Биллинговая система Nodeny

Года 4 назад, я разработал на бумаге одну интересную вещь - определение географического положения клиента в неуправляемой сети. Результат в виде "комп с таким-то ip подключен к такому-то свичу или примерно рядом с таким-то свичем". Для обнаружения нам необходимо знать расположения реальных клиентов - обычно мы их знаем. Они выступают как опорные точки. Т.е по моей технологии можно будет сказать, что целевой ip подключен между таким-то и таким-то клиентом. Если в длинной цепочке свичей почти на каждом свиче будет по абоненту, то точность будет высока. Никакое ПО на клиентов не ставится - они выступают просто как точки, местоположение которых мы знаем.

Я пока 100% не уверен в том, что все будет работать - надо проводить исследования. Есть заинтересованность в такой программе?

Походу, сегодня ночью пытался начать писать, но столкнулся с непринципиальной проблемой - тупо не могу послать пакет с левого mac-адреса, возможно во FreeBSD такая фича? Если так, то придется писать под Линукс. Кто-то сможет ответить на вопрос?

Было бы полезно.
Одно время делал для себя модуль построения автоматически связей между свичами(умными) принцип был простой, опрашиваем поочередно все ипы в управляющем диапазоне, если ип ответил спрашиваем у него по SNMP его мак и все маки на всех портах, заносим в таблицу, опрашиваем следующий и так далее, потом находим соответствия между маками на портах и маками железяк, строим связи. Потом забросил, так как стало много железа разных вендоров и дорабатывать было лень.
А какой принцип предполагается тут?

bittwist и nemesis могут поотравлять жизнь сетям, если Вы об этом. Особенно последнее...

я говорю именно про неуправляемую сеть. Принцип основан на перестроении mac-маршрутизации обычных свичей. Чтобы проверить мою посылку нужно построить стенд.  Пока уперся в непонятную вещь - freebsd не позволяет модулю raw::ip играться маками, а для моей задачи принципиально нужна возможность посылки пакетов с заданными src-мак адресами

Ух, мля.... наконец-то. Протрахавшись 3 дня (долбанные баги freebsd/perl/pcap), я нехило поднял свой левел в сетевых технологиях на их нижнем (гг) левеле. Не знаю как вам, но мне кажется это ахуенным (не говоря о полезности) в неуправляемой сети обнаружить где же физически находится чел с таким-то ip (в будущем достаточно будет просто мака - я работаю над этим). Крупным сетям, конечно, это не интересно, но вот мелким, у которых гирлянды свичей, понять где же находится тот гад, который взял ip легального абонента - такой необходимости разве не возникало?

Особенно мне нравится в технологии то, что многие (а я надеюсь, что все) считают поставленную задачу невозможной, а я ее решил. В общем я доволен собой - раз, 2 - наконец-то сдыхался от этой задачи - ненавижу, когда что-то не получается.

Скрипт будет включен в новый NoDeny как модуль. Когда будет новый NoDeny - скоро)

стремает то, что в настоящей реализации биллинга кустомизировано настолько много всего, что опасно обновляться

ну а что делать? необходимо делать качественный скачок. Я несколько раз пытался улучшить 50ю версию, но рано или поздно понимаешь, что архитектура устарела безнадежно. Надо новую. С другой стороны, модули для нового NoDeny будет легче писать - факт

это радует, ждем )

Не ради рекламы, а на эмоциях: только что скрипт мне вычислил вплоть до свича левый комп в сети, причем с ip не моей сети. Завтра пойду отключать.

P.s. пока скрипт выдает сырую инфу, которую надо будет вывести на карту и потом визуально сразу будет видно где враг. Пока обработал полученные данные вручную.

расскажи алгоритм, как он работает

это пока ноу-хау - есть мысли привлечь на презентацию нового NoDeny лекцией на эту тему. Если коротко, то на самом деле неуправляемые свичи.... управляемые - у них есть таблица мак-адресов, которая вполне себе управляема. Другой вопрос, как эту управляемость приручить... вот в этом-то ноу-хау и заключается

остается раздуть в интернете "Скандальная новость про неуправляемые свичи", "Шокирующая новость! Как управлять неуправляемыми свичами!"

Windosw 7 тоже пытается рисовать карту сети. Технология наверное схожая..

а как эта карта сети выглядит? типа вот наш комп, а вот шлюз, оба соединены линией между собой?:) Сомневаюсь, что хакерские методы, спуффинг и т.д встроены в винду

нет там не то .. притом только виндовс клиетов и не всех. ну и рабоает все как на мелософте...

а попробуй или работает если на клиенте ( апи другой подсети ) и выключен отправка арпа.?

т.е. винда нарисует какой клиент к какому НЕУПРАВЛЯЕМОМУ свичу подключен??

там бред ....
карту компов в сети - это не то

алгоритм работает так, что от хакера (назовем его так) практически ничего не требуется, кроме минимальной активности. С другой стороны, если он молчит все время, то какой мне смысл его обнаруживать? Хотя, конечно, если постараться, то можно избежать обнаружения, но уровень хакера должен быть очень высоким, вероятность таких стремится к нулю. Т.е если в вашей сети есть такой - слава богу, значит во всех остальных сетях такого хакера нет и они могут спать спокойно))

имелось ввиду не у хакера настроено а у юзверя на свиче перед ним и притом он один. если идет посылка с маком этого юзверя...

маки юзеров не спуфятся.

я когда-то заставлял свичи обновлять таблицу и ловил шарком арпы.
если это имели ввиду то не всегда прокатывало .

ну так не только ж ты обновляешь таблицу в свичах - любой пакет от валидного клиента снова ее изменит на прежний лад

да только комп клиента сначала отправит на все порты.это и отлавливатся шарком

Как заставить НЕуправляемый свич обновить таблицу?

macof  ....
да и не только есть куча вариантов

любой проходящий пакет обновляет таблицу. Если ты посылаешь на определенный комп ethernet пакет, то по всей цепочке свичи будут знать, что мак адрес xx:xx:xx:xx:xx:xx  находится на таком-то порту. При этом, если кто-то другой  пошлет пакет от этого мака - свичи воспримут это как будто-бы произошло переключения кабеля в другой порт. Т.е как бы штатная ситуация. Что интересно,  поскольку пакет может проходить только заданную цепочку свичей, то в сети многие свичи могут "знать" совершенно противоречивую информацию. Все эти процессы проходят внутри свичей, т.е. невозможно послать команду свичу "дай какую-то информацию", все что нам доступно, это "считай, что мак такой-то на таком-то порту". Тем не менее этого достаточно, чтобы решить мою задачу. Причем марка свича, ессно, неважна

http://habrahabr.ru/post/140736/
вот я на хабре опубликовал алгоритм. Кстати моя первая статья там.

дай инвайт на хабр ;)

становись в очередь, уже многие попросили до тебя