Просмотр полной версии : поиск злодея по мак адрессу
Интересуют программные средства поиска местонахождения (топология сети) злодея.
ИП установить не удается по некоторым причинам.
а где гарантия что злодей не менят его?
а где гарантия что злодей тот, которого ищут, а не тот, который ищет?
логи говорят что не меняет.
какое по можно использовать для поиска за****ца?
хы ! толи сучонок читает фарит или одно из двух)
может в прокуратуру заяву написать?
что может служить основанием?
да ничего особенного, но его настойчивость не приятна.
возможно пытаеться трафик спереть или уже спер, не знаком с биллингом прова.
закажу ка я детализацию.
иди-ка ты на впн, не дрочи мозг. у людей и без тебя дел хватает.
когда ты стремился на статику - тебя предупреждали, чем это чревато. теперь вот расхлебывай.
типа заяво в прокуратуру.
превед прокурор. пишед тебе аццкий сотона нейрон.
у мну какойто злодей с магадресом то ли спер то ли попыталсо спереть траффико. но сцуко читая фарит или нечитая он нычиццо не хотя светить ИП. а может некоторые причины и другие.
мало того злые провы нихотят давать биллинг мотивируя тем что я дрочу мозг. прошу срочна разобраццо и сослать злодеев в бобруйск а то трафико могут все потырить или не потырить.
а в офисе не выключай роутер или если выключаешь - блокируй шлюз. и все дела.
ps. а еще можно, конечно, гадить (например, травить товарищу arp-таблицу). тебе, наверное, понравится такой способ.
он не выключается.
работает 24 часа в сутки.
дайте ответ , у вас письмо лежит с логами от 26 октября.
а ответа нет до сих пор.
ничего толкового мне не предложили.
прогу кто нибудь предложит?
ну а чо тогда мозг сверлишь?
пиши заявление в прокуратуру. у нас лицензии на следственные мероприятия нету.
вы письмо прочитали?
вы бы хоть толковый совет дали как такое может быть.
хочу получить от вас детализацию счета с указанием мак адресса получателя пакета.
прочитали. если ты про письмо от 26 октября, то кроме недоумения оно у меня ничего не вызвало:
это вендовые приватные адреса. в нашей сети не маршрутизируются.
я знаю это.
а мак адресс?!
мне толкочто сказали что злодей находится в подсети уфанета.
он пытается занять мой ип адресс соответсвенно и такой адресс(не мой же ип в конце концов он будет прописывать) ип в логах.
хочу получить от вас(от тех кто этим занимается) детализацию счета с указанием мак адресса получателя пакета.
вот и сейчас
14:15:33 Конфликт IP-адресов 255.255.255.255 00-**-48-****
тоже самое.
что "мак адрес"?
ты что, издеваешься? во-первых, никакой детализации с мак-адресами не бывает. во-вторых, что ты собираешься увидеть в этой детализации? я же тебе сказал - эти адреса у нас не маршрутизируются. а раз не маршрутизируются, то и через маршрутизатор не проходят. а раз не проходят, то и в статистику не попадают.
объясняю некто заносит в св-ва соединения мой ип адрес (соответственно в сети появляются два компа с одинаковыми ип )
что фиксирует мой фаервол и заносит в лог соответсвующую запись вот такого вида.
меня интересует получал ли злодей пакеты которые предназначались нашей организации и оплаченные соответственно ею.
полагаю это можно установить выяснив куда пакеты уходили. а точнее приходили ли они злодею.
Система биллинга ведет лог мак адрессов получателя?
надеюсь я понятно объяснил.
Нейрон, родной, это тебе Змееныш гадит, а боко его покрывает. Тут ты правды не найдешь. Обращайся сразу в Страсбургский суд.
да с чего ты взял что он твой? 255.255.255.255 - этот что ли? или 169.254.x.x? бугога. =)
пакеты на какие адреса?
как интересно она может их вести, если оперирует на уровне ip?
потому что он мне русским языком об этом говорит.
такой то мак адресс занял ваш ип
а в лог он что по вашему мой ип адресс должен заносить?
ну да. и пишет - какой именно ip. вот эти вот два.
какое отношение они имеют к интернету вообще и уфанету в частности?
Тебе попадались сетевые карты со сменяемым MAC-адресом?
в письме я указал конкрентны маки.
вам виднее.
так можно или нельзя получить такие данные?
дескать таким то ип за отябрь месяц было полученно 2500 мб
из них на такой то мак адреесо пришло столько то
на такой то столько то.
...Нефиг ибо Нафиг
02-11-2006, 14:42
:) Какой файрволл? Оутпост наверное?
а при чем тут маки? я спрашиваю - какие ip-адреса?
естественно нет
екарный бабай.
один широковещательный другой который винда по умолчанию выставляет.
нейрон, прочитай про адреса вида: 169.254.x.x
не думаю что у тебя после останутся вопросы
мак ваще-то формируется драйвером сетевой карты. соответственно, на любой карте можно изменить адрес.
нет ты издеваешься.....
он ручками ставит МОЙ ип адресс.
МОЙ! пи
и в том и вдругом случае ип адреса получателей ОДИНАКОВЫ.
если он шустряк такой качает за наш счет?
как это можно установить , скажика .
ты ведь много знаешь уж поболее меня.
Я ЗНАЮ ЧТО ЭТО ТАКОЕ!
что будет если в сети появятся два компа с одинаковыми IP?
в аську тебе написать?
написал.
нет. то, что ты прислал - 81.30.xx.xx - где оно в твоих логах? ни одного упоминания об этом адресе нет.
WickedGoblin
02-11-2006, 14:55
Так получается что у уфанета все статические ip сидят в одном VLAN-е мда......
плять.
ну особенность фаервола такая.
соответсвенно в логах пишет так.
так можно разделить трафик по МАК адрессам получателя?
хотя бы ручками.
у важ в конце концов должно фиксироваться появление в сети двух одинаковых ип адрессов!
NovaHudonoser
02-11-2006, 14:58
Чем дальше в лес тем толше партизаны
WickedGoblin
02-11-2006, 14:58
А как тогда у вас возможен допуск что можно заметить подмену IP?
Если машины сидят не в одном VLAN-e то роутер по таблице маршрутизации должен зарезать
...Нефиг ибо Нафиг
02-11-2006, 14:59
разве не DHCP дает IP? Я как думал что фигу тебе инету если ручками пропишешь IP
WickedGoblin
02-11-2006, 14:59
Не жмись напиши сюда все что пишет
так во вланке не одна машина сидит. каждому по вланке давать - развалится кровать
мдя? интересно а как инет раздают по конкретным ип?
...Нефиг ибо Нафиг
02-11-2006, 15:01
Neyron стукни в асю 558699
WickedGoblin
02-11-2006, 15:02
Если они жестко на DHCP прописали что такой то MAC такой то IP и нет ни какой дополнительной проверки подлинности абонента, то вот вам хакеры подарок пользуйтесь :)
то что он пишет не адресс машины так как свой ап писать в лог - идиотизм
а либо устанавливаемый при сбое (164 ит.д) либо широковещательный 255,255,255,255.
но сообщение он при этом выдает конкретное, а именно конфликт ип адрессов такой то мак адресс занял ваш ип.
ну сколько можно!?
ведь так просто выяснить кто этот негодяй по мак адрессу, тем более логи у вас должны веститись !
как же без них то?
WickedGoblin
02-11-2006, 15:05
arp -g
показывает его ip ?
да и скажи его mac
по-моему, идиотизм - это писать в лог всякую херню.
далее. ну занял и занял. не выключай роутер и все.
вот!
есть у меня подозрение на соседей сидят и качают .......:mad:
давайте посмотрим что с трафиком творится ,а потом уже и остальное порешаем.
WickedGoblin
02-11-2006, 15:09
Ну вы батенька и даете!
Это видимо что то новое в сетистроительстве
Устойчивость сети определяется по устойчивости клиентских подключений
просто супер!
притензии к авторам фаера.
а проблему давайте обсудим.
Гоблину : лови в приват пока что.
чтобы они могли качать, нужно чтобы роутер им эти пакеты отправлял. пакеты отправляются на мак-адрес из арп-кеша роутера. если ты не выключаешь свой роутер, то в арп-кеше постоянно находится твой мак. следовательно, пакеты все уйдут тебе.
а если я выключу его?
что будет?
а если выключишь, то запись в кеше протухнет и ее место займет мак вредителя
давайте все таки проверим.
вдруг где дырка.
а денюжки капают.
установи у себя считалку трафика и сверяй с показаниями сервера статистики.
можно это установить по логам?
WickedGoblin
02-11-2006, 15:17
Если сеть падает при выключении клиента то это фиговая сеть!
а с чего ты решил что она падает?
допустим появилась.
могу я получить детализацию?
договором данная услуга не предусмотрена. статистика выдается клиенту в суммарном виде, без детализации по портам и протоколам
почему?
мак адресса не фиксируются в логах?
и второй вопрос
скажем я не подключен к роутеру а сижу на другом и выставляю ип адресс соседа . я могу накачать сотни гигабай за его счет?
и как он меня поймает на этом?:mad:
если мак адресса не фиксируются?
WickedGoblin
02-11-2006, 15:22
а как еще можно обьяснить то что происходит у нейрона?
левый чувак поменял mac-ip и гр**** чужой трафик
и это где это сказано что клиент обязан держать оборудование включенным всегда?
а вот защита от спуфинга это ваша задача.
да причем здесь договор то?
я же о такой мелочи прошу.
п.с. я уже как то получал подобную детализацию.
я вас прошу предоставте ее еще раз. за октябрь месяц.
благодарю.
остальное мои проблемы.
WickedGoblin
02-11-2006, 15:25
вопрос остался открытым
если я поставлю себе mac на который вяжется статический ip то я могу спокойно качать за этого чувака?
ладно у этого дуболома не хватило ума мак поменять.
как же тогда боротся с такими вот зас.ранцами?
ну уж как-нибудь объясни. только "падением сети" не называй =)
да, воровство трафика при подключении по технологии ethernet возможно. поэтому мы всегда неохотно выделяем статику, а статику физлицам вообще не даем.
нигде не сказано. но если его интересует результат - он будет выполнять кое-какие рекомендации. например, держать оборудование включенным и блокировать шлюз на время выключения.
ну вот еще. лучшая защита от спуфинга - отдел "к". они очень любят такие дела.
маки на роутерах не фиксируются. поэтому можешь спокойно качать и без подделки мака
повторениематьучение: не выключай роутер. когда выключаеь - блокируй шлюз. установи считалку трафика и сравнивай показания. если есть уверенность что трафик воруют - пиши прокурору.
что бы туда идти надо сначала выяснить сперли или нет.
и почему бы вамне вести логи хотя бы в профилактических целях?
нет технической возможности
я знаю ты прочтешь это.
давай уладим дело мирно, ты компенсируешь потери я не буду писать заяву.
телефон в подписи.
WickedGoblin
02-11-2006, 15:39
Осторожней у вас сертифицированный биллинг и вы как и мы должны действовать по ЗоС. А абзац выше это 100 отход от этого
Это все слова, но мне потребовалось 5 минут для определения есть ли Ip в нашем канале. за других отвечать не могу
А "К" конечно Качкин не глупый но как я думаю СОРМ на вашей сети не работает
WickedGoblin
02-11-2006, 15:41
иногда лучше молчать :)
давайте без отделов все это уладим.
не ужели выяснить кто этот за****ец нельзя?
боко: допустим вы (уфанет)передадите ему мой номер телефона, раз уж не хотите говорит кто он такой.
для подобной переписке есть email
к боко: допустим я подключен к управляемому коммутатору, должен ли злодей который имеет теор. возможность спереть трафик подключен тоже именно к этому коммутатору и только к нему?
я так понимаю это его ип указывается в адрессе шлюза.
если бы мне ответили на мои письма этого топика не было и я бы не искал помощи на стороне.
на мастера писать?
мой емэйл
neyron@mail.ru
нет. он должен быть в той же vlan
WickedGoblin
02-11-2006, 15:50
Зачем?
У ГСН нет задач по защите прав пользователей они преследуют другие цели.
WickedGoblin
02-11-2006, 15:53
Цитата:
Послано WickedGoblin
Так получается что у уфанета все статические ip сидят в одном VLAN-е мда......
с какого перепугу?
так если один VLAN то описанный мною способ обхода "защиты" оказался правильным?
затем, что речь зашла не о правах пользователей, а о нарушении закона о связи.
я утратил нить. для измученных нарзаном мозгов не затруднит переформулировать вопрос попроще? тока перечти пожалуйста все ранее написанное чтобы по кругу не ходить.
WickedGoblin
02-11-2006, 15:56
Это есть существенное условие договора о том что статистика правильная. В договоре же не написано что она может быть не правильной. Так что это мои права.
Но мы ушли от темы.
хорошь законы обсуждать.
как проблему решить?
а статистика правильная. учет ведется по ip-адресам. лишнего не накидываем.
WickedGoblin
02-11-2006, 16:00
1 Статический IP назначается администратором, но вбивается пользователем?
2 Фильтрации, привязки по MAC нет?
3 Пользователь защищается включением выключением на основе своего ip правилом на gw ?
4 Пользователь на layer 2 как ограничен?
как же она ,etn правильной если злодеи ее могут играючи повалить?:mad:
не смешно.
почему бы вам не подкрутить настройки?
в конце концов немного пересмотреть систему биллинга.
все так
в общем случае - никак
нет технической возможности
ага не важно что злодей накачает гигабайты важно что система биллинга это зафиксирует. Так что ли?
да, естественно.
вот смотри: приходит злодей к тебе в подъезд, открывает распределительную коробку, подключает свой телефон и звонит за твой счет в штаты. потом уходит, а счет приходит тебе. статистика на гтс работает правильно (счет-то не соседу пришел). ах, да ведь это нарушение закона о связи (по гоблину)! как нехорошо. такая солидная организация, а сеть-то, оказывается, вся насквозь дырявая. никакого ограничения на layer2 =)
куда смотрит гсн? а как же наши права?
WickedGoblin
02-11-2006, 16:16
Т.е. если я сумел заспуфить таблицу на свиче нейрона и подставит оперативно свой левый комп то могу пользоваться его инетом...
плёхо....
ладно это все лирика.
а почему нет возможности то?
я представляю это так:
пользователи подключаються к управляемому коммутатору (он же допустим и шлюзом будет)
получается что я выключив интернет сервер на работе и пойдя эээээээ в другое место выставлю там ип адресс и ип адресс шлюза(можно как то гораничить доступ к этому ип только с того оборудоания к кторому я подключен) и смогу качать качать и качать?
как у вас фиксируется появление двух одинаковых ип адрессов в сети?
WickedGoblin
02-11-2006, 16:19
Нейрон тебя спасет только VPN и DynDNS
а впн как показывает практика падает.
в то время как мое соединение работает работает и работает)
хочется как то обезопасить себя.
наверняка же можно построить учет хотя бы соединения.
WickedGoblin
02-11-2006, 16:25
Ну или возможность взлома или надежность
Хорошо.
если я не выключаю сервер, у злодея есть возможность украсть трафик?
ага. только нейрон в это время пользоваться не сможет. позвонит в поддержку, поддержка наведет порядок. можно с выездом оперативной бригады на место =)
дык ето беда всех ethernet-сетей, построенных на недорогом оборудовании. именно поэтому предпочтительный способ подключения - vpn.
а статику даем только по настойчивой просьбе и только юрикам (ловить которых при случае легче). и, естественно, клиент предупреждается о рисках. по крайней мере такова была установка на момент принятия решения о выдаче статики.
WickedGoblin
02-11-2006, 16:29
Я же уже написал как это сделать.
конечно для 100% уверенности надо знать твой ip и mac
P.S. я знаю но никому не скажу :)
да и у самого интернет такой толщины что пачкаться не охота :D
хм если сегодня дома будут проблемы я обязательно позвоню еще раз).
как защитится?
только без впн.
WickedGoblin
02-11-2006, 16:35
без дополнительных вложений ни как
Протуберанец
02-11-2006, 16:52
Сцука я все 8 страниц прочитал, как захватывающий детектив! но сцука, злодея поймают - нет?
WickedGoblin
02-11-2006, 16:55
использовать аппаратный VPN-клиент
а я предлагал им закупить за свой счет такой.(4500 он стоил что то вроде того).
мне сказали что такой уже стоит так как к свитчу меня нельзя подключить.
лог прошу за один только день с 9-00 до 18-00
WickedGoblin
02-11-2006, 17:12
я вот для подобного присматривался к DI-784 или к любой DI-XXX. или что ни будь подобное на Linux
WickedGoblin
02-11-2006, 17:13
да не про то что чист или не чист перед законом, а про тех кто в теме а кто нет
хы хы хы у меня тоже был бесплатный локальный трафик.
позвонил сказали писать на мастера...я подумал нафиг мне это надо ине стал писать).
несколько месяцев была халява).
а потом кончилась и за месяц последний месяц еще и счет пришел(
боко постарался)
а причем тут беспроводная связь?
коммутатор к которому я подключен как мне сказали поддерживает подключение по впн
значит ли это что я защищен от посягательств ?
смерти прошу у тебя господи
не откажи господи
не для себя прошу (с)
WickedGoblin
02-11-2006, 17:32
не ты не понял ставишь такой у себя настаиваешь на нем VPN-клиент и он лезет в уфанет. на выходе получаешь 4 ethernet-а и/или wi-fi за NAT
но мне еще надо через VPN-уфанета пробросить еще один vpn и стерменироват его не этом девайсе. а такого нет
нас никто никогда ни о чем не предупреждал )))
значит забили те, кто должен предупреждать.
позавчера/вчера у нас на точке такая же хня была (ц.рынок) - кто-то наш IP подменял. по-ходу эпидемия скоро будет...
потерянная прибыль ~ 50 руб., наш юрист иск подавать собирается ))
зы: Нейрон, с boco имхо смыла нет говорить, у него всегда на все свой оригинальный взгляд (ниче личного ;) )
попробуй поговорить с Быковым Виталием, он у них там начальник, лучше через него действовать )))
для уфанета это уже правило - забивать, привыкли почти :D
такая же фигня...и судя по последним постам - грядет эпидемия..тебе хорошо - хоть понимаешь примерно о чем речь...:p
ManInXRay
02-11-2006, 18:18
Для поимки "злодея" нужно, судя по обсуждению, текущее оборудование сети менять, хотя бы временно, на "умное".
Да и то, даже если одного падкого на халяву поймают, никакой гарантии, что другой такой не появится.
Проще и перспективнее - под "статику" отдельный надежный (аппаратный?) VPN-сервер на УФАНЕТе поставить.
А использование только IP и/или MAC для аутентификации - имхо, зло, т.к. это почти общедоступная информация.
я как юридическое лицо прошу дать мне лог.
и куда уж настойчивее?
мне письмо на оф бланке за подписью егн. директора прислать?
если вам надо для внутренней отчетности могу и прислать.
те, кто со статикой - они потому и со статикой, что не могут по впн. или не хотят.
а прибить ип к порту коммутатора можно, но нужно оборудование совсем за другие деньги. боюсь, клиенты не готоы их платить.
а почему ты у меня спрашиваешь? я, слава богу, этим не занимаюсь.
хм...
потому что больше не у кого тут.
это каждому клиенту выделить порт на железке типа 29-го или 35-го каталиста, руками включить на всех портах port security и руками прибить маки клиента к ip-адресу на роутере. ну и потом все это еще обслуживать. тоже руками.
и заметь, это надо делать во всей сети, потому что прибивание твоего мака к твоему порту не даст тебе тырить чужой трафик.
а тут и не надо этого делать.
странное дело, как только тут тему создал ответ пришел на письмо.
магия однако.
и еще вот по этому
спросил
ху из ит настойчивая просьба?
я не достаточно настойчив?)
тьфу ты=)
а на сколько я должен быть настойчивым что бы предоставили статистику?)
ии с чем связано такое не желание это делать?
Нейрон, плохой мальчик, выходит в сеть с товим АП? Я правельно понял? И твой фревайл выдаёт аллерт... а как сеть держит 2 одинаковых ап одновременно? Потом я не очень понял МАС - маска под сети?
флабер, mac это не mac а map. есть такой датчик у хонды :)
нейрону плюс за занудство. я бы столь долго тупить не смог бы даже если очень захотел.
а мну кажется в boco влюбилась, после прочтения :D
ManInXRay
02-11-2006, 19:40
:D :D :D
за терпение любит)
пс. это еще почему?)
ну ты посмотри стер свое п.с.)
:D :D :D
зы посты мальчики меняете со скоростью света :D
что б ты знала электрический сигнал распространяется практически со скоростью света).
соотвественно и посты меняются).
смотрите как бы масса к нулю не устремилась
окси это ты у нейрона траффик воруешь?
Протуберанец
02-11-2006, 19:55
Нейрон, а если не секрет, сколько трафика спипили у тебя?
покоя?
п.с. пойкой нам только снится)
вот придет лог там и увидим.
судя по журналу это уфимец, скорей всего это рабочий комп. решил инет **** у других, а деньги себе в карман ложить....
Протуберанец
02-11-2006, 19:59
а в фарите давать обьявы типа "Закачаем из интернета, 5 копеек мегабайт!!"
нет так он продешевит.
а так по рубль 80 мегабайт
гигабайт своровал 1800 рублей в карман, работодателя на.....
нед и тут boco свидетель пользуюсь исключительно дуалапом :D
так... запишем, "в сговоре с боко рекулярно воровали трафик нейрона"...
кто еще в шайке?!
в глаза смотреть!! :mad:
уфанета?:rolleyes:
или вы вместе работаете?)
пользуясь случаем, хочу спросить у боко.
почему на вай-фай вы такой дорогой роутер предлагаете? у меня стоит за 700 рублей (вру, он оказывается 1500 стоит) и мне отлично хватает. у меня dlink di-524. чем он отличается от линксуса WRT54G.
Протуберанец
02-11-2006, 20:08
Пользуясь случаем хочут передать привет бабушке!!
бугага все ушла не магу больше
у тебя длинк настроен на режим бриджа (когда pptp-соединение устанавливается с компьютера) или сам является pptp-клиентом?
а ответ простой: у длинков большой процент брака плюс ошибка в фирмвари, проявляющаяся в ежечасном разрыве pptp-соединения если длинк используется в режиме pptp-клиента.
он у меня сам подключается к уфанету и инет на все компы раздает готовый. никаких разрывов не ощущаю. фирмварю обновил, но она там 2004го или 2005го года.
раньше один комп по лану подключал, один порт накрылся. щас лан не использую, вроде нормуль.
я конечно понимаю что боко не в отеделе маркетинга, но мне кажется целесообразнее было бы предложить клиенту выбор из 2-3х моделей.
действительно, глянул логи dhcp-сервера - обновляет лиз совершенно нормально. стало быть, и разрывов по этой причине не должно быть. значит, эту модель можно рекомендовать к использованию в уфанет. =)
выбор моделей - в кламасе. у нас все-таки не магазин оргтехники =)
вы считаете что реализация аппаратная впн-а будет устойчивее работать программной?
2boco:
Я бы на твоем месте как модер и как представитель Уфанета прибил бы эту тему. Ибо я, например, сейчас, совершенно не напрягаясь, узнал достаточно инфы, чтобы начать таки воровать у нейрона этот самый траффик. :D
А! так это boco- коллега oxy, с которым она ходит в душ! :D
если кто-то желает воровать трафик, он эту инфу узнает в первые пять минут после подключения к сети. достаточно иметь намерение и некоторую квалификацию. так что хуже уже не будет.
:D :D :D
Хоспади, даж я понило как ето делаитцо
самая познавательная и образовательная тема за последнее время имхо +5 балов нейрону пасиб :D
зы все мужчины больше не вмешиваюсь
Ну просто я как-то об этом до сего момента не задумывался...
я считаю, что разницы никакой. сервер доступа я уже доточил до (надеюсь) бронебойного состояния. а все пресловутые "обрывы" связаны с тем, что пакеты из точки "а" по тем или иным причинам не могут попасть в точку "б". потери пакетов для пптп смертельны - это врожденное уродство протокола. пппое в таких же условиях работает получше.
причины потерь, само собой, разные. где-то пионеры кольцо построили, где-то электрики питало вырубили (а упсы нагрузку часами не могут держать), где-то бомжи регулярно все провода тырят, где-то оборудование глючит.
к слову, слухи о постоянных обрывах сильно преувеличены. я в офисе опрос проводил среди сотрудников, подключенных по пптп - все довольны, на стабильность соединения жалоб нет.
была у меня мысль такая же.
потрите тему)
или вот что, давай мы скооперируемся и я буду вам клиентов посьавлять, вы их с моей помощью будете сливать в органы , а там их растрясут по самое не балуйся)
все в шоколаде)
ты машину себе на премии купишь)
....еще одну...новую)
и таки отдайте мне злодея на растерзание..)