Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Событие с кодом 4199 содержит помимо прочего мак врага, соответственно можно спокойно изучать свой eventlog 03.02.09 12:23 Число просмотров: 3750
Автор: Ustin <Ustin> Статус: Elderman Отредактировано 03.02.09 13:25 Количество правок: 4
|
> Как я понимаю, в идеале, прога должна сканировать локалку > для построения полной таблички адресов АйПи-МАК, далее > анализировать валидность каждой записи и если что-то не > так, то активизировать какой-нибудь алерт и писать в лог.
@echo off
set tmpfile=tmpfl
set /a LST = 1
echo 1 > %tmpfile%
:while
set /a LST = %LST% + 1
echo 192.168.0.%lst% >> %tmpfile%
if /I not [%LST%] == [254] goto while
::Создали файл со списком IP-адресов
for /f %%q in (%tmpfile%) do start ping -n 1 -w 1000 %%q
arp -a > result.txt
del %tmpfile%
---
В результате выполнения такого батника через некоторое время в файле result.txt будет табличка всех online-хостов подсетки 192.168.0.0/24 вне зависимости от запущеного на них файрвола :) (ессно, при условии что в качестве протокола канального уровня в этой сетке ходит arp). Соответственно, запуская батник периодически, есть шанс застать врага онлайн :)
Именно софтины такой не знаю (поэтому как бы оффтоп получается), но написать её, по-моему совсем просто, так как вся инфа лежит в евентлогах
> Еще желательно должна ловить АРПшные пакеты при > инициализации АйПи проверяющие коллизию и обнаруживающие > ее. Может есть еще какие-нибудь идеи или практика решения > подобных задач?
Так эта... типо методология: в бытность мою у провайдера мы делали так: на шлюзе табличка мак-ип, и pf не пропускает левых пацанов за шлюз (до vpn, который (шифровано) просит логин-пароль), и жалобы на кражи были только внутри подсетки и всего 1 раз (там чуть ли не родственные отношения были). Большие пацаны же, ходящие с пяти ноутбуков попеременно, покупали себе роутер и ставили его у входа в дом.
И только для больших и серьёзных бизнескомплексов делали нормальный vlan
А валидировать юзера только по ip - ИМХО слишком глупый путь, ведущий к большому количеству претензий, и по крайней мере я не знаю прова, который раздаёт лимитный инет по такой аутентификационной схеме.
> Добавлю, что пров планирует заменить оборудование на > управляемые на третьем уровне свитчи и приписать адреса > портам, что решит данную проблему, но в связи с > экономическим кризисом это решение не только откладывается > на неопределенный срок, но и вообще, ставится под вопрос > его реализация как таковая. Угу, это дороже чем мусорный комп с парой сетёвок на техэтаже :)
|
|
|