Поиски паразитов в сети

Форум Администрирование Сервер, сеть, оборудование (Hardware)

1. Infector 201 16.01.15 12:09 Сейчас в теме

Дано: крупная сеть (около 20) свитчей и точек, около 500 устройств. Т.к. часто посещают гости, для них по умолчанию включен доступ в интренет, доменным пользователям настроены ограничения. Недавно завелся паразит, который приносит ноутбук, подключает к сети и включает торренты, естественно канал во внешний мир садится от этого.
Вопрос - как вычислить местонахождение гада, если известно только имя его устройства и выданный ip?

По теме из базы знаний

Вознаграждение за ответ

Сумма: 0 $m

Добавили:
Infector (5.00 $m)

Показать полностью

Найденные решения

11. AlexInqMetal 77 16.01.15 18:27 Сейчас в теме

(8) Infector,

В общем-то интереснее всего на каком свитче или точке такой клиент оказался

во многих точках доступа можно посмотреть список активных клиентов, на коммутаторах это можно посмотреть только на управляемых, и то муторно (как раз об этом в (9)). ну и найдя нужное устройство вам еще потом бегать искать кто же это в реальности подключился.

если уж хочется непременно найти предателя, то как вариант залогировать весь http траффик на шлюзе (достаточно в принципе адресов кто куда ходит) ну наверняка же человек заходит в почту, в контакт, в одноклассники. Фильтруем логи и ищем в ссылках страничку или почтовый адрес автора, а там и ФИО.

Остальные ответы

Подписаться на ответы Инфостарт бот

Свернуть все

2. succub1_5 90 16.01.15 14:21 Сейчас в теме

(1) Infector, по mac-адресу забань и кто откуда завоет тот и паразит =), а так почти нереально, только если есть гаджеты для пинга/триангуляции или что-типа такого =)

3. Xershi 1541 16.01.15 14:29 Сейчас в теме

(1) Infector, есть вариант в 7 построить карту сети и там плясать откуда коннект. Другой вопрос если сосед с верхнего этажа или соседнего дома узнал данные для доступа и приконнектился. Тут уже просто поставить пароли и менять их по регламенту.

4. AnryMc 849 16.01.15 14:40 Сейчас в теме

(1) Infector, У данного паразита кроме выданного IP есть MAC адрес сетевой карты. (А то что их можно подменить знают не все).
Практически у многих шлюзов (брандмауэров, фаерволов, ...) поддерживают раздачу/запреты кроме IP ещё и по MACу.

5. KiLLius 16.01.15 14:41 Сейчас в теме

(1) Infector, а можно по подробнее, что у вас стоит? Какой контроллер домена? Какие свичи? Если ли открытый WI-FI?

8. Infector 201 16.01.15 16:12 Сейчас в теме

(5) KiLLius, Контроллер домена на Windows 2008, управляется головной компанией. Wi-Fi запаролен длинным путаным ключом, Заблокировать по MAC, проблем нет, просто мини-экзекуцию хотели провести.
(3) Xershi, сосед исключен, ибо соседей нет и ближайшие несколько гектаров - родной завод. никакой сигнал до ближайшего чужого строения не пробивается. В общем-то интереснее всего на каком свитче или точке такой клиент оказался.

11. AlexInqMetal 77 16.01.15 18:27 Сейчас в теме

(8) Infector,

В общем-то интереснее всего на каком свитче или точке такой клиент оказался

22. pavel06 2 02.04.16 23:53 Сейчас в теме

(8) Infector,

Wi-Fi запаролен длинным путаным ключом

На habre и в других местах много программ по взлому.

6. KiLLius 16.01.15 14:49 Сейчас в теме

https://www.softperfect.com/products/networkscanner/
найдёте его MAC, и баньте наздоровье

7. AnryMc 849 16.01.15 15:03 Сейчас в теме

http://ru.flukenetworks.com/content/download-clearsight-analyzer-analysis-engine-network-time-machine

http://ru.flukenetworks.com/enterprise-network/network-monitoring/optiview-xg-network-analysis-tablet
http://ru.flukenetworks.com/enterprise-network/network-monitoring/Network-Time-Machine

9. KiLLius 16.01.15 16:36 Сейчас в теме

Ну как вариант, вам надо понять, в какой порт свича воткнут комп. Попробуйте по такой ссылке разобраться
http://microsin.net/adminstuff/cisco/port-ip-host.html

Больше наверное пока помочь не могу.

10. wowkai 4 16.01.15 18:19 Сейчас в теме

1. Банить по MAC MAC
2. Искать по MAC адресе по свичам где сидит.
3. Если свитчи крутые можно поставить ограничение на скорость по порту и пусть себе качает, весь поток не забьет.

12. Vitstav 3 16.01.15 20:20 Сейчас в теме

Запускаем cmd.exe Пишем tracert IP. Видим через какое устройство он коyнектится. На самом устройстве будет написан mac адрес. Собственно если впадлу искать в прошивки где написан будет его mac, то опять таки запускаем cmd.exe пишим ping IP. После того как отпингуется, пишем arp -a Ищем там наш IP напротив будет физический адрес. Ну а дальше блокировка на маршрутизаторе по mac. После банана прибежит сам и все станет на свои места.

14. Infector 201 17.01.15 10:53 Сейчас в теме

(12) Vitstav, IP маршрутизатора знаем итак, свитчи не расписываются.
(11) AlexInqMetal, вот этим заниматься не пробовали, возможно неплохая мысль.

нашлась довольно интересная штуковина - автопостроитель подробной карты сети, правда не эталон быстродействия это точно
https://www.10-strike.com/rus/

13. KontoraB 17.01.15 09:19 Сейчас в теме

Infector - вот это повод купить на завод управляемые маршрутизаторы ;)

15. YanTsys 12 17.01.15 17:53 Сейчас в теме

Метафизики блин, забыли что вселенная материальна?
Вы же можете отследить на какие сайты сейчас именно в эту минуту выходят ваши гости?
Подождать пока пойдет связь с торентом во время некритичное для производственных программ, потом физически отключать свичи по очереди пока связь не оборвется, когда найдете на каком свиче он сидит по очереди отключать на этом свиче провода пока не найдете тот провод на котором он сидит когда найдете провод идти по проводу с топором и вырубить устройство на той стороне из сети самым материальным способом :) хотя можно и не идти а просто подать на провод 220 вольт, но сначала убедитесь что на этом проводе нет еще одного свича и что этот провод не идет в кабинет к генеральному...

...

Ответить

16. smallbuk 33 17.01.15 18:55 Сейчас в теме

(15) YanTsys,
Ты - Дыщь!
т.е ТыДыщь! Плюсую!
у меня давно уж этим не балуют... вифи - для проверенных. а всяки гости... их пригласившие насяльники должны регистрировать маки со сроком аренды.

есессно, в условиях AD
ЗЫ:Только, тссссссссс
есть вещи, позволяющие управлять железяками, даже если они не в домене.
а было бы клево...
бАлшойНачальникамаКошкаСамоубился()
Во время выступления оппонента...
когда соберу чемодан - поржу на прощание

ЗЫЗЫ: я ловил таких. адекватных, что просто ночью поиграться в ферму, или кино посмотреть - предупреждение, нет даже совет.
неадекватных -служебная гендиру - и ПНХ.

17. Артано 783 19.01.15 03:25 Сейчас в теме

(15) Суровый метод, но спасибо, посмеялся

18. ZhokhovM 750 19.01.15 12:42 Сейчас в теме

Как вариант:
1.отключить wsp во всех устройствах.
2.установить SoftPerfect WiFi Guard
3.исключить гада по списку подключений.

19. Divisi0n_by_zer0 26.01.15 22:36 Сейчас в теме

как-то в одной конторе пришлось искать любителя торрентов без всяких "циск". в админке тупого дир-300 сортировал вкладку "активность" по ip-адресу (по клиентам) и смотрел у кого больше всего сессий с подозрительными портами. таки-нашёл )
а так без адекватного железного или софтового набора только белый список приходит в голову (чтобы каждый раз таких паразитов не выявлять), ну и отдельную гостевую сеть для гостей...

20. ewqewqewq 28.03.16 19:41 Сейчас в теме

а что если гостям открыть только порты 80 и порезать скорость. У меня хотевая сеть отделена от локальной фаерволом. Пароль на неё знают избраные и если нужно сообщают гостям. Пароли меняю раз....уже забыл ленюсь((. левых маков роде нет. тфу тфу.

21. v3rter 29.03.16 10:49 Сейчас в теме

Если Windows NAT, то поймать можно через tcpview. А если денег есть - поставит керио и запретить в нем пиринговый трафик.

Оставьте свое сообщение

E-mail: