Компьютерные сети и технологии
Привет
Пользователь:

Пароль:



[ ]
[ ]

В сети
Гостей: 7
Участников: 0
На странице: 1
Участников: 4913, Новичок: Wonfrien


Форумы
Модераторы: vsit, sitvladimir
Автор Сообщение
evg1
Wed Aug 29 2012, 01:19PM

Пользователь #311
Зарегистрирован: Sun Mar 11 2007, 03:10PM
Сообщений: 91
В доменной локальной сети организации появились "чужаки" несанкционированно подключающиеся к сети с IP адресами совпадающими с адресами членов домена (к примеру с адресами 192.168.0.199 и 192.168.0.200), из-за чего у членов домена возникают конфликты адресов. Из-за разветвленности ЛВС организации и нахождения ее в нескольких корпусах выявить место физического подключения затруднительно. При этом при сканировании сети имена компьютеров чужаков определяются как "неизвестные". Вопрос: каким образом можно "изолировать" компьютеры чужаков, по возможности не меняя IP членов домена при этом ликвидировать конфликты адресов.

Нет, работы я не люблю. Я предпочитаю бездельничать и
мечтать о том, сколько чудесного можно было бы сделать. Я не люблю работы -
никто ее не любит, - но мне нравится, что она дает нам возможность найти
себя, наше подлинное "я", скрытое от всех остальных, найти его для себя, не
для других. Люди видят лишь внешнюю оболочку и никогда не могут сказать, что
за ней скрывается.
Наверх
sitvladimir
Wed Aug 29 2012, 04:13PM

Пользователь #14
Зарегистрирован: Fri May 05 2006, 08:21AM
Сообщений: 93
Попробуйте в своей подсети установить программу BinaryPlant ARP Monitor.
Данное ПО фиксирует и сообщает о вновь появившихся адресах в сети с указанием их МАС.
Если злоумышленник изменит IP - это тоже зафиксируется.
Далее - имея информацию и MAC адреса можно вычислить "чужаков"

[ Изменен Wed Aug 29 2012, 04:14PM ]
Наверх
evg1
Wed Aug 29 2012, 08:58PM

Пользователь #311
Зарегистрирован: Sun Mar 11 2007, 03:10PM
Сообщений: 91
МАС адреса чужаков вычислены сканером, но что это дает? В домене они все равно не прописаны и к шарам домена доступа не имеют их вред заключается лишь в том, что они создают конфликты адресов. Каким образом знание МАС адресов чужаков поможет их изолировать из сети?

[ Изменен Wed Aug 29 2012, 08:59PM ]

Нет, работы я не люблю. Я предпочитаю бездельничать и
мечтать о том, сколько чудесного можно было бы сделать. Я не люблю работы -
никто ее не любит, - но мне нравится, что она дает нам возможность найти
себя, наше подлинное "я", скрытое от всех остальных, найти его для себя, не
для других. Люди видят лишь внешнюю оболочку и никогда не могут сказать, что
за ней скрывается.
Наверх
sitvladimir
Thu Aug 30 2012, 01:55PM

Пользователь #14
Зарегистрирован: Fri May 05 2006, 08:21AM
Сообщений: 93
Многие свичи имеют таблицы МАС адресов (например Cisco) по команде -
switch#show mac-address-table | i 000e.8c96.7843
  84    000e.8c96.7843    DYNAMIC     Fa0/13
switch#

вычисляете порт на котором это сидит - это раз.
Указанная выше программа например фиксирует, что кто-то из злоумышлеников вдруг изменил адрес и стал вполне реальным пользователем (кто-то на время менял IP) - это два.
Все это позволит найти станцию злоумышленика или просто тупо откючить порт.
Кстати порты коммутатора не должны быть просто доступны пользователям (размещайте их в закрытых шкафах).

[ Изменен Thu Aug 30 2012, 01:56PM ]
Наверх
evg1
Fri Aug 31 2012, 04:01PM

Пользователь #311
Зарегистрирован: Sun Mar 11 2007, 03:10PM
Сообщений: 91
Увы практически все коммутаторы в организации неуправляемые - дешевые D-Link модели DES отличающиеся только количеством портов. Насколько я понимаю в этом случае ситуация безнадежна?

[ Изменен Fri Aug 31 2012, 04:01PM ]

Нет, работы я не люблю. Я предпочитаю бездельничать и
мечтать о том, сколько чудесного можно было бы сделать. Я не люблю работы -
никто ее не любит, - но мне нравится, что она дает нам возможность найти
себя, наше подлинное "я", скрытое от всех остальных, найти его для себя, не
для других. Люди видят лишь внешнюю оболочку и никогда не могут сказать, что
за ней скрывается.
Наверх
sitvladimir
Mon Sep 03 2012, 12:23PM

Пользователь #14
Зарегистрирован: Fri May 05 2006, 08:21AM
Сообщений: 93
ет ну я же писал, по программе Вы вполне отслеживаете изменения адресов, а по имени можно и комп найти. Сложности - когда злоумышленник взял уже занятый IP и адреса стали конфликтовать. А когда он вернется назад - вот тут его и вычисляй.
Наверх
evg1
Fri Sep 21 2012, 05:37PM

Пользователь #311
Зарегистрирован: Sun Mar 11 2007, 03:10PM
Сообщений: 91
Если бы все было так просто, не было бы смысла и вопрос задавать. В том, то и дело что "злоумышленник" вошел в сеть уже под занятым IP (как потом выяснилось, кто то из юзверей просто тупо подключил пачкорд к компьютеру не настроенному в домене, но имевшему IP-адрес), а имя компа, если он "левый", как правило ничего не дает (ну например что скажет имя: comp1967 ?). Кстати у указанного в вопросе компьютера программа прочему то определяла имя как "Unknown" :)

[ Изменен Fri Sep 21 2012, 05:38PM ]

Нет, работы я не люблю. Я предпочитаю бездельничать и
мечтать о том, сколько чудесного можно было бы сделать. Я не люблю работы -
никто ее не любит, - но мне нравится, что она дает нам возможность найти
себя, наше подлинное "я", скрытое от всех остальных, найти его для себя, не
для других. Люди видят лишь внешнюю оболочку и никогда не могут сказать, что
за ней скрывается.
Наверх
 

Перейти:     Наверх

Транслировать сообщения этой темы: rss 0.92 Транслировать сообщения этой темы: rss 2.0 Транслировать сообщения этой темы: RDF
Powered by e107 Forum System

Поиск Компьютерные сети и технологии


Copyright © 2006 - 2016
При использовании материалов сайта ссылка на xnets.ru обязательна!
Render time: 0.0856 second(s); 0.0217 of that for queries. DB queries: 38. Memory Usage: 3,370kb