Помогите поймать

Михалыч

Guest

Это нравится:0 Да/0 Нет

23.02.2004 14:27:50

У меня в локалке (5 свитчей, примерно 100 хостов)обнаружился хост, который сканнирует все подряд. Кроме IP о нем ничего не известно. Имя не определяется. Из портов открыт только телнет (23).
Подскажите, как выяснить кто это и где это?

Pig killer

Administrator

Сообщений: 3843 Баллов: 3870 Регистрация: 10.12.2001

Это нравится:0 Да/0 Нет

23.02.2004 14:33:27

определяешь его Mac адрес, включаешь на свичах авторегистрацию mac адресов на портах. И сравниваешь где он сидит.

Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.

Михалыч Guest	#3 Это нравится:0 Да/0 Нет 23.02.2004 15:09:31 Я бы с радостью, да только свитчи CNet тупые как дрова. С полным отсутствием управления.

ksiva Editor Сообщений: 1106 Баллов: 1117 Регистрация: 14.07.2003 Безопасность? Это просто!	#4 Это нравится:0 Да/0 Нет 23.02.2004 16:44:27 блокирни адрес на выходе и он сам придет или позвонит.

Михалыч Guest	#5 Это нравится:0 Да/0 Нет 23.02.2004 16:50:49 Я уже сделал по другому. Вытаскивал по одному концы и смотрел не пропадет ли пинг:) Муторно, зато результат 100% надежности.

Shkoder

Guest

Это нравится:0 Да/0 Нет

06.03.2004 13:14:32

Ловили точно также "хулигана". Закрыл сволочь фаером все что мог, оставил тока чат. "Сидели на" центральном свиче, общались с ним по чату при этом по очереди выдергивая каждый свич. Нашли на каком он сидит, а потом точно также "сидели на" уже "его" свиче, тока при этом уже сканировали по 139 порту (кины решил позакачивать

)

Самое прикольное то, что он сидел на кабеле человека, который в это время тоже был в сети

...с другой осью, с другим маком, айпишником ну и т.д.

Как он это сделал я до сих пор не особо въезжаю, скорее всего стояла виртуальная машина (потому что шлюза тоже не было)

less Guest	#7 Это нравится:0 Да/0 Нет 06.03.2004 13:52:28 Я думал меня ловите Я периодически профилирую свой порт-сканер на "кошках" из пула халявных для меня IP.

Unreal

Guest

Это нравится:0 Да/0 Нет

25.03.2004 18:11:39

Цитата
Pig killer пишет: определяешь его Mac адрес, включаешь на свичах авторегистрацию mac адресов на портах. И сравниваешь где он сидит.

То есть по последовательности mac адресов (сервер, свич, порт свича) определить к какому порту на свиче он физически подключен? Я слышал что это только CISCO так могут делать (маршрут по мак адресам выстроить) оказывается и свичи такие бывают?

Тогда другой вопрос: можно как нибудь обойти это? Например меняю мак адрес на сетевухе но все равно ведь подключен к одному и тому же порту на свиче, а доступа к свичу нет...

Fisana Guest	#9 Это нравится:0 Да/0 Нет 25.03.2004 19:26:43 А может проанализировать входящие пакеты каким нибудь CommView -ом? Бывает, что при таком анализе всплывают спрятанные имена компов и прочего. Еще можно использовать Iris traffic network analizer. Просто запускаешь эти проги (они совместимы) и смотришь, что они тебе пишут. Соединение этого товарища с твоим компом ты заметишь, ну а дальше разберешься.. Вот ссылка на Iris, под рукой оказалась.. http://www.web-hack.ru/download/download.php?go=73

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?