Пища для ума... Или хитрый пользователь.
Модератор: Модераторы
Сообщений: 7
• Страница 1 из 1
Sura » 31 янв 2004, 18:08
Очень интересная ситуация... моя фирма предоставляет доступ в интернет. И в одном сетевом массиве появился глюк и непросто глюк, а геморрой.
Какой-то умный малый сел на "чужие деньги" поменял МАС и IP и включил файрвол. Пользователь конектица. а ему говорят фигу такой уже есть. И что делать даже ума не приложу...
Меняем IP так он за ним скачет либо на другой садиться... Проверять всех бессмысленно он может платить просто за внутреннюю сеть.
Какой-то умный малый сел на "чужие деньги" поменял МАС и IP и включил файрвол. Пользователь конектица. а ему говорят фигу такой уже есть. И что делать даже ума не приложу...
Меняем IP так он за ним скачет либо на другой садиться... Проверять всех бессмысленно он может платить просто за внутреннюю сеть.
GifteD » 31 янв 2004, 18:17
Интересная ситуация, по любому хотелось бы узнать как разрулишь...
Искать его по ходу все равно придется. А чт если просто понаблюдать куда он ходит, что юзает, поснифить трафик на предмет отправки СМС, например, аська, почта, должен засветиться жжж... А с другой сторооны у тебя же должен быть фиксированный набор... Сделай аунтификацию чтоли... Гемор а что делать...
Напиши когда найдешь кул хацкера
Искать его по ходу все равно придется. А чт если просто понаблюдать куда он ходит, что юзает, поснифить трафик на предмет отправки СМС, например, аська, почта, должен засветиться жжж... А с другой сторооны у тебя же должен быть фиксированный набор... Сделай аунтификацию чтоли... Гемор а что делать...
Напиши когда найдешь кул хацкера
domovoy » 01 фев 2004, 02:50
Sura
Попробую предложить тебе схему обнаружения.
Ну во первых есть неплохой софт позволяющий отследить смену пользователем IP и MAC адреса в реальном времени, помоему называется Fluke Network, свяжись со мной или Harry33 в понедельник, постораемся тебе ее перебросить.
Ну и принцип ручной схемы обнаружения.
Пользователь в принципе может свободно узнать IP и МАС адрес соседей только в пределах своей подсети, если она не разбита на VLAN или эта возможность ограничена свичами. Влюбом случае ему остаются доступны адреса тех кто подключен к тому же хабу. Что то мне говорит что скорее всего у вас в сети конечные точки подключены к хабам, а уже те к свичам ну и далее.
То, что ты упомянул что ваш хацкер при смене пользователю IP скачет за ним говорит о том, что ему скорее всего доступен небольшой диапазон адресов, и скорее всего именно его соседей по хабу.
Если у вас фиксируется где какие адреса выдавались то это облегчит обнаружение это самого хаба.
В хабе количество портов 24 ну максимум 48, таких хабов (не учитывая варианта стека) максимум 3 далее уже свич, при правильной конфигурации свича он уже врядли сможет выловить адреса за ним.
Если отследить момент работы это умника под чужими данными (скажем позвонил пользователь, что адрес продублирован) оперативная бригада, поддерживая связь, выходит к самому крайнему узлу подключения (из расчитанных) этого адреса, тоесть к хабам или к свичу, в зависимости от схемы подключения.
В серверной (скажем так) настраивается снифер на мониторинг пакетов этого пользователя за ним остается оператор, поддерживая постоянную связь с бригадой. Бригада начинает на короткое время по очереди отключать сегменты узла, как только в мониторинге будет обрыв работы это адреса узел обнаружен. Ну и далее по цепочке по этой схеме уже непосредственно до порта это умника. Брать его только во время работы под чужим адресом, можно и смаски шоу дабы на долго запомнил.
Попробую предложить тебе схему обнаружения.
Ну во первых есть неплохой софт позволяющий отследить смену пользователем IP и MAC адреса в реальном времени, помоему называется Fluke Network, свяжись со мной или Harry33 в понедельник, постораемся тебе ее перебросить.
Ну и принцип ручной схемы обнаружения.
Пользователь в принципе может свободно узнать IP и МАС адрес соседей только в пределах своей подсети, если она не разбита на VLAN или эта возможность ограничена свичами. Влюбом случае ему остаются доступны адреса тех кто подключен к тому же хабу. Что то мне говорит что скорее всего у вас в сети конечные точки подключены к хабам, а уже те к свичам ну и далее.
То, что ты упомянул что ваш хацкер при смене пользователю IP скачет за ним говорит о том, что ему скорее всего доступен небольшой диапазон адресов, и скорее всего именно его соседей по хабу.
Если у вас фиксируется где какие адреса выдавались то это облегчит обнаружение это самого хаба.
В хабе количество портов 24 ну максимум 48, таких хабов (не учитывая варианта стека) максимум 3 далее уже свич, при правильной конфигурации свича он уже врядли сможет выловить адреса за ним.
Если отследить момент работы это умника под чужими данными (скажем позвонил пользователь, что адрес продублирован) оперативная бригада, поддерживая связь, выходит к самому крайнему узлу подключения (из расчитанных) этого адреса, тоесть к хабам или к свичу, в зависимости от схемы подключения.
В серверной (скажем так) настраивается снифер на мониторинг пакетов этого пользователя за ним остается оператор, поддерживая постоянную связь с бригадой. Бригада начинает на короткое время по очереди отключать сегменты узла, как только в мониторинге будет обрыв работы это адреса узел обнаружен. Ну и далее по цепочке по этой схеме уже непосредственно до порта это умника. Брать его только во время работы под чужим адресом, можно и смаски шоу дабы на долго запомнил.
Правильно заданный вопрос - это уже половина ответа.
Harry33 » 04 фев 2004, 14:17
domovoy
Ну ты кровожадный
Хотя в целом все правильно.
Если поставить Fluke и все работают в плоской сети, момент смены IP, MAC адресов NETBIOS имени машины и прочая полезная информация окажется у лператора практически мгновенно.
Ну ты кровожадный
Хотя в целом все правильно.
Если поставить Fluke и все работают в плоской сети, момент смены IP, MAC адресов NETBIOS имени машины и прочая полезная информация окажется у лператора практически мгновенно.
Знания, которые нельзя применить - бесполезны
Sura » 11 фев 2004, 00:37
В течении недели с небольшим ходили по этому массиву смотрели и проверяли. Так и не кчему и не пришли 
видимо кто-то из друзей предупредил. А через несколько дней он снова появился И опять все потекло по старому...
Может кто-то еще посоветует?
видимо кто-то из друзей предупредил. А через несколько дней он снова появился И опять все потекло по старому...
Может кто-то еще посоветует?
domovoy » 11 фев 2004, 02:37
Sura
Хоть чуть чуть диапазон поисков сузили ?
Предупредили а что ж вы так в открытую рыскали.
Хоть чуть чуть диапазон поисков сузили ?
Предупредили
а что ж вы так в открытую рыскали.Правильно заданный вопрос - это уже половина ответа.
Crazyman » 11 фев 2004, 19:14
Очень сложно будет отследить кто это делает. Если приблизительно известен сегмент в котором это происходит (~100 пользователей) можно попробовать использовать сниффер+сценарий. Делаем список пользователей в пределах сегмента. Т.е. мониторим сеть на предмет наличия юзеров, происходит смена мака -> делаем снимок сегмента (пользователи которые сейчас работают в онлайн отпадают), вычеркиваем их из списка потенциальных хакеров, так делается несколько раз. Это реально позволит сузить круг, в идеале выйти прямо на хакера, если выпадут все юзеры из списка сегмента.
Других идей нет никаких в принципе и видимо не у меня одного.
Других идей нет никаких в принципе и видимо не у меня одного.
Le Roi Est Mort, Vive Le Roi
Сообщений: 7
• Страница 1 из 1
Вернуться в Сетевые операционные системы
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4