Народ помогите.. Есть Локалка, довольно большая... я являюсь администратором. Но с недавних пор какой то падонак занимается подменой IP и маков, просто так, ничего при этом не творя лишнего. Серваки все нормально работают (после первых же сообщения от юзеров всё перепроверил). Инет ни у кого не утекает... Всё ок, но он реально достаёт всех, причём допустим он мой IP не брал ни разу. А некоторых - постоянно. И народ жалуется, мне надо его как нить поймать, подскажите как???
HELP! Подмена мака!
|
05.01.2006 21:18:50
|
|
|
|
|
|
05.01.2006 22:23:48
Либо ставить свичи с port security и делать привязку IP/MAC на каждом порту, или nix`овые роутеры на которых раскручивать logwatch и мониторить.
|
|
|
|
|
|
05.01.2006 22:54:40
Со свичами облом... сетка изначально построена тупо и получается так что практически у каждого пользователя свой отдельный свич (не экономно), с роутерами будет попроще....
|
|
|
|
|
|
07.01.2006 17:47:20
Это НЕ извращество. так и надо ДЕЛАТЬ. В ващем случае необходимо поднять PPPoE сервер(FreeBSD - mpd, Linux - |
|||
|
|
|
|
07.01.2006 18:54:35
хм...
просто сделай привязку на осн шлюзе Ip+mac и поймаешь его по днс имени... а вообще, по этому вопросу уже написано 1000статей, читай на bsd порталах... |
|
|
|
|
|
08.01.2006 22:13:20
2)что значит "поймаешь его по днс имени"? |
|||
|
|
|
|
08.01.2006 22:27:04
Какое отношение имеет dns имя к подмене IP/MAC ? |
|||
|
|
|
|
09.01.2006 02:12:07
Если управляемых свичей нет, если нет домена (в этом случае ip можно привязать к mac), если с фрибсд проблемы, если в сети нет win me, win 98 машин, а только xp и 2000 то - на доверенных компьютерах поднимаешь уникальные сервисы (с функцией вопрос ответ) и каждые 15 секунд делаешь опрос, в случае если сервис не отвечает и ты уверен, что компьютер включён ВОР ПОЙМАН, осталось только обратиться по ip и очень быстро снять признаки.
Метод работает, сам ловил. Стоит отметить, что сервис должен быть написан зарание, вопрос ответ шифроваться, опросу должны подвергаться не только те компьютеры где есть сервис, но и те где его нет (вдруг ещё и шниферы работают). Конечно в идеале, подобные сервисы должны стоять на всех компьютерах, но в случае если "домашняя сеть" это просто невозможно, да и не нужно.. домен нужен. |
|
|
|
|
|
09.01.2006 09:46:20
Аргументируйте
Только в данном конкретном случае если нет возможности заменить железо. Мои аргументы почему это изврат: Это ИЗВРАТ в чистом виде, подходящий только для мелких домашных сеток, что в данном случае автору подойдет, а вот провайдеры которые раскручивают подобный доступ вообще не должны существовать, особенно убивает когда какой-нибудь региональный пров через ppptp раздает инет а я хочу поставить pix..... ИМХО у нормальных провайдеров есть деньги, естьб люди у которых руки растут не из ж... и есть нормальное оборудование поддерживающее 802.1x и др. |
|||||
|
|
|
|
09.01.2006 10:50:17
 Будешь интенсивно ловить-он ведь может и обидеться..А что можно натворить в локалке-долго рассказывать..
2karina
 |
|||||||
|
|
|
|
09.01.2006 13:56:25
Потому как в случае данного человека иного выхода нет. И никакой это не изврат, а вполне вменяемое решение для обеспечение секурности
Вы советуете человеку покупать Catalyst'ы или Nortel'ы ? А о стоимости подобного решения Вы подумали ? ИМХО PPPoE в данном конректном случае есть самое что ни на есть лучшее решение. |
|||||
|
|
|
|
09.01.2006 14:05:16
2edwin
В данном конкретном случае, согласен, но и вы согласитесь что такие вопросы надо начинать решать с правильного планирования/построяния сети на правильном оборудовании а не приделывать софтверные костыли заужающие канал а также сжирающие ресурсы систем с обоих сторон. |
|
|
|
|
|
09.01.2006 14:50:59
Если свитчей немного, то устроить облаву.
1. Выдернуть кабель из свитча Если чел пропал, то придти по выдернутому кабелю к свитчу и повторить действие первое Иначе взять другой кабель повторить действие первое И так пока выдернутый кабель не окажется подключеным к компу этого "падонка". Можно провернуть какой-нить психологический трюк, объява типа "Гавнюк, если еще раз сменишь MAC, запущу программу X, которая покажет по твоему MACу не только где ты живешь, но и сколько ты в детстве раз абписивался :)" И последний вариант от меня. Как только засек что появился новый MAC и IP, каким-нить arp атакером блочишь ему все IP твой локалки. И так пока ему не надоест менять MAC. |
|
|
|
|
|
09.01.2006 19:58:25
Ай Вася Пупкин зажёг... в сети (в моём сегменте 130 человек) более 250 челов, а ты говоришь выдёргивать утпху из свичей=))
Люди, я просил помощи в моей проблеме, а не устраивать дискуссию по поводу провайдеров инета.. Для инета у нас стоит впн сервак, так, что тут всё ок. Не правда тип бесит просто, реально людям кровь портит и всё. Вот ща юзаю идею по arpwatch. Посмотрим что будет! |
|
|
|
|
|
09.01.2006 23:20:37
могу только посочувствовать. нельзя сеть из 250 человек строить на обычных неуправляемых свитчах. ошибка проектирования вылезла.
|
|
|
|
|
|
10.01.2006 00:14:53
Да и вначале вся сеть строилась на интузиазме пользователей, я уж потом появился вместе с другими админами. |
|||
|
|
|
|
10.01.2006 15:37:03
Это вообще да, и в принципе в данном случае и не сильно дорогое оборудование помогло бы .. типа
О понятии "гарантированный уровень сервиса" Вы слышали ? А "выдернуть шнур" ... это извините с этим принципом ниак не вяжется.
Я свои советы представил. Твое дело воспользоваться ими или нет. |
|||||||
|
|
|
|
10.01.2006 15:53:51
Согласен для 250 челов такой вариант не катит.
Подбирает, а потом чтобы на серваке в логах доказательств не было меняет MAC и сидит на халяву в нете. |
|||
|
|
|
|
10.01.2006 16:01:20
1- Если меняется и МАС и IP то на что юзеры жалуются интересно? Как это у них проявляется учитывая что трафик он не крадёт?
|
||||
|
|
|
|||
Читают тему