Сканер активности хостов

Сканер активности хостов, помогите найти

Alex Boys

Guest

Это нравится:0 Да/0 Нет

17.10.2008 17:21:50

Доброго времени суток всем.Ищу программу,которая умеет сканировать подсеть на предмет таких ресурсов,как:MAC адреса,NetBios имена,ftp,http.Причём,важной функцией этой программы должно быть - сбор многократной статистики.Т.е.,что-бы она умела сканировать сеть не один раз,как это делают большинство подобных сканеров,а многократно,собирая статистику активности хостов в сети.Задача выявить более активных пользователей в сети.
Заранее спасибо.

^rage^ Guest	#2 Это нравится:0 Да/0 Нет 17.10.2008 17:38:53 откройте для себя netflow.

VictorVG

Guest

Это нравится:0 Да/0 Нет

17.10.2008 17:40:41

Alex Boys,

Цель сбора данных? Если отчёт для начальства, то тут годится любой анализатор трафика, если данные собираются для анализа проблем в сети - я бы посоветовал анализаторы сетевых протоколов с функцией обработки статистики. Если для других целей - формулируйте точнее задачу - так можно ответить только общими советами по выбору класса инструментов.

Alex Boys

Guest

Это нравится:0 Да/0 Нет

17.10.2008 21:02:17

Я преследую только одну - потребительскую цель.Как-бы это не звучало нагло,но конечная цель именно она.Поясню.Есть городская сеть.Сеть дающая доступ в интернет и внутреннюю сеть через выделенные каналы.Сама сеть разделена на сегменты и подсети.Авторизация в сети совершенно примитивная - неуправляемый коммутатор + привазка по IP + порт.От сюда следует,что человек,находящийся в той-же подсети,может подменить чужой IP адрес и пользоваться халявным интернетом.Моя же цель,узнать кто и во сколько сидит online,что-бы не было ситуации с конфликтом IP адреса.Подменить свои mac,ip,NetBios имя,данными жертвы.Нужно сделать всё по уму.
Я сам плачу за интернет исправно,но пользоваться всеми благами не могу,так как скорость не позволяет.Списки хостов с безлимитным интернетом у меня есть.Так что никто не в обиде и сеть не обиднеет =)

ZER0 Guest	#5 Это нравится:0 Да/0 Нет 17.10.2008 22:04:24 вообше посмотрите в сторону сниферов типа tcpdump хотя я и не уверен что они вам помогут ))

SOLDIER

Guest

Это нравится:0 Да/0 Нет

17.10.2008 23:56:39

Цитата
^rage^ пишет: откройте для себя netflow.

Ну и каким боком тут НетФлоу? Я бы посоветовал товарищу открыть для себя какти.

SOLDIER Guest	#7 Это нравится:0 Да/0 Нет 17.10.2008 23:59:19 Alex Boys - вы админ провайдера? С какой целью интересуетесь? "Подменить чужой IP" - в случае - если Вы не провайдер - не Ваши проблемы. Вернее, Ваши, но повлиять на ситуацию Вы не в состоянии.

°°°Trojan°°°™

Guest

Это нравится:0 Да/0 Нет

18.10.2008 01:56:33

Цитата
SOLDIER

Ну и каким боком тут какти ???

он же простой клиент той же сети, значит ему не приходит тот нужный трафик шобы его анализировать ... чтобы потом ище графики рисовать ...

Цитата
Alex Boys пишет: Моя же цель,узнать кто и во сколько сидит online

сегодня можт быть в 7:00 - 11:00 завтра кругласуточно и т.п ...
попробуй юзать nmap, можт как нить поможет )

Alex Boys

Guest

Это нравится:0 Да/0 Нет

18.10.2008 02:32:56

SOLDIER,нет,я не провайдер,я обычный потребитель сети.Мне нужен высокоскоростной канал интернета,при этом с минимальным риском появления хозяина интернета =))
Задача следующая:Просканировать хосты в сети через определённый промежуток времени(например,через 1 час) на предмет:mac,ip,nbt name.Так,что-бы всё это сохранилось в логе,что-бы я мог понять,кто и во сколько сидит в сети.В том,что вы предложили нет никакой подобной функции.Что-бы создать подобное потребуется время.Я ищу уже готовое решение.Подойдёт даже программа,которая может сохранить активность IP адресов

Изменено: Alex Boys - 18.10.2008 02:39:33

SOLDIER

Guest

#10

Это нравится:0 Да/0 Нет

18.10.2008 09:39:49

За сканирование можно по голове получить от провайдера. Я серьёзно говорю. Не верите - посмотрите свой договор, а также вот это - http://www.provider.net.ru/law.ofisp-008.php Я потому и спросил - провайдер ли Вы. По поводу МАКа - можете сразу забыть.

mayday

Guest

#11

Это нравится:0 Да/0 Нет

19.10.2008 01:29:00

Alex Boys
Автоматизированых средств нет. Ради интереса сам пробовал каин плюс х-спайдер. Каин тебе нужен чтобы составить список реально сущестующих хостов (абонентов), х-спайдер - чтобы быстро найти все активные хосты (без глубокого сканирования, просто добавить диапазон - в списке будут только активные хосты). Этот способ поможет тебе если на коммутаторе твой ип не привязан к порту. То что ты написал

Цитата
Авторизация в сети совершенно примитивная - неуправляемый коммутатор + привазка по IP + порт.От сюда следует,что человек,находящийся в той-же подсети,может подменить чужой IP адрес и пользоваться халявным интернетом.

есть бредЪ и ничего подобного из него не следует. Во первых сложно вообразить как на неуправляемом коммутаторе что-то куда-то привязвается, во вторых если работает порт секьюрити (даже по связке ип + порт) можешь менять хоть ип, хоть мак, хоть свой генетический код. На порт коммутатора это никак не повлияет. Если же этого нет (на самом деле должно быть), напиши лучше админам провайдера, если они не совсем мудаки - они тебе будут благодарны. Да и ты будешь спать спокойно зная что за воровство трафика тебе ничего не отобьют, потому как ты в любом случае спалишься :)

Изменено: mayday - 19.10.2008 01:33:20

SOLDIER

Guest

#12

Это нравится:0 Да/0 Нет

19.10.2008 17:59:50

Порт-секьюрити на НЕУПРАВЛЯЕМОМ свиче? Хм. Хотя может и можно.
Однако согласен с mayday. Не берите на себя функции провайдера. Это чревато очень серьёзными последствиями. Если схема защиты действительное такая - бегите от такого провайдера подальше. Ибо это предотвратите Ваше попадание на бабки с невозможностью в дальнейшем объяснить, что виноваты не Вы. Остальное я написал выше. С приведённой ссылкой рекомендую ознакомиться. Там ясно и чётко написано, что действия, которые Вы собираетесь предпринять, могут привести к разрыву с Вами договора (как минимум).

Алекс М

Guest

#13

Это нравится:0 Да/0 Нет

20.10.2008 17:27:40

Цитата
mayday пишет: х-спайдер

нда... было дело. прога хорошая, о когда начали сеть/24 сканировать - повисла сеточка...

grub Guest	#14 Это нравится:0 Да/0 Нет 20.10.2008 17:36:46 для известных MitM атак есть отличный пакет dsnif

grub

Guest

#15

Это нравится:0 Да/0 Нет

20.10.2008 17:59:10

Цитата

SOLDIER пишет:

За сканирование можно по голове получить от провайдера. Я серьёзно говорю. Не верите - посмотрите свой договор, а также вот это - http://www.provider.net.ru/law.ofisp-008.php Я потому и спросил - провайдер ли Вы. По поводу МАКа - можете сразу забыть.

А нельзя сказать: "А чёёё, я думал MAC-это канальный уровень?!

SOLDIER

Guest

#16

Это нравится:0 Да/0 Нет

20.10.2008 21:26:12

Да хоть анальный уровень. Выше ведь ясно указано,

Цитата
Alex Boys пишет: Авторизация в сети совершенно примитивная - неуправляемый коммутатор

Надеюсь, чем свич от хаба отличается объяснять не надо? Ну можно, конечно, ettercap (ну, или иную муть с ARP-poison) запустить. С риском положить вообще весь сегмент. И с риском ещё раньше быть пойманным.

mayday

Guest

#17

Это нравится:0 Да/0 Нет

20.10.2008 22:18:04

Цитата
прога хорошая, о когда начали сеть/24 сканировать - повисла сеточка...

Это как же вы умудрились?

Цитата
Ну можно, конечно, ettercap (ну, или иную муть с ARP-poison) запустить. С риском положить вообще весь сегмент. И с риском ещё раньше быть пойманным.

Исходя из практики, arp-poison тем же каином почти гарантированно кладет сегмент если только к порту помимо ип не привязан еще и мак, тогда "ложится" только "атакующий" хост. Но вот какой смысл людям заниматься такой херней, если пользы от этого ноль, а поскольку они тоже являются абонентами провайдера и пользуются интернетом (при подобных действиях они уронят его у себя же) хоть убей не пойму

На тему палева, хулиганские действия (не влекущие за собой попадалова на деньги абонентов) обычно игнорируются админами-рас3.14здяями провайдера, ибо либо порт секьюрити (а соответственно и мозги/руки техперсонала) есть либо его (мозгов/рук) нет. Плюс идея регулярно читать логи всех коммутаторов сети дело сомнительное

SOLDIER

Guest

#18

Это нравится:0 Да/0 Нет

20.10.2008 22:31:08

Цитата

mayday пишет:
Но вот какой смысл людям заниматься такой херней, если пользы от этого ноль, а поскольку они тоже являются абонентами провайдера и пользуются интернетом (при подобных действиях они уронят его у себя же) хоть убей не пойму

Да обычные детские шалости. Любознательность, если хотите. Обычно это проходит с возрастом.

Иногда отключаю подобных "любознательных личностей" в своей сети. Потом очень забавно слушать объяснения их действий. "Да я тут программу скачал - хотел попробовать". "Попробовали?"-спрашиваю - "понравилось?". Начинают слюни пускать - "я не знал. Я больше не буду".

Алекс М

Guest

#19

Это нравится:0 Да/0 Нет

21.10.2008 10:18:13

Цитата
mayday пишет: Это как же вы умудрились?

как как, запустили проверку 255 хостов - через 10 минут звонки начались: "ничего не работает, сервер не доступен, всё висит!!!". Запускали на самом можном из имеющихся серверов, на котором 1С сетевая SQL-ая работает. Вообщем сервак не выдержал и завис. Даже из РДП выкинуло, пришлось к консоли бежать.
Профиль выбрали Fast. Сейчас по одному компу прогоняю.

grub

Guest

#20

Это нравится:0 Да/0 Нет

21.10.2008 11:29:01

Цитата
SOLDIER пишет: Надеюсь, чем свич от хаба отличается объяснять не надо? Ну можно, конечно, ettercap (ну, или иную муть с ARP-poison) запустить. С риском положить вообще весь сегмент. И с риском ещё раньше быть пойманным.

поймать на неуправляемой железке проблематично (ну за исключением банального мониторинга лампочек и последовательного отключения линков). А сеть не ляжет, dsnif+fragroute работают нормально

Читают тему

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?