Interceptor Posted August 31, 2006 Posted August 31, 2006 Есть провайдер, в сети которого запрещено вручную выставлять ip адрес. То есть адрес выделяется ихним сервером автоматически. Есть мой хороший знакомый, которого в один прекрасный день отключили от инета, якобы за то, что он выставил вручную себе ip адрес и тем самым нарушил работу ДВУХ банков. Те якобы работали под этим адресом. На него пало подозрение по той причине, что МАС адрес у компа, который вышел в сетку с выставленным ip адресом был его. Сейчас этому человеку провайдер угрожает возбуждением криминального дела. Реально человек говорит, что ничего подобного он не делал и я ему верю. Хочется ему помочь. Рассказываю ситуацию после осмотра места и консультаций с провайдером. Компьютер моего знакомого, назовем его Андрей имеет МАС-адрес к примеру 12:34:56:78:90:AB. Он подключен к неуправляемому свитчу Supercom на 8 портов (также в этот свитч подключены еще несколько людей. К этому свитчу идет линк на управляемый маршрутизатор cisco, за которым идет линия оптоволокна. С управляемого маршрутизатора cisco идет несколько линков на другие неуправляемые свитчи. В сети присутствует также: - DHCP сервис, который раздает автоматом IP адреса - 1-й сервер статистики (пользователей). Синхронизирует локальное время каждые два часа - 2-й сервер статистики (банка). Синхронизирует локальное время каждые два часа - сервер банка под управлением FreeBSD, имеющий определенный статический IP адрес (к примеру 10.1.15.75) Схема сети: По договору, заключенному с провайдером, Андрей не имеет права менять свой IP/MAC адреса. Провайдер имеет право отключить Андрея на свое собственное усмотрение. Имеются логи статистики с 1-го и 2-го серверов. (биллинговая система не сертифицирована, провайдер заявил что биллинговая система тут вообще не причем и причем тут ее сертификация) На 1-м сервере наблюдаем следующую картину: Андрей, имея IP адрес, выданный ему DHCP сервисом 10.5.5.100 (до этого момента такой адрес он тоже получал и это не вызывало проблем) подключается в 11:27:43 к VPN серверу, проходит аутенфикацию и получает внешний IP: 10.2.30.140. В 14:51:32 соединение с VPN сервером разрывается (как утверждает провайдер неактивность компьютера вычисляется через пакеты, проходящие каждые 5 секунд, если на протяжении 3-4 минут клиентский компьютер не отвечал на эти пакеты) На 2-м сервере статистики (по банковскому соединению) наблюдаем: 12:12:55 – разрыв соединения с Интернетом 12:50:59 – восстановление соединения 13:12:45 – повторный разрыв 14:48:32 – восстановление соединения Также есть сервер банка (на FreeBSD), который в это же время (точно не могу сказать, так как его логов не видел) фиксировал смену MAC адреса у сервера с IP 10.1.15.75 (банковский сервак). Причем МАС адрес менялся на адрес компьютера Андрея 12:34:56:78:90:AB. Что сделал провайдер: Он локализировал район (путем поочередного отключения всех районов, район Андрея он тоже отключал!), обнаружил район, который вызывает проблему. По проблемному МАС-адресу выявил источник – компьютер Андрея, и выдернул (по словам провайдера) из его свитча кабель который вел на Андрея ровно в 14:48:32. В это же время появилось соединение у банка. Дополнительная информация: 1. В городе в районе 12:10 было отключение (скачки) электричества 2. Свитчи у них стоят самые дешевые, купленные с горевшими портами на киевском радиорынке. 3. В момент проблем в доме находились двое родителей Андрея. 4. Всек это происходило в выходной день, и как следствие в банке было очень ограниченное количество лиц. Предположения: Я смог выдвинуть всего одно предположение, что в свитч, в который подключен Андрей был подключен компьютер злоумышленника, который выключил комп, поменял свой MAC (на 12:34:56:78:90:AB), IP адрес (на 10.1.15.75), включился в 12:12:55, с другого компьютера пинговал адрес 10.5.5.100, как только связь пропала – отключил свой комп. Как объяснил провайдер такое невозможно, так как идет привязка IP к MAC на свитче (свитч неуправляемый, что он имел в виду не знаю) и поэтому пинги б не прошли. То есть нужно иметь второй компьютер за пределами свитча, который бы делал пинг на 10.5.5.100. А это очень маловероятно. Поэтому отметается провайдером. Провайдер предположил, что Андрей просто поставил на свой сетевой интерфейс еще один IP адрес 10.1.15.75 для того чтобы перехватывать пакеты, идущие на банк. То есть при появлении в сети еще одного компьютера с таким же IP адресом пакеты не доходили до банка, а оставались на этом компьютере. Теперь: если провайдер действительно отключал район с Андреем, почему у него не пропадало соединение с Интернетом? Возможно у вас есть еще предположения как могло произойти подобное? Есть ли в моем предположении здравый смысл? Возможно есть более логичные объяснения? Присутсвие силовых кабелей рядом со своим оборудованием провайдер допускает, но не считает, что наличие могло спровоцировать логически направленные ошибки. Также он отметает возможность ошибок DHCP сервиса и любых ошибок оборудования, так как ошибки были направленные и логические. Помогите пожалуйста разобраться. Вставить ник Quote
Nailer Posted August 31, 2006 Posted August 31, 2006 А что это за оператор такой, у которого банки в одном сегменте с физиками? Назовите, страна должна знать своих героев :-) "2. Свитчи у них стоят самые дешевые, купленные с горевшими портами на киевском радиорынке." - дело приоисходит в России или на Украине? Вставить ник Quote
Interceptor Posted August 31, 2006 Author Posted August 31, 2006 А что это за оператор такой, у которого банки в одном сегменте с физиками? Назовите, страна должна знать своих героев :-)Я не уверен, что в одном сегменте. Топологию сети к банку я не знаю. Я предполагаю, что физически он подключен к той же линии оптоволокна, что и обычные пользователи. Причем в эту же линию идут все пакеты от банкоматов, направленные на банковский статический ip адрес. Назовите, страна должна знать своих героев :-)Извиняюсь пока не могу :-( Как только пройдут судовые разбирательства - назову. "2. Свитчи у них стоят самые дешевые, купленные с горевшими портами на киевском радиорынке." - дело приоисходит в России или на Украине?Украина Вставить ник Quote
Interceptor Posted August 31, 2006 Author Posted August 31, 2006 Если на порту Cisco был свитч с 7 компами и два из них одновременно имели 1 и тот же mac адрес, Cisco зафиксировал бы это в своих логах? С разными ip адресами? - Если в свитч Supercom воткнуто два компьютера, имеющих один и тот же ip адрес (к примеру 10.0.0.5), сколько ответов будет получать 1-й компьютер (за ним на сетевом интерфейсе, смотрящим в сетку закреплено 3 ip адреса: 127.0.0.1, 10.0.0.5 и 10.2.3.4) если он пингует 10.0.0.5? - Сколько ответов на пинг получит 4-й компьютер, если подумать, что от свитча идет линк на другой свитч, в котором собраны 1-й и 4-й компьютеры, пингуя 10.0.0.5? - Сколько ответов на пинг получит 3-й компьютер тоже воткнутый в этот свитч, пингуя 10.0.0.5? - А если эот 3-й компьютер был воткнут в другой свитч, который соединен с этим через CIsco? Сколько будет ответов на все тот же пинг? Мне провайдер доказывал, что будет 1 ответ во всех случаях, а в первом вообще будет loopback (насчет первого согласен, но не уверен, что не будет ответа от другого компа в сети) Если в сети работает 1 комп, имеющий ip адрес 10.2.3.4, и в той же сети вдруг (в момент когда работает 1-й комп) возникает 2-й комп, имеющий тот же ip адрес что будет происходить? Куда будут идти пакеты? Вставить ник Quote
Ascent77 Posted August 31, 2006 Posted August 31, 2006 (edited) 1) provaider otmorozhennyj derzhat' v odnom i tom zhe segmente l2 bank i userov, uzhe pokazyvajet polnuju profneprigodnost'. 2) na neupravljajemom oborudovanii vozmozhno vsjo naprimer sgenerirovat' paket s ljuboj strukturoj i poslat' ego v set', to est' s ljubym ip adresom otpravitelja i poluchatelja, a takzhe s ljubym mac adresom otpravitelja i poluchatelja, dlja etogo ne objazatel'no igrat'sja s adapterom dostatochno, winpcap 3) uchityvaja punkt 1. i punkt 2. uchastije vashego druga v zagovore protiv banka nedokazuemo. Edinstvennyj variant' eto zapisi v logah cisco ili snifera, pri uslovii chto vse ostal'nye usery v segmente byli otlkjucheny i v prisutstvii svidetelej. P.S. sorry za translit. Edited August 31, 2006 by Ascent77 Вставить ник Quote
ayamb Posted August 31, 2006 Posted August 31, 2006 Сразу можно предположить массу одиночных событий или раскладов с несколькими одновременными и корелирующими между собой событиями, как по инициативе Андрея, так и без его участия, могущими привести к именно такой ситуации или близко похожей на нее... 1. На техническом уровне практически невозможно доказать вину Андрея. На юридическом уровне обвинителю потребуется заключение независимого специалиста. Вменяемый специалист, руководствуясь предоставленными ему доказательствами, вряд ли утвердит виновника. Следователю, дознавателю и другим, без поттасовок производящим подобное дело, светит только лишь при прямом или косвенном признании Андрея своей вины! 2. С юридической точки зрения, взаимоотношения трех сторон, при судебном разбирательстве, объективно будут запутаны основательно. (Субъективно - зависит от знаний юриспруденции сторон, их заинтересованности и долбо@@изма.) 3. Служба (лицо), отвечающая в банке за информационную безопастность и руководство банка не имеют договорных отношений с Андреем. Возбуждать расследование в этом направлении они могут только на предмет понесения убытков. Возбуждать расследование против Андрея они могут лишь только имея ввиду его личный корыстный умысел. Доказать умысел сложно. Причастность Андрея к этому можно обозначить только при помощи провайдера. Сопутствующий иск Андрея провайдеру по поводу возникновения ситуации, являющейся предметом предъявленного ему банком иска, делает провайдера лицом заинтересованным в данном разбирательстве. Привлечение независимых технических специалистов и новое разбирательство... Банк может возбудить дело на предмет понесения убытков без обозначения личностей, против того, с кем имеет договорные отношения. Но только после того, как предоставит документальное подтверждение своих убытков. А на это они вряд ли пойдут, т.к. получить пинков от своего руководства (а надо бы :/), поиметь проблемы с федеральными и вышестоящими финансовыми службами, "белым" документооборотом можно запросто. Да и встречный иск от провайдера и перекрестный иск от Андреся, если до него докопается в судебном порядке провайдер, не исключается... Провайдер самостоятельно подавать в суд на Андрея вряд ли будет, т.к. подмена МАС/IP мало того, что не доказуема, но еще и, произведенная без злого умысла, не несет уголовной и/или административной ответственности. Умысел может предъявить только банк,.. но только через провайдера... тут опять всплывает заинтересованность (явная попытка поработать "стрелочником"), и как следствие - встречный иск... Андрей мог бы запросто возбудить судебное расследование с обоими сторонами, но только выступать инициатором в тяжбе с банком он пока еще не может, а для разбирательств с провайдером ему нужно чаще документировать улики... P.S. Интересно... если дать команду <ping 194.226.82.50 num=100 Len=1472> утром меня посодют или просто набьют морду ?.. :) Вставить ник Quote
Interceptor Posted August 31, 2006 Author Posted August 31, 2006 Андрей мог бы запросто возбудить судебное расследование с обоими сторонами, но только выступать инициатором в тяжбе с банком он пока еще не может, а для разбирательств с провайдером ему нужно чаще документировать улики...Немного не понял зачем что-то документировать? Как факт есть отклбчение провайдером Андрея от сети. Нарушение незаконное. Андрей направил письмо, оформленное по всем правилам провайдеру и зарегистрировал его во входящей кореспонденции (ессно с копией). То есть факт отключения будет подтвержден как только провайдер даст ответ. Ну а далее только собрать всяческие справки из всяких санаториев/лечебниц /с работы, что он понес тяжелый моральный и материальный ущерб от действий провайдера. Я думаю, что он этим займется уже сегодня :) Но меня, как технаря, все же больше интересует техническая сторона дела. Хочется все-таки докопаться до сути. Просто мне скорее всего прийдется выступать свидетелем/независимым экспертом со стороны Андрея (если не сможем никого найти более опытного, а в нашей глубинке это достаточно проблематично) и я должен иметь возможность чем-то оперировать, ну или хотя бы подсказать специалистам возможные варианты. Вставить ник Quote
ayamb Posted August 31, 2006 Posted August 31, 2006 ...Ну а далее только собрать всяческие справки из всяких санаториев/лечебниц /с работы, что он понес тяжелый моральный и материальный ущерб от действий провайдера. Я думаю, что он этим займется уже сегодня :) А вот врать совсем и не обязательно... Это только в голивудских боевиках хороший тон; - показав минут пять беспредел "плохого", остальную часть времени радовать глаз зрителя, принося ему моральное удовлетворение, "обоснованным" беспределом "правильного" героя, и "поучительными" страданиями "плохого"... :) Вставить ник Quote
ram_scan Posted September 1, 2006 Posted September 1, 2006 Резюме. На управляемых свитчах с поддержкой VLAN, портсекьюрити или dhcp relay-ингом описаная ситуация невозможня в принципе. На неуправляемых мыльницах, или управляемых "недосвитчах", особенно постфактум, концов никогда никто не найдет. Вставить ник Quote
Iron_Ko Posted September 1, 2006 Posted September 1, 2006 Если описанное действие происходит в Донецком регионе, то возможно всё ;-) (поиск виновных и наказание невиновных и любой судебный беспредел), так что чем больше встречный наезд, тем лучше. Вставить ник Quote
Валентин. Posted September 1, 2006 Posted September 1, 2006 >Что сделал провайдер: >Он локализировал район (путем поочередного отключения всех >районов, район Андрея он тоже отключал!), обнаружил район, >который вызывает проблему. По проблемному МАС-адресу выявил >источник – компьютер Андрея, и выдернул (по словам >провайдера) из его свитча кабель который вел на Андрея ровно в >14:48:32. В это же время появилось соединение у банка. Если это все аргументы от провайдера - нечего таких бояться. 1. Андрей не должен никому ничего доказывать - он изначально не виновен (презумцию ещё не отменили :) ). 2. Это должны доказать Андрея вину а не цепочку совпадений ... , и что это именно он сделал ... (а не его комп управляемый хацкерами :) ) 3. Реально доказать вину .... - очень тяжело. 4. Реальных фактов - 0 ;) ... >Помогите пожалуйста разобраться. С чем хотите разбираться (разобраться) ? С пионерской сетью ? С хацкерами ? .... И зачем оно нужно ? Любой пианер взяв в руки генератор пакетов "смоделирует" практически любую ситуацию ... Особенно если поиском причин в такой сети занимаются "путем поочередного отключения всех" Оставить в ихних логах описанную ситуацию, помешать работе ...- несложная задача для пайонера начитавшегося как работает АРП ... И соорудить любую (любому) подставу ... И Андрею и Interceptor такое под силу ;) Послать один пакет и у банка свистит, что МАК провайдера, или любой который хочется, поставил себе ИП банка ... 100 таких пакетов ... и у провайдера телефоный звонок заклинит ;) И во всех ихних логах будет аналогичное ... Советую забыть и не париться. Вставить ник Quote
Interceptor Posted September 1, 2006 Author Posted September 1, 2006 Советую забыть и не париться. Да нельзя :( Проблема в том, что в доме у Андрея (тонкий намек на меня делать не нужно, я юный возраст хакинга уже давно перерос ;)) нет других провайдеров :( АДСЛ тянуть дороговато, а обратно подключать провайдер не хочет :( Так, что судиться с ним все равно прийдется. Вставить ник Quote
Nag Posted September 1, 2006 Posted September 1, 2006 Сделать фотки сети этого мегапровайдера и предоставить суду. ;-))) И главное банкам!!! Думаю, провайдеру мало не покажется... Вставить ник Quote
Валентин. Posted September 1, 2006 Posted September 1, 2006 >тонкий намек на меня делать не нужно, я юный возраст хакинга >уже давно перерос ;) Никаких намеков - всё прозрачно ... Имел ввиду лиш то, что автор вполне обладает достаточными базовыми знаниями, дабы продемонстрировать наглядно "умникам" абсурдность их обвинений ... Даже указал как ;) Вставить ник Quote
desperado Posted September 1, 2006 Posted September 1, 2006 не пойму.... сабж шутка или правдо такое может быть? Вставить ник Quote
apetrov Posted September 1, 2006 Posted September 1, 2006 Нормальный провайдер должен такие ситуации делать невозможными в принципе техническими методами. Подобное происшествие - позор для провайдера, причем не зависимо от виновности Андрея. Описанная ситуация иллюстрирует на мой взгляд попытку переложить с больной (на всю) головы провайдера на здоровые головы других участников, причем наиболее здоровой мне видится голова "обвиняемого" Андрея. Дайте провайдеру линк на этот форум, если он здесь отпишется, то ему очень доступно все объяснят, может даже поглумятся :). Вставить ник Quote
Гoсть Posted September 1, 2006 Posted September 1, 2006 Дожились. Банки вступают в пионэрскую организацию. Вместе с ними, туда же вступают вкладчики и члены их семей. Назовите лучше этот банк, пусть люди знают пионэров-героев посмертно! Вставить ник Quote
Korj Posted September 1, 2006 Posted September 1, 2006 А так, видимо, много где - пока втихаря и клиенты не в курсе... Мне один наш провайдер как-то плакался, что вот ведь пионернеты гадкие - не доберёшься у них кто под каким мас-ip вообще сидит. Я спрашиваю, а в чём проблема -- оказывается: юный хацкер из пионернета вылез в инет через подключенный к пионернету ADSL (через который весь пионернет лазил в нет через VPN) не через VPN, а выставив себе чей-то реальный статический IP-шник, чем помешал работе владельцев IP-шника. И когда я ему в резкой форме сказал, что за такое построение сети их канделябром надо бить обиделся и вроде как не понял за что... промямлил что-то типа "да, в идеале, конечно, но за реальные деньги так не получается" и перевёл разговор на другую тему. А провайдер не из последних отнюдь... Вставить ник Quote
zyxman Posted September 2, 2006 Posted September 2, 2006 о! а у меня вот тоже вопрос на похожую тему - на что похож график - в смысле если я это все на своем интерфейсе вижу, это диагноз или нет: Вставить ник Quote
umike Posted September 2, 2006 Posted September 2, 2006 график похож на "роутер на палочке" но больно уж трафик мелкий (если конечно масштаб bps верный). Какие-то keep-alive пакеты в виде тупого icmp? Вставить ник Quote
bory Posted September 2, 2006 Posted September 2, 2006 Компьютер моего знакомого, назовем его Андрей имеет МАС-адрес к примеру 12:34:56:78:90:AB. Он подключен к неуправляемому свитчу Supercom на 8 портов (также в этот свитч подключены еще несколько людей. К этому свитчу идет линк на управляемый маршрутизатор cisco, за которым идет линия оптоволокна. С управляемого маршрутизатора cisco идет несколько линков на другие неуправляемые свитчи. ... 2. Свитчи у них стоят самые дешевые, купленные с горевшими портами на киевском радиорынке. Это постоянная проблема SupercomСталкиваемся с такой проблемой постоянно Если свичь не сгорел до конца он гонит «пургу» в сеть И FreeBSD в логах начинает писать о смене подмене ИП и вызывает конфликты IP адресов Соответственно происходит разрыв VPN соединений Логически сами не поймем как такое может происходить , но факт есть факт. Вставить ник Quote
apetrov Posted September 2, 2006 Posted September 2, 2006 Ситуация начинает проясняться :), Interceptor, пусть Ваш провайдер для начала предъявит сертификаты на Surecom'ы с горелыми портами с киевского радиорынка, пусть предоставит акты о вводе их в эксплуатацию, документы о нахождении данного оборудования у них в собственности. Если чего-нибудь из этого нет, то пусть сразу идет лесом, доказывать невиновности не надо будет, вина провайдера станет очевидна. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.