для общего развития

Зачем полез? Интереса ради. Это как вы чето вскрываете, чтобы понять как оно работает. Только я при этом не сломал ничего.

когда вы лезете в свое -- это одно

когда в чужое -- вопрос иной

вы залезли в чужое.

вам, извините, сколько лет?

 

upd: если вы хотите показать, как вы круто заломали провайдера -- есть соответствующие форумы, всякие там xakep.ru -- там и рассказывайте, сюда-то чего ломиться?

Відредаговано 2014-07-19 08:27:34 zaborovsky

[zaborovsky 359]

Может и попал...но пока я висел на телнте, там никого не было. А в целом простой интернета длился 20 часов.

когда у вас воду отключают, к примеру, вы ж не берете сварочный аппарат и не лезете в подвал трубы варить, не так ли?

[Kote 27]

по-правильному, это если бы вы обнаружили дырку и тихонько написали в саппорт провайдера, мол, уважаемые, у вас дыра, закройте. (чисто для примера: когда я (случайно) обнаружил дырку у одного из своих бывших провайдеров, причем, я ни в какое провайдерское оборудование не лез, что важно -- я тихонько написал тамошнему сотруднику, с которым был знаком по неофициальному провайдерскому форуму, тот передал письмо в саппорт, дырку прикрыли и поблагодарили)

Писать нотации, это конечно хорошо. Но в сапорт я бы никак не смог написать. У меня там нет знакомых, а провайдер-крупный и до админа-мудака так просто не добраться. Кроме того, официально я сейчас не пользуюсь их интернетом. Просто порт держут для меня.

 

 

 

и то, тут вопросы, как именно вы ее обнаружили

Ну как вы понимаете, поднять влан на микротике это ни разу не случайно)) А так как не пойман-не хакер, то и вопрос закрыт.

Відредаговано 2014-07-19 08:42:04 Kote

[Kote 27]

 

Может и попал...но пока я висел на телнте, там никого не было. А в целом простой интернета длился 20 часов.

когда у вас воду отключают, к примеру, вы ж не берете сварочный аппарат и не лезете в подвал трубы варить, не так ли?

 

Нет, не беру. Но пытаюсь поинтересоваться, почему нет воды. И если бы я мог посмотреть все трубы тихо, и не выходя из дома-я бы это сделал.

Так что поищите другой пример))