Издрастуйте.
Сеть: Win NT4 Server SP6a (PDC, DHCP, WINS). Через ДХЦП раздаются IP-адреса и адрес WINS сервера. Еще одна - Win NT 4 Server SP6a (WinGate).
Все в Инет ходят через Вингейт.
Есть также в сети машина (Win2k Server SP3, Winroute 5.0.2), с двумя интерфейсами (LAN и WAN). Но рабочие станции про нее не знают.
И вот проблема.. выискалось две умные машины (WinXP и Win98), которые почему-то себе в ipconfig прописали Default gateway - IP-адрес машины с винрутом.
Откуда они это взяли???
сделал ipconfig /renew - обратились к серверу, обновили конфигурацию, шлюз исчез.. но через пару дней - призовая игра..
Юзера, как проблема отпадают - свои проверенные люди.
И еще (может подсказка, а может наоборот).. С этих двух машин в Инет пытаются пробиться пакеты с 80-го порта (!!!) на динамический порт.. само собой, никаких веб-сервисов на них не поднято.. троянов, вроди как тоже нету.. по крайней мере Task Manager на XP никаких левых задач не показывает.. и касперский с нортоном молчат..
Вот так..
Вопросы10.06.03 14:24 Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
> Издрастуйте. > Сеть: Win NT4 Server SP6a (PDC, DHCP, WINS). Через ДХЦП > раздаются IP-адреса и адрес WINS сервера. Еще одна - Win NT > 4 Server SP6a (WinGate). > Все в Инет ходят через Вингейт. > Есть также в сети машина (Win2k Server SP3, Winroute > 5.0.2), с двумя интерфейсами (LAN и WAN). Но рабочие > станции про нее не знают. Кстати, вопрос: НТ с вингейтом имеет свой WAN интерфейс, или ходит в инет через win2k?
А какой default gateway у остальных машин?
> > И вот проблема.. выискалось две умные машины (WinXP и > Win98), которые почему-то себе в ipconfig прописали Default > gateway - IP-адрес машины с винрутом. > Откуда они это взяли??? > сделал ipconfig /renew - обратились к серверу, обновили > конфигурацию, шлюз исчез.. но через пару дней - призовая > игра.. попробуй поставить pcap и windump на эти машины, и запусти на них
windump -s 0 -pn -w dumpfile ip dst net not <your_net>/<your_mask_bits> or src net not <your_net>/<your_mask_bits> and ether dst not ff:ff:ff:ff:ff:ff
Это выражение будет ловить все пакеты, которые идут на данную машину снаружи или с неё наружу.
А когда снова повторится, будешь уже конкретно смотреть что за пакеты, кто инициировал соединение итд
> Юзера, как проблема отпадают - свои проверенные люди. > И еще (может подсказка, а может наоборот).. С этих двух > машин в Инет пытаются пробиться пакеты с 80-го порта (!!!) > на динамический порт..
Ответы11.06.03 07:41 Автор: DimSys <Dmitriy J. Sourinoff> Статус: Member
> Кстати, вопрос: НТ с вингейтом имеет свой WAN интерфейс, > или ходит в инет через win2k? Сама ходит..
> А какой default gateway у остальных машин? По умолчанию - никакого..
> попробуй поставить pcap и windump на эти машины, и запусти > на них > windump -s 0 -pn -w dumpfile ip dst net not > <your_net>/<your_mask_bits> or src net not > <your_net>/<your_mask_bits> and ether dst not > ff:ff:ff:ff:ff:ff > Это выражение будет ловить все пакеты, которые идут на > данную машину снаружи или с неё наружу. > А когда снова повторится, будешь уже конкретно смотреть что > за пакеты, кто инициировал соединение итд
Оно сможет показать приложение, которое является иннициатором соединения?
Чтож.. пасморим..
Спасибо.
P.S. Хотя, уже заинсталили Jammer'а - будем посмотреть..
ну, вроде как через ДХЦП и получают они дефолт гейтвэй10.06.03 09:54 Автор: ZloyShaman <ZloyShaman> Статус: Elderman Отредактировано 10.06.03 09:54 Количество правок: 1
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
