NetworkAdmin 0 Опубликовано: 2007-02-06 14:31:46 Share Опубликовано: 2007-02-06 14:31:46 Имеем сетку на 100+ юзеров. Есть свой и-нет, всё было супер, до новых тарифов телекома... Начали брать такой и-нет, переводить модемы в режим роутера, и раздавать на нычку по сети... Как отловить или как отмониторить? Смотреть tcpdumpоm все пакеты не выход.. например есть мой шлюз хх.хх.хх.хх, если назначение пакета - мир, и он идёт не на этот шлюз, то сделать запись в лог или на экран, пакет с адресами куда-откуда он идёт... Имеем некое количество серверов на freebsd, работают в режиме бриджа фильтрующего, сетевухи в промиск режиме.. куда рыть? как мониторить тем что имеем? Ссылка на сообщение Поделиться на других сайтах
Queeq 0 Опубліковано: 2007-02-06 14:42:49 Share Опубліковано: 2007-02-06 14:42:49 Сначала я бы покопал в сторону арп-запросов. Просто поставить снифер на каком-то компе, в нём фильтр, чтобы только арп показывал (WireShark, бывший Ethereal, очень хорошо бы справился). По идее, к левому роутеру должно быть много арп-запросов со множества компов. Ещё роутеры должны отзываться на мультикаст 224.0.0.2 (все роутеры). Как осуществить - не знаю... А вообще малость не понятно, как юзеры ходят через левый гейтвей. Они его что ли дефолтом ставят? Как стало известно об утечке? Можете поподробнее обо всём рассказать? Ссылка на сообщение Поделиться на других сайтах
NetworkAdmin 0 Опубліковано: 2007-02-06 14:46:48 Автор Share Опубліковано: 2007-02-06 14:46:48 есть "благодетель", который пользовал такой и-нет, себя не засветил, только инфу сказал.. без конкретных адресов-имён. дальше давить этого чела не получается. ну например дамплю я кусок всего трафик проходящего через бридж за пару минут в файл.. теперь как отловить пакеты идущие в мир не через мой шлюз? Ссылка на сообщение Поделиться на других сайтах
Queeq 0 Опубліковано: 2007-02-06 15:09:42 Share Опубліковано: 2007-02-06 15:09:42 Никак. Отловить можно только бродкасты. И дампить надо несколько часов во время активного использования инета. Ссылка на сообщение Поделиться на других сайтах
Neelix 33 Опубліковано: 2007-02-06 15:25:41 Share Опубліковано: 2007-02-06 15:25:41 Представся юзером, и попроси дать тебе инет за $$$ Ссылка на сообщение Поделиться на других сайтах
frig 2 Опубліковано: 2007-02-06 16:08:54 Share Опубліковано: 2007-02-06 16:08:54 гг... да все просто. сниффер. поставь и поснифь хорошо. лучше где-то в ядре что-бы было видно весь или часть траффика. сразу станет видно от кого валит много http и к кому идет много запросов. соединения аськи... в общем видно очень хорошо. только так как не понятна топология сети, сказать что-то сложно. Ссылка на сообщение Поделиться на других сайтах
NetworkAdmin 0 Опубліковано: 2007-02-06 16:49:03 Автор Share Опубліковано: 2007-02-06 16:49:03 tcpdump я итак пишу ВСЕ пакеты.. но разбирать в таком трафике - нереально в часы пик.. еще раз обьясню.. есть фрибсд.. настроена как бридж.. 2 интерфейса.. в разрыв сети смотрят.. я могу видеть-снифить ЛЮБОЙ пакет по отдельности.. но 10мб пакетов за 1секунду дампа меня не возбуждает смотреть.. У меня мой шлюз хх.хх.хх.хх. Вопрос КАК мне скинуть в файл/показать на экран, что запрос на yandex.ru пошёл например от какого-то компа не на мой шлюз хх.хх.хх.хх а на какой-то левый уу.уу.уу.уу в сети??? Ссылка на сообщение Поделиться на других сайтах
p0int 0 Опубліковано: 2007-02-06 17:01:31 Share Опубліковано: 2007-02-06 17:01:31 попробуй по trafshow посмотреть с параметром port 80 к примеру Ссылка на сообщение Поделиться на других сайтах
frig 2 Опубліковано: 2007-02-06 17:55:32 Share Опубліковано: 2007-02-06 17:55:32 по фре не силен, но в общих чертах задача все это дело системно загнать в файл, или лучше в базу, и выбрать по определенным критериям. это полезно не только для отлова нелегалов. в общем просмотреть загрузку сети, количество того, сего, в общем полезно. Ссылка на сообщение Поделиться на других сайтах
NetworkAdmin 0 Опубліковано: 2007-02-06 19:05:49 Автор Share Опубліковано: 2007-02-06 19:05:49 попробуй по trafshow посмотреть с параметром port 80 к примеру по трафшоу.. например вижу я что: 192.168.1.1 идёт на ya.ru ya.ru отвечает 192.168.1.1 НО КАКОЙ ШЛЮЗ ИСПОЛЬЗУЕТ 192.168.1.1 ?? Мой шлюз 192.168.1.10 или наглеца? как вычислить в пакете через какой шлюз пакет идёт? Ссылка на сообщение Поделиться на других сайтах
Amal 0 Опубліковано: 2007-02-06 20:17:16 Share Опубліковано: 2007-02-06 20:17:16 берёшь сканнер и в часы пик смотришь сеть. появляються незарегистрированные адреса, это роутеры. далее флудишь их как можно сильнее в итоге должен быть DoS. отказ в обслуживании. как показыыает практика можно просто завалить. Можно попробовать подобрать пароль, а можно самому поставить как гейт для своей машины и качнуть что-то огромное, или сделать этот роутер гейтом для сервака, и тада сам понимаешь... 100+ человек ломануться через этот канал... если именно роутером стоят, а если просто расшаривают инет через свой комп, тада сложнее.... а вообще посмотри в сторону Lan tricks в частности Lan spy удачи. Ссылка на сообщение Поделиться на других сайтах
Apelsin 34 Опубліковано: 2007-02-07 00:13:25 Share Опубліковано: 2007-02-07 00:13:25 Никак. Отловить можно только бродкасты. И дампить надо несколько часов во время активного использования инета. кстати помогает, в своё время так и делал. самый простой вариант посмотреть при помощи сканера кто проводит самое большее время включенныйм в сети тоесть 24/7... Ссылка на сообщение Поделиться на других сайтах
Queeq 0 Опубліковано: 2007-02-07 06:14:25 Share Опубліковано: 2007-02-07 06:14:25 НО КАКОЙ ШЛЮЗ ИСПОЛЬЗУЕТ 192.168.1.1 ?? Мой шлюз 192.168.1.10 или наглеца? как вычислить в пакете через какой шлюз пакет идёт? А мак-адрес там не показывается, на который идут пакеты? Ссылка на сообщение Поделиться на других сайтах
deep_admin 1 Опубліковано: 2007-02-07 09:37:34 Share Опубліковано: 2007-02-07 09:37:34 надо смотреть tcpdump'ом например исходящие запросы по хттп и не на мак адрес твоего шлюза, примерно так: tcpdump -i интерфейс -evn dst port 80 and not dst ether host мак_твоего_шлюза так можно выловить мак адрес человека который раздает Ссылка на сообщение Поделиться на других сайтах
NetworkAdmin 0 Опубліковано: 2007-02-07 11:16:59 Автор Share Опубліковано: 2007-02-07 11:16:59 надо смотреть tcpdump'ом например исходящие запросы по хттп и не на мак адрес твоего шлюза, примерно так:tcpdump -i интерфейс -evn dst port 80 and not dst ether host мак_твоего_шлюза так можно выловить мак адрес человека который раздает спасиб.. попробовал # tcpdump -i xl0 -evn dst port 80 and not dst ether host xx:xx:xx:xx:xx:xx tcpdump: syntax error # где грабли? если просто # tcpdump -i xl0 -evn dst port 80 начинает ловить все что на 80 порт... tcpdump: listening on xl0, link-type EN10MB (Ethernet), capture size 96 bytes Ссылка на сообщение Поделиться на других сайтах
NetworkAdmin 0 Опубліковано: 2007-02-07 11:22:39 Автор Share Опубліковано: 2007-02-07 11:22:39 разобрался. синтаксис немного не так # tcpdump -i xl0 -evn dst port 80 and not ether dst host хх:хх:хх:хх:хх:хх вот полезная ссылка http://www.protocols.ru/modules.php?name=N...article&sid=125 Ссылка на сообщение Поделиться на других сайтах
spawn_610 0 Опубліковано: 2007-02-09 08:43:03 Share Опубліковано: 2007-02-09 08:43:03 есть 2 способа отлова шлюза в сети: 1 - по TTL пакета, при прохождении через шлюз уменьшается на 1, тоесть от пользователя будут идти пакеты с кривыми TTL. Правда элементарно исправляется при помощи iptables в linux 2 - по порядковому номеру пакета, на выходе шлюза получтся каша из порядковых номеров в отличии от машины которая одна висит на канале. Исправляется програмированием. Конкретно инфу по данным приколам нужно рыть в нете. Когда то кажись видел в журнале хакер. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас