Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Прога, помогающая отслеживать назначения АйПи адреса. 03.02.09 11:11 Число просмотров: 3564 [Ustin]
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 03.02.09 11:15 Количество правок: 2
|
Тема чуть шире, чем просто найти подходящую прогу. Решение такой задачи - это комплекс мер, проа плюс методология. Одна из области применения - домашний интернет.
Возмем выход в инет через домашнюю эзернетовскю сетку. Мало какие провы практикуют только безлимитные тарифы. У определенных личностей может возникнуть желание попользоваться инетом за чужой счет. Домашние сети и биллинг может быть устроен по разному, но нет абсолютно надежных сетей, просто одни более надежны, другие менее. Имеется еще один постулат: чем более надежная сетка, тем сложнее ей пользоваться. Например, если использовать соксы или ВПН до шлюза прова, то надежность повышается, но и неудобства тоже. Например для установки своего роутера, нужно чтобы он на внешнем интерфейсе поддерживал тот же ВПН, что и пров. Да и периодические настройки выхода в инет, хранение/запоминаине паролей, сертификатов будет напрягать. И все равно, абсолютной защиты не будет, поскольку все равно возможно воровство пароля одним из многих способов.
Рассмотрим использование учета трафика и доступа по АйПи адресу. В принципе этим можно ограничится, поскольку если пров будет привязывать к АйПишнику МАК, это вызовет еще определенные неудобства плана периодического легитимного выхода в инет с разных компов/ноутбуков. К тому же МАК легко определяется подделывается.
Собственно вопрос - как определить, что какой-нибудь комп незаконно взял себе чужой АйПи адрес. Можно рассмотреть самый простой вариант, когда злоумышленник пытается незаконно подключится и у обоих выскакивает сообщение о коллизии адресов. В данном случае хотелось бы еще иметь и МАК адрес злоумышленника хотя бы, а лучше другие параметры, которые ОДНОЗНАЧНО идентифицируют его адаптер/комп. Так же интересует программа-монитор назначения адресов, которая может стоять как на любом отдельном компе, так и на компе-шлюзе или на компе-жертве.
Как я понимаю, в идеале, прога должна сканировать локалку для построения полной таблички адресов АйПи-МАК, далее анализировать валидность каждой записи и если что-то не так, то активизировать какой-нибудь алерт и писать в лог. Еще желательно должна ловить АРПшные пакеты при инициализации АйПи проверяющие коллизию и обнаруживающие ее. Может есть еще какие-нибудь идеи или практика решения подобных задач?
Добавлю, что пров планирует заменить оборудование на управляемые на третьем уровне свитчи и приписать адреса портам, что решит данную проблему, но в связи с экономическим кризисом это решение не только откладывается на неопределенный срок, но и вообще, ставится под вопрос его реализация как таковая.
|
- Прога, помогающая отслеживать назначения АйПи адреса. - DPP 03.02.09 11:11 [3564]
|
|
|
подробно о проекте
Анализ криптографических сетевых...
