Как вычислить в своей сети Шлюзы в интернет

Alex9 · August 29, 2007

Есть задача проверить свою сеть на наличие Шлюзов в интернет. Имеется ввиду у абонента стоит свой канал к интернету и он по твоей локалке раздает твоим абонентам Интернет.

Подкажите Как это проверить?

Да и еще чтобы сузить задачу. Есть конкретные подозрения, т.е. как проверить отдельных Абонентов на наличие у них Шлюзов в интернет?

OFT · August 30, 2007

Тоже хотелось бы узнать. Заодно узнать не стоит ли у хомячка еще и другая сеть. А то можно месяц думать и бегать почему сеть ложиться, а потом выяснится что, не в меру умный хомяк, сделал себе две сети. А то и три. Даун.

Alex9 · August 30, 2007

Лююю...дииии...........

Ну помогите, пожалуйста!

Да и еще есть момент. У меня в центре стоит Planet управляемый с возможностью ACL

это можно как-нибудь применить в данном случае!

Спасибо!

MaksMMS · August 30, 2007

толку то от того что вы это пропалите...во-первых ничего не докажете, во-вторых заработаете себе отрицательную репутацию.

Делайте так, чтобы такие варианты событий были невозможны (делите сеть на вланы), либо экономически невыгодны.

а так если по теме - сидите на чердаке с ноутом, снифьте сеть и анализируйте трафик

PommeFritz · August 30, 2007

либо экономически невыгодны.

Вот она, ключевая фраза!

user_anonymous · August 30, 2007

Лююю...дииии...........

Ну помогите, пожалуйста!

Да и еще есть момент. У меня в центре стоит Planet управляемый с возможностью ACL

это можно как-нибудь применить в данном случае!

Спасибо!

На многих управляемых свичах есть возможность зеркалировать трафик на какой-либо порт. Если на этот порт повесить снифер, то можно на основе анализа трафика попробовать вычислить, кто есть ху.

the_prodigy_man · August 30, 2007

А к стати реально ли сделать ПОРТ-МИРОР если управляемый свич находится через 2 свича от машины-снифера ?

Edited August 30, 2007 by the_prodigy_man

puh · August 31, 2007

А к стати реально ли сделать ПОРТ-МИРОР если управляемый свич находится через 2 свича от машины-снифера ?

RSPAN

Mistakila · September 4, 2007

netview показывает сколько сетевых на машине и какие у них адреса

Солнечный КОТ · September 12, 2007

TTL - ищите и обрящете

Мартен · September 13, 2007

не поможет, имхо

это если юзер канал шарит, да и то не факт , ибо

iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-inc 1

и все.

Edited September 13, 2007 by Мартен

Барий · September 13, 2007

2Alex9:

Если речь идет об одном сегменте - то МАС спуфинг и анализ приходящих пакетов на этот МАС поможет.

Допустим имеем типичное дерево, предположим с 10-ю свичами.

Подозреваемый П находится в левой ветви дерева и подключен к SW3, мы находимся в правой ветви и подключены допустим к SW10.

К SW3 так же подключен другой юзер, Ю1.

Технически это выглядит так:

1) Шлем ложные юникаст-пакеты с src-mac П и dst-mac Ю1. Интенсивность будет зависеть от загрузки сети, подбирать экспериментально, но думаю, что 5-10 пакетов в секунду хватит.

2) Каждый пакет по дороге будет перезаписывать MAC таблицу коммутаторов таким образом, что пакеты предназначенные подозреваемому П будут посылаться нам. Самое главное перезаписывать таблицу у того свича, к которому подключен сам П (с нужной интенсивностью).

3) Далее осталось проанализировать приходящие к нам пакеты, которые на самом деле предназначены П.

Реализовать это можно из подручных программных средств, которые позволяют слать сырые пакеты в сеть + любой анализатор с правильно настроенным фильтром (смотря что искать), чтоб не перелопачивать кучу мусора.

Можно и написать специально заточенную софтину для этого дела, хотя тут и так все просто.

Edited September 13, 2007 by Барий

zoro · September 13, 2007

:) дело в том что народ то у нас мягко говоря неочень продвинутый... поэтому если винда то тавят юсергейты и прочии проги... а они расшаривают порты... можеш просканить сканером портов и увидеш кто что пооткрыл...

misha mike · September 13, 2007

Тоже хотелось бы узнать. Заодно узнать не стоит ли у хомячка еще и другая сеть. А то можно месяц думать и бегать почему сеть ложиться, а потом выяснится что, не в меру умный хомяк, сделал себе две сети. А то и три. Даун.

А можно поинтересоваться почему от этого ложится сеть и почему если я подключен сразу к двум локалкам -- я даун?

LostSoul · September 14, 2007

А можно поинтересоваться почему от этого ложится сеть и почему если я подключен сразу к двум локалкам -- я даун?

Ну бывает что человек дома ставит свитч и втыкает в него хвосты от 3 провайдеров.

А в соседней квартире другой делает то же самое :)

misha mike · September 21, 2007

Ну бывает что человек дома ставит свитч и втыкает в него хвосты от 3 провайдеров.
А в соседней квартире другой делает то же самое :)

Ну, клинические случаи, я думал, не рассматриваются :) Заявленно ведь было безапеляционно: подключился к нескольким сетям -- даун.

SergeiK · September 21, 2007

Ну бывает что человек дома ставит свитч и втыкает в него хвосты от 3 провайдеров.

А в соседней квартире другой делает то же самое :)

Ну, клинические случаи, я думал, не рассматриваются :) Заявленно ведь было безапеляционно: подключился к нескольким сетям -- даун.

Это смотря как подключился. Если вставил в свич оба порта - создал всем геморой.

Может и не даун, сейчас вообще не принято как-то задумывается о своих действиях...

Но потенциальный источник проблем, и

Если же воткнул в роутер, каждого провайдера в отдельный порт, или в разные сетевухи копма - молодец, человеку нужен интернет и он его резервирует.

А вот как бороться с подключатели всех провайдеров в один свич - пока не понятно.

STP на порту чтоб их сразу блокировал, разве что, но STP на пользователей - тоже потенциальный источник проблем...

Egor · September 21, 2007

L3-интерфейс на юзера?

правда, дорого пока :((

Alex9 · September 24, 2007

у меня на свиче, центральном, есть зеркалирование портов (Port Mirror). Подскажите техничеески: как и с помощью чего проснифить порт, на который зеркалируется траффик (этот порт не должен быть занят другим юзером?)

nuclearcat · September 24, 2007

у меня на свиче, центральном, есть зеркалирование портов (Port Mirror). Подскажите техничеески: как и с помощью чего проснифить порт, на который зеркалируется траффик (этот порт не должен быть занят другим юзером?)

tcpdump

более наглядно - wireshark (он же в девичестве Ethereal)

mky · September 24, 2007

Не знаю, как может помочь tcpdump или что еще. Если бы я шарил Инет, я бы раздавал его через шифрованные тунели. Благо PopTop, да и pppoe, и cipe и еще много чего винда давно понимает. Я не спорю, что есть клиничиские случаи открытых проксей и т.д., но настоящих "субпровайдеров" tcpdump'ом не выловить...

user_anonymous · September 25, 2007

Не знаю, как может помочь tcpdump или что еще. Если бы я шарил Инет, я бы раздавал его через шифрованные тунели. Благо PopTop, да и pppoe, и cipe и еще много чего винда давно понимает. Я не спорю, что есть клиничиские случаи открытых проксей и т.д., но настоящих "субпровайдеров" tcpdump'ом не выловить...

Это жжжж не с проста (с) ВинниПух

Достаточно выловить большой объем трафика к одному хосту со стороны остальных. Вы можете зашифровать содержимое, но вы не сможете зашифровать объемы. Далее смотрим, как соотностится статистика потребления трафика у тех, кто подключен к мишени и делаем выводы.

Барий · September 25, 2007

Какие шифрованные тоннели, вы что...

Любой тоннель сразу видно будет.

2Alex9, зачем тебе зеркало порта посреди сети, там же тонны придется перелопачивать, если есть подозрения на конкретного юзера и у тебя один сегмент - прочитай еще раз мое предложение.

Берешь любой генератор пакетов + tcpdump с фильтром на dst-mac подозреваемого, снимаешь дамп, скажем за час, и смотришь свои подозрения. За то время пока ты занимаешься МАС-спуфингом и снимаешь дамп, "сеть" у подозреваемого и его клиентов (если он действительно раздает) мягко говоря будет "глючить".

Ну и на будущее - инструмент для борьбы с "раз-дающими" интернет в сегменте - МАС спуфинг, грамотный только. "Раз-дающий" вообще ничего не заподозрит, а его клиенты не смогут нормально работать.

Edited September 25, 2007 by Барий

orca · October 10, 2007

Подобная ситуация. Вариант с TTL мне понравился, не скоро абоненты допрут до стелс роутинга, но есть одно НО!

Есть клиенты которые изначально подключают по несколько компов. Обычно ставим им роутеры. Можно их не включать в правило фаервола, но как отследить что они расшаривают инет внутри своей локалки и не нашей?

Bond · October 11, 2007

Первое, если ктото это делает он должен быть всегда онлайн, отбираем таких юзеров, уверен найдётся не много кто будет 24 час в сутки 7 дней в неделю держать комп включеным, если он простой клиент.

После того как круг с узился, вам поможет только mirror портов на порт ноута с снифером и последующим анализом трафика, учтите, что ноут должен быть подключён напрямую к комутатору который зазеркалил порт и врага вы можете искать только на этом свитче и ни как не дальше, поле ттл отпадает ибо была практика она безтолковая.

Я бы сделал так.

У меня стоит так, чисто для профилактических целей.

В центре сети на центральном маршрутизаторе к одному из портов маршрутизатора подключён ПК слабого конфига с виндой, захожу на него удалённо запускаю снифер, перед этим зеркалю порты магистралей и за 60 секунд весь буфер памяти забит :)

Sign In

Как вычислить в своей сети Шлюзы в интернет

Recommended Posts

Alex9

OFT

Alex9

MaksMMS

PommeFritz

user_anonymous

the_prodigy_man

puh

Mistakila

Солнечный КОТ

Мартен

Барий

zoro

misha mike

LostSoul

misha mike

SergeiK

Egor

Alex9

nuclearcat

mky

user_anonymous

Барий

orca

Bond

Join the conversation