forum.opennet.ru - "MAC+IP arptable" (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"MAC+IP arptable"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"MAC+IP arptable"
Сообщение от NextAngel on 13-Сен-02, 10:25 (MSK)
Great ALL, F1 plz! На сети идентивикация построена на связке IP+MAC (понимаю что ерунда... но пока так. допиш авторизацию будет на ipfw). Ну так вот... завелся у меня один "умелец" в сети который научился подменять IP+MAC на чужой и ходит под ними. Как этого червя выловить??? Шлюз поднят на FreeBSD 4.3, 2 сетевухи(внешняя и внутр.), IP реальные (NAT none, private IP - none)
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: MAC+IP arptable, qq, 12:11 , 13-Сен-02, (1)
- RE: MAC+IP arptable, NextAngel, 12:22 , 13-Сен-02, (2)
  - RE: MAC+IP arptable, qq, 16:37 , 13-Сен-02, (5)
RE: MAC+IP arptable, smooth, 15:10 , 13-Сен-02, (3)
- RE: MAC+IP arptable, NextAngel, 15:15 , 13-Сен-02, (4)
  - RE: MAC+IP arptable, maximk, 17:08 , 13-Сен-02, (6)
    - RE: MAC+IP arptable, NextAngel, 10:44 , 14-Сен-02, (7)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: MAC+IP arptable"

Сообщение от qq on 13-Сен-02, 12:11  (MSK)

>Great ALL, F1 plz! На сети идентивикация построена на связке IP+MAC (понимаю
>что ерунда... но пока так. допиш авторизацию будет на ipfw). Ну
>так вот... завелся у меня один "умелец" в сети который научился
да там и учиться нечему ... ifconfig hw ether под линухом.. (тока под фрей не советую то же самое пробовать через ifconfig mediaopt - фря пытается _прошить_ MAC в карту - я так одну запорол :-/ .. а линух прошить не пытается, просто меняет )
>подменять IP+MAC на чужой и ходит под ними. Как этого червя
>выловить??? Шлюз поднят на FreeBSD 4.3, 2 сетевухи(внешняя и внутр.), IP
>реальные (NAT none, private IP - none)
посниффать все
посмотреть куда ходят с того ip что в данное время подменяли - сайты, почта, icq, etc...
если не ясно, потом поискать другие ip которые так же себя ведут

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: MAC+IP arptable"

Сообщение от NextAngel on 13-Сен-02, 12:22  (MSK)

что мне даст то что я узнаю на какие IP он хлялся... да нихрена

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: MAC+IP arptable"

Сообщение от qq on 13-Сен-02, 16:37  (MSK)

>что мне даст то что я узнаю на какие IP он хлялся...
>да нихрена
пользовался e-mail ? - узнаешь его email - пойдет со своего законного ip - поймаешь
пользовался icq ? - узнаешь его icq, пойдет со своего законного ip - поймаешь
ходил на сайты - вероятно еще пойдет на те же сайты - ставим писать в лог обращения только к этим сайтам, смотрим кто ходит - вычисляем
можно еще просканировать nmap-ом, queso когда работает с подмененным адресом (но это надо поймать время) - узнаешь что открыто, примернор версию ос - для вычисления полезно
только конечно все это работает если пользователь имеет законный ip и ходит так же и под ним
а если он ходит только под чужими - то по крайней мере можно собрать о нем информацию - сайты, ники, email, icq
а потом уже в реале выяснять через знакомых

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: MAC+IP arptable"

Сообщение от smooth on 13-Сен-02, 15:10  (MSK)

>Great ALL, F1 plz! На сети идентивикация построена на связке IP+MAC (понимаю
>что ерунда... но пока так. допиш авторизацию будет на ipfw). Ну
>так вот... завелся у меня один "умелец" в сети который научился
>подменять IP+MAC на чужой и ходит под ними. Как этого червя
>выловить??? Шлюз поднят на FreeBSD 4.3, 2 сетевухи(внешняя и внутр.), IP
>реальные (NAT none, private IP - none)
пустить надо всё через прокси и поставить пароли на инет (правда) если сеть небольшая

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: MAC+IP arptable"

Сообщение от NextAngel on 13-Сен-02, 15:15  (MSK)

>пустить надо всё через прокси и поставить пароли на инет (правда) если
>сеть небольшая
а если у меня в сетке 327 юзверей! то что?

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: MAC+IP arptable"

Сообщение от maximk on 13-Сен-02, 17:08  (MSK)

а как насчет ppoe ?
ppp other ethernet .
Пробовал ?
Максим.

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: MAC+IP arptable"

Сообщение от NextAngel on 14-Сен-02, 10:44  (MSK)

>а как насчет ppoe ?
>ppp other ethernet .
>Пробовал ?
>
>Максим.
что это и как работает?

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: MAC+IP arptable"
Сообщение от qq on 13-Сен-02, 12:11 (MSK)
>Great ALL, F1 plz! На сети идентивикация построена на связке IP+MAC (понимаю >что ерунда... но пока так. допиш авторизацию будет на ipfw). Ну >так вот... завелся у меня один "умелец" в сети который научился да там и учиться нечему ... ifconfig hw ether под линухом.. (тока под фрей не советую то же самое пробовать через ifconfig mediaopt - фря пытается _прошить_ MAC в карту - я так одну запорол :-/ .. а линух прошить не пытается, просто меняет ) >подменять IP+MAC на чужой и ходит под ними. Как этого червя >выловить??? Шлюз поднят на FreeBSD 4.3, 2 сетевухи(внешняя и внутр.), IP >реальные (NAT none, private IP - none) посниффать все посмотреть куда ходят с того ip что в данное время подменяли - сайты, почта, icq, etc... если не ясно, потом поискать другие ip которые так же себя ведут
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: MAC+IP arptable"
	Сообщение от NextAngel on 13-Сен-02, 12:22 (MSK)
	что мне даст то что я узнаю на какие IP он хлялся... да нихрена
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "RE: MAC+IP arptable"
	Сообщение от qq on 13-Сен-02, 16:37 (MSK)
	>что мне даст то что я узнаю на какие IP он хлялся... >да нихрена пользовался e-mail ? - узнаешь его email - пойдет со своего законного ip - поймаешь пользовался icq ? - узнаешь его icq, пойдет со своего законного ip - поймаешь ходил на сайты - вероятно еще пойдет на те же сайты - ставим писать в лог обращения только к этим сайтам, смотрим кто ходит - вычисляем можно еще просканировать nmap-ом, queso когда работает с подмененным адресом (но это надо поймать время) - узнаешь что открыто, примернор версию ос - для вычисления полезно только конечно все это работает если пользователь имеет законный ip и ходит так же и под ним а если он ходит только под чужими - то по крайней мере можно собрать о нем информацию - сайты, ники, email, icq а потом уже в реале выяснять через знакомых
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

3. "RE: MAC+IP arptable"
Сообщение от smooth on 13-Сен-02, 15:10 (MSK)
>Great ALL, F1 plz! На сети идентивикация построена на связке IP+MAC (понимаю >что ерунда... но пока так. допиш авторизацию будет на ipfw). Ну >так вот... завелся у меня один "умелец" в сети который научился >подменять IP+MAC на чужой и ходит под ними. Как этого червя >выловить??? Шлюз поднят на FreeBSD 4.3, 2 сетевухи(внешняя и внутр.), IP >реальные (NAT none, private IP - none) пустить надо всё через прокси и поставить пароли на инет (правда) если сеть небольшая
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: MAC+IP arptable"
	Сообщение от NextAngel on 13-Сен-02, 15:15 (MSK)
	>пустить надо всё через прокси и поставить пароли на инет (правда) если >сеть небольшая а если у меня в сетке 327 юзверей! то что?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "RE: MAC+IP arptable"
	Сообщение от maximk on 13-Сен-02, 17:08 (MSK)
	а как насчет ppoe ? ppp other ethernet . Пробовал ? Максим.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "RE: MAC+IP arptable"
	Сообщение от NextAngel on 14-Сен-02, 10:44 (MSK)
	>а как насчет ppoe ? >ppp other ethernet . >Пробовал ? > >Максим. что это и как работает?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх