форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"В локальной сети появились левые IP, как их выявить?"
Сообщение от knsi (??) on 14-Апр-04, 13:30  (MSK)
В нашей локалке появился список адресов 10.10.*.* Выявлены tcpdump. Некоторые из них имеют один мак. Которому так же иногда соответствуют IP 213.33.170.193 81.19.66.19 66.139.79.44 194.84.95.65 Эти IP соответствуют разным провайдерам. С этого мака постоянно идет pingflood и другое нехорошее. Что это может быть и как с этим бороться?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "В локальной сети появились левые IP, как их выявить?"
Сообщение от kolayshkin (ok) on 14-Апр-04, 16:05  (MSK)
>В нашей локалке появился список адресов 10.10.*.* >Выявлены tcpdump. >Некоторые из них имеют один мак. Которому так же иногда соответствуют IP > >213.33.170.193 >81.19.66.19 >66.139.79.44 >194.84.95.65 >Эти IP соответствуют разным провайдерам. >С этого мака постоянно идет pingflood и другое нехорошее. >Что это может быть и как с этим бороться? что значит выявить?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "В локальной сети появились левые IP, как их выявить?"
	Сообщение от kolayshkin (ok) on 14-Апр-04, 16:13  (MSK)
	>>В нашей локалке появился список адресов 10.10.*.* >>Выявлены tcpdump. >>Некоторые из них имеют один мак. Которому так же иногда соответствуют IP >> >>213.33.170.193 >>81.19.66.19 >>66.139.79.44 >>194.84.95.65 >>Эти IP соответствуют разным провайдерам. >>С этого мака постоянно идет pingflood и другое нехорошее. >>Что это может быть и как с этим бороться? Кто-нибудь из пользователей что-нибудь подцепил, вот и бомбит тебя. А дальше просто смотреть откуда идут эти пакеты, сегмент сети или порт коммутатора, как сеть устроена.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "В локальной сети появились левые IP, как их выявить?"
	Сообщение от knsi (??) on 15-Апр-04, 08:29  (MSK)
	>>>В нашей локалке появился список адресов 10.10.*.* >>>Выявлены tcpdump. >>>Некоторые из них имеют один мак. Которому так же иногда соответствуют IP >>> >>>213.33.170.193 >>>81.19.66.19 >>>66.139.79.44 >>>194.84.95.65 >>>Эти IP соответствуют разным провайдерам. >>>С этого мака постоянно идет pingflood и другое нехорошее. >>>Что это может быть и как с этим бороться? >Кто-нибудь из пользователей что-нибудь подцепил, вот и бомбит тебя. А дальше просто >смотреть откуда идут эти пакеты, сегмент сети или порт коммутатора, как >сеть устроена. Хм сеть просто из >1000 компьютеров и комутаторов тоже много и выявлять долго. Мне просто интересно по пингам же можно вычислить удаленность (по задержкам как то) Хотя бы примерное местоположение - потому что по всей сети лазить долго, вот. И не знает ли кто нибуть статьи по этому поводу. И что он мог подцепить поконкретней, я такого класса вирусов не знаю - приведите пример пожалуйста.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "В локальной сети появились левые IP, как их выявить?"
Сообщение от ZXVF on 15-Апр-04, 10:57  (MSK)
>В нашей локалке появился список адресов 10.10.*.* >Выявлены tcpdump. >Некоторые из них имеют один мак. Которому так же иногда соответствуют IP > >213.33.170.193 >81.19.66.19 >66.139.79.44 >194.84.95.65 >Эти IP соответствуют разным провайдерам. >С этого мака постоянно идет pingflood и другое нехорошее. >Что это может быть и как с этим бороться? traceroute
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "В локальной сети появились левые IP, как их выявить?"
	Сообщение от shaman (??) on 15-Апр-04, 11:02  (MSK)
	>traceroute Если в одном сегменте - не поможет
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "В локальной сети появились левые IP, как их выявить?"
	Сообщение от kolayshkin (ok) on 15-Апр-04, 12:06  (MSK)
	Ну если есть возможночть наблюдать за каждым портом коммутатора то попробуй смотреть по каким портам идет. да и все, либо выдирай последовательно каждый порт у коммутатора и смотри tcpdump-ом что меняеться. Так постепенно локализуешь ту группу компьютеров в который может быть данный IP. По задержкам тоже наверное как-нибудь можно, только надо учитывать очень много факторов, причем просто МНОГО.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "В локальной сети появились левые IP, как их выявить?"
	Сообщение от knsi (??) on 16-Апр-04, 11:35  (MSK)
	А все таки если это вирус, то какого типа? Я бы полистал странички на эту тему, но не знаю с чего начать...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "В локальной сети появились левые IP, как их выявить?"
Сообщение от Дмитрий Ю. Карпов on 16-Апр-04, 11:49  (MSK)
Запусти ping на этот адрес и отключай сегменты сетИ - когда коннект исчезнет, станет понятно местонахождение гада. Все остальные параметры (IP, MAC) подделываются. А Ethernet малопригодна для отслеживания таких вещей.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "В локальной сети появились левые IP, как их выявить?"
	Сообщение от grimnir (??) on 16-Апр-04, 16:45  (MSK)
	Ежели коммутаторы цискины а МАС-адреса в пакетах совпадают, можно вычислить порт, куда подключён вредитель, через sh mac- | inc bla-bla-bla. А потом можно будет через RSPAN повернуть трафик с этого порта на себя и посниффить, что это за дрянь.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "В локальной сети появились левые IP, как их выявить?"
	Сообщение от knsi (??) on 20-Апр-04, 10:12  (MSK)
	Комутаторы не сиськины. А какие то вроде самые дешевые. И можно конечно по одному вычислять. Но мне все таки интересно может ли это быть вирусом
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.