Отловить халявщиков

[NetworkAdmin 0]

Имеем сетку на 100+ юзеров. Есть свой и-нет, всё было супер, до новых тарифов телекома... Начали брать такой и-нет, переводить модемы в режим роутера, и раздавать на нычку по сети... Как отловить или как отмониторить? Смотреть tcpdumpоm все пакеты не выход.. например есть мой шлюз хх.хх.хх.хх, если назначение пакета - мир, и он идёт не на этот шлюз, то сделать запись в лог или на экран, пакет с адресами куда-откуда он идёт... Имеем некое количество серверов на freebsd, работают в режиме бриджа фильтрующего, сетевухи в промиск режиме.. куда рыть? как мониторить тем что имеем?

[Queeq 0]

Сначала я бы покопал в сторону арп-запросов. Просто поставить снифер на каком-то компе, в нём фильтр, чтобы только арп показывал (WireShark, бывший Ethereal, очень хорошо бы справился). По идее, к левому роутеру должно быть много арп-запросов со множества компов.

 

Ещё роутеры должны отзываться на мультикаст 224.0.0.2 (все роутеры). Как осуществить - не знаю...

 

А вообще малость не понятно, как юзеры ходят через левый гейтвей. Они его что ли дефолтом ставят? Как стало известно об утечке? Можете поподробнее обо всём рассказать?

[NetworkAdmin 0]

есть "благодетель", который пользовал такой и-нет, себя не засветил, только инфу сказал.. без конкретных адресов-имён. дальше давить этого чела не получается.

 

ну например дамплю я кусок всего трафик проходящего через бридж за пару минут в файл.. теперь как отловить пакеты идущие в мир не через мой шлюз?

[Queeq 0]

Никак. Отловить можно только бродкасты. И дампить надо несколько часов во время активного использования инета.

[Neelix 33]

Представся юзером, и попроси дать тебе инет за $$$

[frig 2]

гг... да все просто.

 

сниффер. поставь и поснифь хорошо. лучше где-то в ядре что-бы было видно весь или часть траффика. сразу станет видно от кого валит много http и к кому идет много запросов. соединения аськи... в общем видно очень хорошо. только так как не понятна топология сети, сказать что-то сложно.

[NetworkAdmin 0]

tcpdump я итак пишу ВСЕ пакеты.. но разбирать в таком трафике - нереально в часы пик..

 

еще раз обьясню.. есть фрибсд.. настроена как бридж.. 2 интерфейса.. в разрыв сети смотрят.. я могу видеть-снифить ЛЮБОЙ пакет по отдельности.. но 10мб пакетов за 1секунду дампа меня не возбуждает смотреть.. У меня мой шлюз хх.хх.хх.хх. Вопрос КАК мне скинуть в файл/показать на экран, что запрос на yandex.ru пошёл например от какого-то компа не на мой шлюз хх.хх.хх.хх а на какой-то левый уу.уу.уу.уу в сети???

[p0int 0]

попробуй по trafshow посмотреть с параметром port 80 к примеру

[frig 2]

по фре не силен, но в общих чертах задача все это дело системно загнать в файл, или лучше в базу, и выбрать по определенным критериям. это полезно не только для отлова нелегалов. в общем просмотреть загрузку сети, количество того, сего, в общем полезно.

[NetworkAdmin 0]

попробуй по trafshow посмотреть с параметром port 80 к примеру

 

по трафшоу.. например вижу я что:

 

192.168.1.1 идёт на ya.ru

ya.ru отвечает 192.168.1.1

 

НО КАКОЙ ШЛЮЗ ИСПОЛЬЗУЕТ 192.168.1.1 ?? Мой шлюз 192.168.1.10 или наглеца? как вычислить в пакете через какой шлюз пакет идёт?

[Amal 0]

берёшь сканнер и в часы пик смотришь сеть. появляються незарегистрированные адреса, это роутеры. далее флудишь их как можно сильнее в итоге должен быть DoS. отказ в обслуживании.

как показыыает практика можно просто завалить. Можно попробовать подобрать пароль, а можно самому поставить как гейт для своей машины и качнуть что-то огромное, или сделать этот роутер гейтом для сервака, и тада сам понимаешь... 100+ человек ломануться через этот канал...

если именно роутером стоят, а если просто расшаривают инет через свой комп, тада сложнее....

а вообще посмотри в сторону Lan tricks в частности Lan spy

удачи.

[Apelsin 34]

Никак. Отловить можно только бродкасты. И дампить надо несколько часов во время активного использования инета.

кстати помогает, в своё время так и делал.

 

самый простой вариант посмотреть при помощи сканера кто проводит самое большее время включенныйм в сети тоесть 24/7...

[Queeq 0]

НО КАКОЙ ШЛЮЗ ИСПОЛЬЗУЕТ 192.168.1.1 ??  Мой шлюз 192.168.1.10 или наглеца? как вычислить в пакете через какой шлюз пакет идёт?

 

А мак-адрес там не показывается, на который идут пакеты?

[deep_admin 1]

надо смотреть tcpdump'ом например исходящие запросы по хттп и не на мак адрес твоего шлюза, примерно так:

tcpdump -i интерфейс -evn dst port 80 and not dst ether host мак_твоего_шлюза

 

так можно выловить мак адрес человека который раздает

[NetworkAdmin 0]

надо смотреть tcpdump'ом например исходящие запросы по хттп и не на мак адрес твоего шлюза, примерно так:

tcpdump -i интерфейс -evn dst port 80 and not dst ether host мак_твоего_шлюза

 

так можно выловить мак адрес человека который раздает

спасиб.. попробовал

 

# tcpdump -i xl0 -evn dst port 80 and not dst ether host xx:xx:xx:xx:xx:xx

tcpdump: syntax error

#

 

где грабли? если просто

# tcpdump -i xl0 -evn dst port 80

начинает ловить все что на 80 порт...

 

tcpdump: listening on xl0, link-type EN10MB (Ethernet), capture size 96 bytes

[NetworkAdmin 0]

разобрался. синтаксис немного не так

 

# tcpdump -i xl0 -evn dst port 80 and not ether dst host хх:хх:хх:хх:хх:хх

 

вот полезная ссылка

 

http://www.protocols.ru/modules.php?name=N...article&sid=125

[spawn_610 0]

есть 2 способа отлова шлюза в сети:

1 - по TTL пакета, при прохождении через шлюз уменьшается на 1, тоесть от пользователя будут идти пакеты с кривыми TTL. Правда элементарно исправляется при помощи iptables в linux

2 - по порядковому номеру пакета, на выходе шлюза получтся каша из порядковых номеров в отличии от машины которая одна висит на канале. Исправляется програмированием.

Конкретно инфу по данным приколам нужно рыть в нете. Когда то кажись видел в журнале хакер.