Название: Физическое обнаружение клиента :) Отправлено: Efendy от 10 Февраля 2012, 11:09:53 Года 4 назад, я разработал на бумаге одну интересную вещь - определение географического положения клиента в неуправляемой сети. Результат в виде "комп с таким-то ip подключен к такому-то свичу или примерно рядом с таким-то свичем". Для обнаружения нам необходимо знать расположения реальных клиентов - обычно мы их знаем. Они выступают как опорные точки. Т.е по моей технологии можно будет сказать, что целевой ip подключен между таким-то и таким-то клиентом. Если в длинной цепочке свичей почти на каждом свиче будет по абоненту, то точность будет высока. Никакое ПО на клиентов не ставится - они выступают просто как точки, местоположение которых мы знаем.
Я пока 100% не уверен в том, что все будет работать - надо проводить исследования. Есть заинтересованность в такой программе? Название: Re: Физическое обнаружение клиента :) Отправлено: Efendy от 10 Февраля 2012, 11:14:15 Походу, сегодня ночью пытался начать писать, но столкнулся с непринципиальной проблемой - тупо не могу послать пакет с левого mac-адреса, возможно во FreeBSD такая фича? Если так, то придется писать под Линукс. Кто-то сможет ответить на вопрос?
Название: Re: Физическое обнаружение клиента :) Отправлено: Rico-X от 10 Февраля 2012, 13:29:52 Было бы полезно.
Одно время делал для себя модуль построения автоматически связей между свичами(умными) принцип был простой, опрашиваем поочередно все ипы в управляющем диапазоне, если ип ответил спрашиваем у него по SNMP его мак и все маки на всех портах, заносим в таблицу, опрашиваем следующий и так далее, потом находим соответствия между маками на портах и маками железяк, строим связи. Потом забросил, так как стало много железа разных вендоров и дорабатывать было лень. А какой принцип предполагается тут? Название: Re: Физическое обнаружение клиента :) Отправлено: smallcms от 10 Февраля 2012, 14:19:49 Походу, сегодня ночью пытался начать писать, но столкнулся с непринципиальной проблемой - тупо не могу послать пакет с левого mac-адреса, возможно во FreeBSD такая фича? Если так, то придется писать под Линукс. Кто-то сможет ответить на вопрос? bittwist и nemesis могут поотравлять жизнь сетям, если Вы об этом. Особенно последнее...Название: Re: Физическое обнаружение клиента :) Отправлено: Efendy от 10 Февраля 2012, 14:40:15 Было бы полезно. я говорю именно про неуправляемую сеть. Принцип основан на перестроении mac-маршрутизации обычных свичей. Чтобы проверить мою посылку нужно построить стенд. Пока уперся в непонятную вещь - freebsd не позволяет модулю raw::ip играться маками, а для моей задачи принципиально нужна возможность посылки пакетов с заданными src-мак адресамиОдно время делал для себя модуль построения автоматически связей между свичами(умными) принцип был простой, опрашиваем поочередно все ипы в управляющем диапазоне, если ип ответил спрашиваем у него по SNMP его мак и все маки на всех портах, заносим в таблицу, опрашиваем следующий и так далее, потом находим соответствия между маками на портах и маками железяк, строим связи. Потом забросил, так как стало много железа разных вендоров и дорабатывать было лень. А какой принцип предполагается тут? Название: Re: Физическое обнаружение клиента :) Отправлено: Efendy от 15 Февраля 2012, 12:07:13 Ух, мля.... наконец-то. Протрахавшись 3 дня (долбанные баги freebsd/perl/pcap), я нехило поднял свой левел в сетевых технологиях на их нижнем (гг) левеле. Не знаю как вам, но мне кажется это ахуенным (не говоря о полезности) в неуправляемой сети обнаружить где же физически находится чел с таким-то ip (в будущем достаточно будет просто мака - я работаю над этим). Крупным сетям, конечно, это не интересно, но вот мелким, у которых гирлянды свичей, понять где же находится тот гад, который взял ip легального абонента - такой необходимости разве не возникало?
Особенно мне нравится в технологии то, что многие (а я надеюсь, что все) считают поставленную задачу невозможной, а я ее решил. В общем я доволен собой - раз, 2 - наконец-то сдыхался от этой задачи - ненавижу, когда что-то не получается. Скрипт будет включен в новый NoDeny как модуль. Когда будет новый NoDeny - скоро) Название: Re: Физическое обнаружение клиента :) Отправлено: stix от 15 Февраля 2012, 12:36:17 Цитировать Когда будет новый NoDeny - скоро) стремает то, что в настоящей реализации биллинга кустомизировано настолько много всего, что опасно обновлятьсяНазвание: Re: Физическое обнаружение клиента :) Отправлено: Efendy от 15 Февраля 2012, 12:56:14 Цитировать Когда будет новый NoDeny - скоро) стремает то, что в настоящей реализации биллинга кустомизировано настолько много всего, что опасно обновлятьсяНазвание: Re: Физическое обнаружение клиента :) Отправлено: stix от 15 Февраля 2012, 15:47:17 Цитировать Когда будет новый NoDeny - скоро) стремает то, что в настоящей реализации биллинга кустомизировано настолько много всего, что опасно обновлятьсяНазвание: Re: Физическое обнаружение клиента :) Отправлено: Efendy от 16 Февраля 2012, 01:04:59 Не ради рекламы, а на эмоциях: только что скрипт мне вычислил вплоть до свича левый комп в сети, причем с ip не моей сети. Завтра пойду отключать.
P.s. пока скрипт выдает сырую инфу, которую надо будет вывести на карту и потом визуально сразу будет видно где враг. Пока обработал полученные данные вручную. Название: Re: Физическое обнаружение клиента :) Отправлено: elite от 16 Февраля 2012, 01:41:30 расскажи алгоритм, как он работает
Название: Re: Физическое обнаружение клиента :) Отправлено: Efendy от 16 Февраля 2012, 01:57:59 расскажи алгоритм, как он работает это пока ноу-хау - есть мысли привлечь на презентацию нового NoDeny лекцией на эту тему. Если коротко, то на самом деле неуправляемые свичи.... управляемые - у них есть таблица мак-адресов, которая вполне себе управляема. Другой вопрос, как эту управляемость приручить... вот в этом-то ноу-хау и заключаетсяНазвание: Re: Физическое обнаружение клиента :) Отправлено: stix от 16 Февраля 2012, 07:54:39 остается раздуть в интернете "Скандальная новость про неуправляемые свичи", "Шокирующая новость! Как управлять неуправляемыми свичами!"
Название: Re: Физическое обнаружение клиента :) Отправлено: bnet от 16 Февраля 2012, 10:56:50 Windosw 7 тоже пытается рисовать карту сети. Технология наверное схожая..
Название: Re: Физическое обнаружение клиента :) Отправлено: Efendy от 16 Февраля 2012, 11:04:45 Windosw 7 тоже пытается рисовать карту сети. Технология наверное схожая.. а как эта карта сети выглядит? типа вот наш комп, а вот шлюз, оба соединены линией между собой?:) Сомневаюсь, что хакерские методы, спуффинг и т.д встроены в виндуНазвание: Re: Физическое обнаружение клиента :) Отправлено: ser970 от 16 Февраля 2012, 12:22:56 Windosw 7 тоже пытается рисовать карту сети. Технология наверное схожая.. а как эта карта сети выглядит? типа вот наш комп, а вот шлюз, оба соединены линией между собой?:) Сомневаюсь, что хакерские методы, спуффинг и т.д встроены в виндуа попробуй или работает если на клиенте ( апи другой подсети ) и выключен отправка арпа.? Название: Re: Физическое обнаружение клиента :) Отправлено: Efendy от 16 Февраля 2012, 17:00:58 Windosw 7 тоже пытается рисовать карту сети. Технология наверное схожая.. а как эта карта сети выглядит? типа вот наш комп, а вот шлюз, оба соединены линией между собой?:) Сомневаюсь, что хакерские методы, спуффинг и т.д встроены в виндуНазвание: Re: Физическое обнаружение клиента :) Отправлено: ser970 от 16 Февраля 2012, 17:05:18 Windosw 7 тоже пытается рисовать карту сети. Технология наверное схожая.. а как эта карта сети выглядит? типа вот наш комп, а вот шлюз, оба соединены линией между собой?:) Сомневаюсь, что хакерские методы, спуффинг и т.д встроены в виндукарту компов в сети - это не то Название: Re: Физическое обнаружение клиента :) Отправлено: Efendy от 16 Февраля 2012, 17:18:33 а попробуй или работает если на клиенте ( апи другой подсети ) и выключен отправка арпа.? алгоритм работает так, что от хакера (назовем его так) практически ничего не требуется, кроме минимальной активности. С другой стороны, если он молчит все время, то какой мне смысл его обнаруживать? Хотя, конечно, если постараться, то можно избежать обнаружения, но уровень хакера должен быть очень высоким, вероятность таких стремится к нулю. Т.е если в вашей сети есть такой - слава богу, значит во всех остальных сетях такого хакера нет и они могут спать спокойно))Название: Re: Физическое обнаружение клиента :) Отправлено: ser970 от 16 Февраля 2012, 18:47:33 имелось ввиду не у хакера настроено а у юзверя на свиче перед ним и притом он один. если идет посылка с маком этого юзверя...
Название: Re: Физическое обнаружение клиента :) Отправлено: Efendy от 16 Февраля 2012, 19:19:57 имелось ввиду не у хакера настроено а у юзверя на свиче перед ним и притом он один. если идет посылка с маком этого юзверя... маки юзеров не спуфятся. Название: Re: Физическое обнаружение клиента :) Отправлено: ser970 от 16 Февраля 2012, 20:34:20 имелось ввиду не у хакера настроено а у юзверя на свиче перед ним и притом он один. если идет посылка с маком этого юзверя... маки юзеров не спуфятся. я когда-то заставлял свичи обновлять таблицу и ловил шарком арпы. если это имели ввиду то не всегда прокатывало . Название: Re: Физическое обнаружение клиента :) Отправлено: Efendy от 16 Февраля 2012, 20:40:17 имелось ввиду не у хакера настроено а у юзверя на свиче перед ним и притом он один. если идет посылка с маком этого юзверя... маки юзеров не спуфятся. я когда-то заставлял свичи обновлять таблицу и ловил шарком арпы. если это имели ввиду то не всегда прокатывало . Название: Re: Физическое обнаружение клиента :) Отправлено: ser970 от 16 Февраля 2012, 20:56:09 да только комп клиента сначала отправит на все порты.это и отлавливатся шарком
Название: Re: Физическое обнаружение клиента :) Отправлено: Demeo от 17 Февраля 2012, 01:10:27 Как заставить НЕуправляемый свич обновить таблицу?
Название: Re: Физическое обнаружение клиента :) Отправлено: ser970 от 17 Февраля 2012, 02:00:12 Как заставить НЕуправляемый свич обновить таблицу? macof ....да и не только есть куча вариантов Название: Re: Физическое обнаружение клиента :) Отправлено: Efendy от 17 Февраля 2012, 02:36:27 Как заставить НЕуправляемый свич обновить таблицу? любой проходящий пакет обновляет таблицу. Если ты посылаешь на определенный комп ethernet пакет, то по всей цепочке свичи будут знать, что мак адрес xx:xx:xx:xx:xx:xx находится на таком-то порту. При этом, если кто-то другой пошлет пакет от этого мака - свичи воспримут это как будто-бы произошло переключения кабеля в другой порт. Т.е как бы штатная ситуация. Что интересно, поскольку пакет может проходить только заданную цепочку свичей, то в сети многие свичи могут "знать" совершенно противоречивую информацию. Все эти процессы проходят внутри свичей, т.е. невозможно послать команду свичу "дай какую-то информацию", все что нам доступно, это "считай, что мак такой-то на таком-то порту". Тем не менее этого достаточно, чтобы решить мою задачу. Причем марка свича, ессно, неважнаНазвание: Re: Физическое обнаружение клиента :) Отправлено: Efendy от 26 Марта 2012, 19:38:56 http://habrahabr.ru/post/140736/
вот я на хабре опубликовал алгоритм. Кстати моя первая статья там. Название: Re: Физическое обнаружение клиента :) Отправлено: bnet от 27 Марта 2012, 18:29:24 дай инвайт на хабр ;)
Название: Re: Физическое обнаружение клиента :) Отправлено: Efendy от 27 Марта 2012, 18:59:12 дай инвайт на хабр ;) становись в очередь, уже многие попросили до тебя |