информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Атака на InternetГде водятся OGRы
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / sysadmin
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
ну, вроде как через ДХЦП и получают они дефолт гейтвэй 10.06.03 11:09  Число просмотров: 1203
Автор: DimSys <Dmitriy J. Sourinoff> Статус: Member
<"чистая" ссылка>
не.. наличие отсутствия левых дхцп проверено..
<sysadmin>
Откуда default gateway??? 10.06.03 09:42  
Автор: DimSys <Dmitriy J. Sourinoff> Статус: Member
<"чистая" ссылка>
Издрастуйте.
Сеть: Win NT4 Server SP6a (PDC, DHCP, WINS). Через ДХЦП раздаются IP-адреса и адрес WINS сервера. Еще одна - Win NT 4 Server SP6a (WinGate).
Все в Инет ходят через Вингейт.
Есть также в сети машина (Win2k Server SP3, Winroute 5.0.2), с двумя интерфейсами (LAN и WAN). Но рабочие станции про нее не знают.

И вот проблема.. выискалось две умные машины (WinXP и Win98), которые почему-то себе в ipconfig прописали Default gateway - IP-адрес машины с винрутом.
Откуда они это взяли???
сделал ipconfig /renew - обратились к серверу, обновили конфигурацию, шлюз исчез.. но через пару дней - призовая игра..

Юзера, как проблема отпадают - свои проверенные люди.
И еще (может подсказка, а может наоборот).. С этих двух машин в Инет пытаются пробиться пакеты с 80-го порта (!!!) на динамический порт.. само собой, никаких веб-сервисов на них не поднято.. троянов, вроди как тоже нету.. по крайней мере Task Manager на XP никаких левых задач не показывает.. и касперский с нортоном молчат..
Вот так..
Вопросы 10.06.03 14:24  
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
<"чистая" ссылка>
> Издрастуйте.
> Сеть: Win NT4 Server SP6a (PDC, DHCP, WINS). Через ДХЦП
> раздаются IP-адреса и адрес WINS сервера. Еще одна - Win NT
> 4 Server SP6a (WinGate).
> Все в Инет ходят через Вингейт.
> Есть также в сети машина (Win2k Server SP3, Winroute
> 5.0.2), с двумя интерфейсами (LAN и WAN). Но рабочие
> станции про нее не знают.
Кстати, вопрос: НТ с вингейтом имеет свой WAN интерфейс, или ходит в инет через win2k?
А какой default gateway у остальных машин?
>
> И вот проблема.. выискалось две умные машины (WinXP и
> Win98), которые почему-то себе в ipconfig прописали Default
> gateway - IP-адрес машины с винрутом.
> Откуда они это взяли???
> сделал ipconfig /renew - обратились к серверу, обновили
> конфигурацию, шлюз исчез.. но через пару дней - призовая
> игра..
попробуй поставить pcap и windump на эти машины, и запусти на них
windump -s 0 -pn -w dumpfile ip dst net not <your_net>/<your_mask_bits> or src net not <your_net>/<your_mask_bits> and ether dst not ff:ff:ff:ff:ff:ff
Это выражение будет ловить все пакеты, которые идут на данную машину снаружи или с неё наружу.
А когда снова повторится, будешь уже конкретно смотреть что за пакеты, кто инициировал соединение итд
> Юзера, как проблема отпадают - свои проверенные люди.
> И еще (может подсказка, а может наоборот).. С этих двух
> машин в Инет пытаются пробиться пакеты с 80-го порта (!!!)
> на динамический порт..
Ответы 11.06.03 07:41  
Автор: DimSys <Dmitriy J. Sourinoff> Статус: Member
<"чистая" ссылка>
> Кстати, вопрос: НТ с вингейтом имеет свой WAN интерфейс,
> или ходит в инет через win2k?
Сама ходит..

> А какой default gateway у остальных машин?
По умолчанию - никакого..

> попробуй поставить pcap и windump на эти машины, и запусти
> на них
> windump -s 0 -pn -w dumpfile ip dst net not
> <your_net>/<your_mask_bits> or src net not
> <your_net>/<your_mask_bits> and ether dst not
> ff:ff:ff:ff:ff:ff
> Это выражение будет ловить все пакеты, которые идут на
> данную машину снаружи или с неё наружу.
> А когда снова повторится, будешь уже конкретно смотреть что
> за пакеты, кто инициировал соединение итд

Оно сможет показать приложение, которое является иннициатором соединения?
Чтож.. пасморим..
Спасибо.

P.S. Хотя, уже заинсталили Jammer'а - будем посмотреть..
ну, вроде как через ДХЦП и получают они дефолт гейтвэй 10.06.03 09:54  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
Отредактировано 10.06.03 09:54  Количество правок: 1
<"чистая" ссылка>
Может у тебя на Вингейте или на Винруте втихаря ДХЦП-сервер работает?
Или на НТ есть резервации в ДХЦП.
ну, вроде как через ДХЦП и получают они дефолт гейтвэй 10.06.03 11:09  
Автор: DimSys <Dmitriy J. Sourinoff> Статус: Member
<"чистая" ссылка>
не.. наличие отсутствия левых дхцп проверено..
Предположения 10.06.03 09:51  
Автор: whiletrue <Роман> Статус: Elderman
<"чистая" ссылка>
1. На "Win2k Server SP3, Winroute 5.0.2" - запущен ДХЦП (боюсь ошибиться, но там вроде есть встроенный)

2. ДХЦПой раздавай дефолт рут.
Неверные предположения.. 10.06.03 11:11  
Автор: DimSys <Dmitriy J. Sourinoff> Статус: Member
<"чистая" ссылка>
> 1. На "Win2k Server SP3, Winroute 5.0.2" - запущен ДХЦП
> (боюсь ошибиться, но там вроде есть встроенный)

нетуть..

> 2. ДХЦПой раздавай дефолт рут.

мне не нужен в сети гетвей..
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach