информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Phrack #70/0x46 
 Возможно, Facebook наступил на... 
 50 лет электронной почте 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / software
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Событие с кодом 4199 содержит помимо прочего мак врага, соответственно можно спокойно изучать свой eventlog 03.02.09 12:23  Число просмотров: 3378
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 03.02.09 13:25  Количество правок: 4
<"чистая" ссылка>
> Как я понимаю, в идеале, прога должна сканировать локалку
> для построения полной таблички адресов АйПи-МАК, далее
> анализировать валидность каждой записи и если что-то не
> так, то активизировать какой-нибудь алерт и писать в лог.
@echo off
set tmpfile=tmpfl
set /a LST = 1
echo 1 > %tmpfile%
:while
set /a LST = %LST% + 1
echo 192.168.0.%lst% >> %tmpfile%
if /I not [%LST%] == [254] goto while
::Создали файл со списком IP-адресов
for /f %%q in (%tmpfile%) do start ping -n 1 -w 1000 %%q 
arp -a > result.txt
del %tmpfile%

---
В результате выполнения такого батника через некоторое время в файле result.txt будет табличка всех online-хостов подсетки 192.168.0.0/24 вне зависимости от запущеного на них файрвола :) (ессно, при условии что в качестве протокола канального уровня в этой сетке ходит arp). Соответственно, запуская батник периодически, есть шанс застать врага онлайн :)

Именно софтины такой не знаю (поэтому как бы оффтоп получается), но написать её, по-моему совсем просто, так как вся инфа лежит в евентлогах

> Еще желательно должна ловить АРПшные пакеты при
> инициализации АйПи проверяющие коллизию и обнаруживающие
> ее. Может есть еще какие-нибудь идеи или практика решения
> подобных задач?

Так эта... типо методология: в бытность мою у провайдера мы делали так: на шлюзе табличка мак-ип, и pf не пропускает левых пацанов за шлюз (до vpn, который (шифровано) просит логин-пароль), и жалобы на кражи были только внутри подсетки и всего 1 раз (там чуть ли не родственные отношения были). Большие пацаны же, ходящие с пяти ноутбуков попеременно, покупали себе роутер и ставили его у входа в дом.
И только для больших и серьёзных бизнескомплексов делали нормальный vlan

А валидировать юзера только по ip - ИМХО слишком глупый путь, ведущий к большому количеству претензий, и по крайней мере я не знаю прова, который раздаёт лимитный инет по такой аутентификационной схеме.

> Добавлю, что пров планирует заменить оборудование на
> управляемые на третьем уровне свитчи и приписать адреса
> портам, что решит данную проблему, но в связи с
> экономическим кризисом это решение не только откладывается
> на неопределенный срок, но и вообще, ставится под вопрос
> его реализация как таковая.
Угу, это дороже чем мусорный комп с парой сетёвок на техэтаже :)
<software> Поиск 








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach