Перейти к содержимому

Отловить халявщиков


Рекомендованные сообщения

Имеем сетку на 100+ юзеров. Есть свой и-нет, всё было супер, до новых тарифов телекома... Начали брать такой и-нет, переводить модемы в режим роутера, и раздавать на нычку по сети... Как отловить или как отмониторить? :) Смотреть tcpdumpоm все пакеты не выход.. например есть мой шлюз хх.хх.хх.хх, если назначение пакета - мир, и он идёт не на этот шлюз, то сделать запись в лог или на экран, пакет с адресами куда-откуда он идёт... Имеем некое количество серверов на freebsd, работают в режиме бриджа фильтрующего, сетевухи в промиск режиме.. куда рыть? как мониторить тем что имеем?

Ссылка на сообщение
Поделиться на других сайтах

Сначала я бы покопал в сторону арп-запросов. Просто поставить снифер на каком-то компе, в нём фильтр, чтобы только арп показывал (WireShark, бывший Ethereal, очень хорошо бы справился). По идее, к левому роутеру должно быть много арп-запросов со множества компов.

 

Ещё роутеры должны отзываться на мультикаст 224.0.0.2 (все роутеры). Как осуществить - не знаю...

 

А вообще малость не понятно, как юзеры ходят через левый гейтвей. Они его что ли дефолтом ставят? Как стало известно об утечке? Можете поподробнее обо всём рассказать?

Ссылка на сообщение
Поделиться на других сайтах

есть "благодетель", который пользовал такой и-нет, себя не засветил, только инфу сказал.. без конкретных адресов-имён. :) дальше давить этого чела не получается.

 

ну например дамплю я кусок всего трафик проходящего через бридж за пару минут в файл.. теперь как отловить пакеты идущие в мир не через мой шлюз?

Ссылка на сообщение
Поделиться на других сайтах

гг... да все просто.

 

сниффер. поставь и поснифь хорошо. лучше где-то в ядре что-бы было видно весь или часть траффика. сразу станет видно от кого валит много http и к кому идет много запросов. соединения аськи... в общем видно очень хорошо. только так как не понятна топология сети, сказать что-то сложно.

Ссылка на сообщение
Поделиться на других сайтах

tcpdump я итак пишу ВСЕ пакеты.. но разбирать в таком трафике - нереально в часы пик..

 

еще раз обьясню.. есть фрибсд.. настроена как бридж.. 2 интерфейса.. в разрыв сети смотрят.. я могу видеть-снифить ЛЮБОЙ пакет по отдельности.. но 10мб пакетов за 1секунду дампа меня не возбуждает смотреть.. У меня мой шлюз хх.хх.хх.хх. Вопрос КАК мне скинуть в файл/показать на экран, что запрос на yandex.ru пошёл например от какого-то компа не на мой шлюз хх.хх.хх.хх а на какой-то левый уу.уу.уу.уу в сети???

Ссылка на сообщение
Поделиться на других сайтах

по фре не силен, но в общих чертах задача все это дело системно загнать в файл, или лучше в базу, и выбрать по определенным критериям. это полезно не только для отлова нелегалов. в общем просмотреть загрузку сети, количество того, сего, в общем полезно.

Ссылка на сообщение
Поделиться на других сайтах
попробуй по trafshow посмотреть с параметром port 80 к примеру

 

по трафшоу.. например вижу я что:

 

192.168.1.1 идёт на ya.ru

ya.ru отвечает 192.168.1.1

 

НО КАКОЙ ШЛЮЗ ИСПОЛЬЗУЕТ 192.168.1.1 ?? :) Мой шлюз 192.168.1.10 или наглеца? как вычислить в пакете через какой шлюз пакет идёт? :)

Ссылка на сообщение
Поделиться на других сайтах

берёшь сканнер и в часы пик смотришь сеть. появляються незарегистрированные адреса, это роутеры. далее флудишь их как можно сильнее в итоге должен быть DoS. отказ в обслуживании.

как показыыает практика можно просто завалить. Можно попробовать подобрать пароль, а можно самому поставить как гейт для своей машины и качнуть что-то огромное, или сделать этот роутер гейтом для сервака, и тада сам понимаешь... 100+ человек ломануться через этот канал...

если именно роутером стоят, а если просто расшаривают инет через свой комп, тада сложнее....

а вообще посмотри в сторону Lan tricks в частности Lan spy

удачи. :)

Ссылка на сообщение
Поделиться на других сайтах
Никак. Отловить можно только бродкасты. И дампить надо несколько часов во время активного использования инета.

кстати помогает, в своё время так и делал.

 

самый простой вариант посмотреть при помощи сканера кто проводит самое большее время включенныйм в сети тоесть 24/7...

Ссылка на сообщение
Поделиться на других сайтах
НО КАКОЙ ШЛЮЗ ИСПОЛЬЗУЕТ 192.168.1.1 ??  Мой шлюз 192.168.1.10 или наглеца? как вычислить в пакете через какой шлюз пакет идёт?

 

А мак-адрес там не показывается, на который идут пакеты?

Ссылка на сообщение
Поделиться на других сайтах

надо смотреть tcpdump'ом например исходящие запросы по хттп и не на мак адрес твоего шлюза, примерно так:

tcpdump -i интерфейс -evn dst port 80 and not dst ether host мак_твоего_шлюза

 

так можно выловить мак адрес человека который раздает

Ссылка на сообщение
Поделиться на других сайтах
надо смотреть tcpdump'ом например исходящие запросы по хттп и не на мак адрес твоего шлюза, примерно так:

tcpdump -i интерфейс -evn dst port 80 and not dst ether host мак_твоего_шлюза

 

так можно выловить мак адрес человека который раздает

спасиб.. попробовал

 

# tcpdump -i xl0 -evn dst port 80 and not dst ether host xx:xx:xx:xx:xx:xx

tcpdump: syntax error

#

 

где грабли? если просто

# tcpdump -i xl0 -evn dst port 80

начинает ловить все что на 80 порт...

 

tcpdump: listening on xl0, link-type EN10MB (Ethernet), capture size 96 bytes

Ссылка на сообщение
Поделиться на других сайтах

разобрался. синтаксис немного не так

 

# tcpdump -i xl0 -evn dst port 80 and not ether dst host хх:хх:хх:хх:хх:хх

 

вот полезная ссылка

 

http://www.protocols.ru/modules.php?name=N...article&sid=125

Ссылка на сообщение
Поделиться на других сайтах

есть 2 способа отлова шлюза в сети:

1 - по TTL пакета, при прохождении через шлюз уменьшается на 1, тоесть от пользователя будут идти пакеты с кривыми TTL. Правда элементарно исправляется при помощи iptables в linux

2 - по порядковому номеру пакета, на выходе шлюза получтся каша из порядковых номеров в отличии от машины которая одна висит на канале. Исправляется програмированием.

Конкретно инфу по данным приколам нужно рыть в нете. Когда то кажись видел в журнале хакер.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×
×
  • Создать...