информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Сетевые кракеры и правда о деле ЛевинаПортрет посетителяSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Мелкие поправки с некоторыми пояснениями и обобщениями. 25.09.03 15:16  Число просмотров: 1617
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
> > Ну почемуже. Висит прога циклически по диапазону
> IPшников
> > шлет ARP запросы. Ведет свою базу MAC->IP при
> > обнаружении расхождений ругается в лог.
> Злоумышленник МАКадрес и АйПи-адрес может изменить
> одновременно.
> В исходнике было написано, что он МАКадрес и АйПи-адрес
> меняет.
Злоумышленник тоже человек и запросто может ошибиться когда нибудь. Кроме того было написано что вначале он тока IP менял.
<networking>
Помогите поймать вора 24.09.03 14:55  
Автор: DeepS Статус: Незарегистрированный пользователь
<"чистая" ссылка>
1. Ситуация следующая: В нашей "домашней" локальной сети (на самом деле она довольно большая, около полусотни домов) завелся вор. Он ворует интернет-траффик у других пользователей, подделывая IP-адрес, имя компьютера и говорят даже MAC-адрес. Админы никак не могут его поймать. Все, что им удалось выяснить, так это то что у него WinXP и вроде как нашли в логах некий MAC-адрес, которого в сети быть не должно.
2. Как это было со мной: В один прекрасный день мой брат увидел сообщение о конфликте IP-адресов и закрыл его, к сожалению не записав MAC-адрес. Больше это сообщение не появляется (видимо из-за того, что он подделывает MAC-адрес), а я теряю деньги именно тогда, когда мой комп выключен, обычно ночью.

В моей подсети я не единственная жертва. И качает он очень много. Я уж и по просьбе админов пару дней комп не включал, но его так и не поймали, хотя он накачал >20Мб. Подскажите пожалуйста, что можно предпринять в этой ситуации!
небольшой совет 03.10.03 15:08  
Автор: allum Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> 2. Как это было со мной: В один прекрасный день мой брат
> увидел сообщение о конфликте IP-адресов и закрыл его, к
> сожалению не записав MAC-адрес. Больше это сообщение не
> появляется (видимо из-за того, что он подделывает
> MAC-адрес), а я теряю деньги именно тогда, когда мой комп
> выключен, обычно ночью.

Если у тебя WXP или 2000 посмотри в журналы (eventlog) там должно быть событие (кажется от Application Popup) где записано выскочившее сообщение

И если коммутаторы управляемые то пусть админы посмотрят на каком порту твой МАС болтается и тот который найдеш в логах
Всем спасибо! 25.09.03 08:37  
Автор: DeepS Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Спасибо всем за помощь! Поговорю с админами, может они подумают, попьют пивка, снова подумают, снова попьют пивка... Авось что-нибудь решат. Некоторые итоги (как я их понял):
1. Сменить систему аутентификации и не бегать.
2. Много бегать, локализуя вора.
3. Проги слежения за сменой IP (надежда слабая). Кстати, не подскажите хотя бы одну такую прогу?
Мелкие поправки с некоторыми пояснениями и обобщениями. 25.09.03 10:01  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 25.09.03 10:02  Количество правок: 1
<"чистая" ссылка>
> Спасибо всем за помощь! Поговорю с админами, может они
> подумают, попьют пивка, снова подумают, снова попьют
> пивка... Авось что-нибудь решат. Некоторые итоги (как я их
> понял):
> 1. Сменить систему аутентификации и не бегать.

Это самое тупое, простое, не требующее никаких финансовых затрат. Единственное - пользователь пароли каждый раз вводить будут.

> 2. Много бегать, локализуя вора.

Даже совсем не дорогие свитчи умеют фиксировать МАК адреса для портов. Потребуются деньги на замену хабов на свитчи. Одноко если вора наказать (вплоть до лишения свободы), то для его вычисления свитчик можно взять "на прокат", поставить на дом, потом на подъезд. Можно и не свитчик, а писюк с двумя сетевухами, вести лог трафика. Времяемкая задача, но не требует финансовых расходов.

> 3. Проги слежения за сменой IP (надежда слабая). Кстати, не
> подскажите хотя бы одну такую прогу?

А это бред какой-то.
Мелкие поправки с некоторыми пояснениями и обобщениями. 25.09.03 14:01  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
> > 3. Проги слежения за сменой IP (надежда слабая).
> Кстати, не
> > подскажите хотя бы одну такую прогу?
> А это бред какой-то.
Ну почемуже. Висит прога циклически по диапазону IPшников шлет ARP запросы. Ведет свою базу MAC->IP при обнаружении расхождений ругается в лог.
Мелкие поправки с некоторыми пояснениями и обобщениями. 25.09.03 14:20  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Ну почемуже. Висит прога циклически по диапазону IPшников
> шлет ARP запросы. Ведет свою базу MAC->IP при
> обнаружении расхождений ругается в лог.
Злоумышленник МАКадрес и АйПи-адрес может изменить одновременно.
В исходнике было написано, что он МАКадрес и АйПи-адрес меняет.
Мелкие поправки с некоторыми пояснениями и обобщениями. 26.09.03 11:18  
Автор: DeepS Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Злоумышленник МАКадрес и АйПи-адрес может изменить
> одновременно.
> В исходнике было написано, что он МАКадрес и АйПи-адрес
> меняет.

Да именно так. Правда в исходнике я написал об этом как-то расплывчато...
Мелкие поправки с некоторыми пояснениями и обобщениями. 25.09.03 15:16  
Автор: Killer{R} <Dmitry> Статус: Elderman
<"чистая" ссылка>
> > Ну почемуже. Висит прога циклически по диапазону
> IPшников
> > шлет ARP запросы. Ведет свою базу MAC->IP при
> > обнаружении расхождений ругается в лог.
> Злоумышленник МАКадрес и АйПи-адрес может изменить
> одновременно.
> В исходнике было написано, что он МАКадрес и АйПи-адрес
> меняет.
Злоумышленник тоже человек и запросто может ошибиться когда нибудь. Кроме того было написано что вначале он тока IP менял.
Все таки интересно узнать топологию этой сетки 25.09.03 16:59  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
В том смысле, что знать типы железяк, которые обеспечивают канал клиент-пров. А знать для того, чтобы делать выводы о том, можно ли привязать MAC-и к портам на свитче, можно ли вообще как нибудь заставить свитч сообщать о смене мака на порту и т.п.
Все таки интересно узнать топологию этой сетки 26.09.03 11:21  
Автор: DeepS Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> В том смысле, что знать типы железяк, которые обеспечивают
> канал клиент-пров. А знать для того, чтобы делать выводы о
> том, можно ли привязать MAC-и к портам на свитче, можно ли
> вообще как нибудь заставить свитч сообщать о смене мака на
> порту и т.п.

Постараюсь все выяснить.
Помогите поймать вора 24.09.03 17:28  
Автор: Cyril <sc> Статус: Member
<"чистая" ссылка>
> 1. Ситуация следующая: В нашей "домашней" локальной сети
> (на самом деле она довольно большая, около полусотни домов)
> завелся вор. Он ворует интернет-траффик у других
> пользователей, подделывая IP-адрес, имя компьютера и
> говорят даже MAC-адрес. Админы никак не могут его поймать.
> Все, что им удалось выяснить, так это то что у него WinXP и
> вроде как нашли в логах некий MAC-адрес, которого в сети
> быть не должно.
> 2. Как это было со мной: В один прекрасный день мой брат
> увидел сообщение о конфликте IP-адресов и закрыл его, к
> сожалению не записав MAC-адрес. Больше это сообщение не
> появляется (видимо из-за того, что он подделывает
> MAC-адрес), а я теряю деньги именно тогда, когда мой комп
> выключен, обычно ночью.
>
> В моей подсети я не единственная жертва. И качает он очень
> много. Я уж и по просьбе админов пару дней комп не включал,
> но его так и не поймали, хотя он накачал >20Мб.
> Подскажите пожалуйста, что можно предпринять в этой
> ситуации!
Если вся идентификация пользователя происходит по его mac адресу, который легко меняется, то вычислить вора скорее всего не удасться
Единственное что могу предложить(при данном способе аутентификации) - действовать методом исключений
Админы выдают всем пострадавшим график доступа в инет
Насколько я понял, в вашей сети каждая сетевая карта(mac) тождественна владельцу, следовательно, если вор выходит в инет, когда по графику ваша машина выключена, необходимо отследить все mac адреса людей которые тоже находятся в инете в данный момент (они становяться в не подозрения, так как имеют алиби). Со временем можно будет обнаружить единственную машину которая не ходит в инет, во время несанкционированных подключений - теоретически это и будет вор.
Изъяснялся сумбурно, но надеюсь идея понятна.

з.ы. Вместо того что бы городить весь этот огород пускай админы сменят систему аутентификации
Помогите поймать вора 24.09.03 18:09  
Автор: fly4life <Александр Кузнецов> Статус: Elderman
<"чистая" ссылка>
> Если вся идентификация пользователя происходит по его mac
> адресу, который легко меняется, то вычислить вора скорее
> всего не удасться
> Единственное что могу предложить(при данном способе
> аутентификации) - действовать методом исключений
> Админы выдают всем пострадавшим график доступа в инет
> Насколько я понял, в вашей сети каждая сетевая карта(mac)
> тождественна владельцу, следовательно, если вор выходит в
> инет, когда по графику ваша машина выключена, необходимо
> отследить все mac адреса людей которые тоже находятся в
> инете в данный момент (они становяться в не подозрения, так
> как имеют алиби). Со временем можно будет обнаружить
> единственную машину которая не ходит в инет, во время
> несанкционированных подключений - теоретически это и будет
> вор.

Это легко обходится, если у "вора" будет поднято два МАК-адреса: свой и того, у кого воруют инет.

> з.ы. Вместо того что бы городить весь этот огород пускай
> админы сменят систему аутентификации

В этой ветке это уже предлагалось и, ИМХО, это единственный правильный способ в данной ситуации...
заставить админа побегать 24.09.03 17:21  
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 24.09.03 17:27  Количество правок: 1
<"чистая" ссылка>
выключить пару контрольных компов а потом когда появится какой нибудь из них - отправить 5-6 человек по комнатам со свичами физически отрубая выходы пока он пингуется. Начинать надо сверху вниз потихиньку локализуя эту темную личность. А как только личность будет локализована всеми 50ю домами устроить deathmatch. Главное - внезапность. Локализовать в какой доме он находится можно tracerut'ом если у вас там роутеры стоят где нибудь.
ЗЫ можно еще отключать свет по лестничным площадкам но это слишком жестоко.
ЗЗЫ есть проги следящие за сменами IP адресов (по MAC адресам) так же объявляющие о появлении нового MAC'а и следящие за онлайн-офлайн состяниями. Сопоставив появление нового компа с выключением каких ллегальных компов ибо можно так же сузить круг поиска. Минус - если он включил файрволл то не сработает.
Перейти всем на VPN и не забыть сменить пароли 24.09.03 15:06  
Автор: Yurii <Юрий> Статус: Elderman
<"чистая" ссылка>
Или кисок понаставить :))
Перейти всем на VPN и не забыть сменить пароли 24.09.03 15:43  
Автор: DeepS Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> Или кисок понаставить :))

Извините ради бога, но что это за киски?
Перейти всем на VPN и не забыть сменить пароли 24.09.03 15:51  
Автор: Yurii <Юрий> Статус: Elderman
<"чистая" ссылка>
> Извините ради бога, но что это за киски?

Построить сеть так, чтоб нельзя было физически поймать чужие пакеты.
Например с помощью роутеров фирмы Cisco.

PS: Дорого это :))
Перейти всем на VPN и не забыть сменить пароли 24.09.03 15:57  
Автор: DeepS Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > Извините ради бога, но что это за киски?
>
> Построить сеть так, чтоб нельзя было физически поймать
> чужие пакеты.
> Например с помощью роутеров фирмы Cisco.
>
> PS: Дорого это :))

Спасибо! Правда боюсь, что все останется как есть... :(
VPN - устанавливается практически без затрат. Оно вам и нужно. 24.09.03 16:08  
Автор: Yurii <Юрий> Статус: Elderman
Отредактировано 24.09.03 16:09  Количество правок: 1
<"чистая" ссылка>
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach