Название: Вычислить клиента Отправлено: kuhar от 20 Октября 2014, 08:17:10 Всем привет.
Помогите, плизз вычислить клиента. В сети завелся нехороший человек, у него или глюкнул комп или роутер, в общем он в сеть раздает DHCP. При этом как-то странно выдает локальный IP 192.168.0.0/24 или 192.168.139.0/24. На одном из клиентских компов вычислил его mac, думал с сервака по mac-у найду его IP и обнаружу, но не тут то было: Код: arp -n -i re1 -a Раздаю только через PPPoE. Подскажите плизз как можно еще вычислить засранца? Название: Re: Вычислить клиента Отправлено: Efendy от 20 Октября 2014, 09:04:47 Делал я революционную программу по обнаружению таких хакиров. Даже статью на хабре выкладывал. Но здесь никого не заинтересовала. Так что телефоны монтажником и вперед отключать/включать посегментно пока не найдете
Название: Re: Вычислить клиента Отправлено: ser970 от 20 Октября 2014, 09:34:50 Всем привет. это не глукноло ...Помогите, плизз вычислить клиента. В сети завелся нехороший человек, у него или глюкнул комп или роутер, в общем он в сеть раздает DHCP. При этом как-то странно выдает локальный IP 192.168.0.0/24 или 192.168.139.0/24. На одном из клиентских компов вычислил его mac, думал с сервака по mac-у найду его IP и обнаружу, но не тут то было: Код: arp -n -i re1 -a Раздаю только через PPPoE. Подскажите плизз как можно еще вычислить засранца? это расшарил или в роутер воткнул не так. можно так Название: Re: Вычислить клиента Отправлено: kuhar от 20 Октября 2014, 10:37:12 А что это за статистика левых DHCP, это дополнительный модуль ставится?
Всем привет. это не глукноло ...Помогите, плизз вычислить клиента. В сети завелся нехороший человек, у него или глюкнул комп или роутер, в общем он в сеть раздает DHCP. При этом как-то странно выдает локальный IP 192.168.0.0/24 или 192.168.139.0/24. На одном из клиентских компов вычислил его mac, думал с сервака по mac-у найду его IP и обнаружу, но не тут то было: Код: arp -n -i re1 -a Раздаю только через PPPoE. Подскажите плизз как можно еще вычислить засранца? это расшарил или в роутер воткнул не так. можно так Название: Re: Вычислить клиента Отправлено: ser970 от 20 Октября 2014, 11:06:23 А что это за статистика левых DHCP, это дополнительный модуль ставится? ну раз его нету у тебя - значит отдельный модуль (как бы логично).притом если судить по дизайну , то под 49/50 версию.... (как бы логично) Название: Re: Вычислить клиента Отправлено: kuhar от 20 Октября 2014, 11:50:36 Вот этот модуль?
http://nodeny.com.ua/modules#module_4 А что это за статистика левых DHCP, это дополнительный модуль ставится? ну раз его нету у тебя - значит отдельный модуль (как бы логично).притом если судить по дизайну , то под 49/50 версию.... (как бы логично) Название: Re: Вычислить клиента Отправлено: ser970 от 20 Октября 2014, 13:13:42 Вот этот модуль? http://nodeny.com.ua/modules#module_4 А что это за статистика левых DHCP, это дополнительный модуль ставится? ну раз его нету у тебя - значит отдельный модуль (как бы логично).притом если судить по дизайну , то под 49/50 версию.... (как бы логично) нет читай выше. Название: Re: Вычислить клиента Отправлено: kuhar от 20 Октября 2014, 13:50:51 Честно, тогда не понял.
Что мне нужно сделать, чтобы в биллинге появился этот раздел? Вот этот модуль? http://nodeny.com.ua/modules#module_4 А что это за статистика левых DHCP, это дополнительный модуль ставится? ну раз его нету у тебя - значит отдельный модуль (как бы логично).притом если судить по дизайну , то под 49/50 версию.... (как бы логично) нет читай выше. Название: Re: Вычислить клиента Отправлено: sov от 20 Октября 2014, 13:55:24 Может вот это поможет: /usr/ports/net-mgmt/dhcdrop
Кроме того, раз известен mac адрес, можно на оборудовании посмотреть, на каком порту находится этот mac. Название: Re: Вычислить клиента Отправлено: kuhar от 20 Октября 2014, 14:20:07 У меня не используется умное оборудование, есть сервак и wifi-точки, которые отдают и принимают инет, на стороне пользователя принимает, а дальше по тупым свичам идет, при этом сервак раздает только через pppoe.
Запустил на интерфейсе re1, мак вбил той сетевухи, что на абонов смотрит и получил: Wait DHCPOFFER timeout. Resending DHCPDISCOVER. Wait DHCPOFFER timeout. Resending DHCPDISCOVER. Wait DHCPOFFER timeout. Resending DHCPDISCOVER. Wait DHCPOFFER timeout. Resending DHCPDISCOVER. Wait DHCPOFFER timeout. Resending DHCPDISCOVER. Видимо сейчас левый dhcp не включен. Может вот это поможет: /usr/ports/net-mgmt/dhcdrop Кроме того, раз известен mac адрес, можно на оборудовании посмотреть, на каком порту находится этот mac. Название: Re: Вычислить клиента Отправлено: ser970 от 20 Октября 2014, 15:09:41 Честно, тогда не понял. 1.купить модуль и переписать ( он для 50/49 версии)Что мне нужно сделать, чтобы в биллинге появился этот раздел? 2.написать модуль 3.можно и без модуля ручками вычислить - в логах радиуса есть все данные /usr/local/sbin/dhcdrop -t -q -l 00:cb:сd:ff:00:12 -i имя сетевой (тут мак сетевой) Название: Re: Вычислить клиента Отправлено: kuhar от 20 Октября 2014, 21:33:22 В общем нашел я засранца :)
Но dhcdrop мне не помог, когда он появился в сети dhcdrop начал выдавать сообщения вида: Код: 78. Got BOOTREPLY (DHCPACK) for client ether: 00:84:81:87:D1:BC You IP: 192.168.0.252/24 В логах радиуса вообще нет инфы по макам. Я врезался в сеть, получил IP по dhcp, проверил скорость, отсортировал клиентов по тарифу с такой скоростью и по объему трафика, взял самого первого у которого было больше всех трафика, забанил ему инет и после этого у меня тоже инет пропал, вот так вот я его вычислил :) Название: Re: Вычислить клиента Отправлено: SerjioMati от 20 Октября 2014, 21:48:43 В общем нашел я засранца :) А ЗАЙТИ на роутер с паролем admin i login admin?і подивитися ip?Но dhcdrop мне не помог, когда он появился в сети dhcdrop начал выдавать сообщения вида: Код: 78. Got BOOTREPLY (DHCPACK) for client ether: 00:84:81:87:D1:BC You IP: 192.168.0.252/24 В логах радиуса вообще нет инфы по макам. Я врезался в сеть, получил IP по dhcp, проверил скорость, отсортировал клиентов по тарифу с такой скоростью и по объему трафика, взял самого первого у которого было больше всех трафика, забанил ему инет и после этого у меня тоже инет пропал, вот так вот я его вычислил :) Название: Re: Вычислить клиента Отправлено: sov от 20 Октября 2014, 22:38:48 В логах радиуса вообще нет инфы по макам. Как это нет? А что-же это такое в логах моего радиуса? :) Sun Oct 19 08:36:33 2014 : Auth: Login OK: [yuriy] (from client satellit3 port 48 cli 002421e8ed04) Sun Oct 19 08:36:33 2014 : Auth: Login incorrect: [din/<via Auth-Type = mschap>] (from client satellit1 port 42 cli 00:e0:4c:36:00:01) Я врезался в сеть, получил IP по dhcp, проверил скорость, отсортировал клиентов по тарифу с такой скоростью и по объему трафика, взял самого первого у которого было больше всех трафика, забанил ему инет и после этого у меня тоже инет пропал, вот так вот я его вычислил :) Обычно, когда в сети появляется "левый" DHCP сервер, это означает, что клиент попутал LAN и WAN порты роутера. И интернет через такой роутер работать не будет. А у вас какой-то интересный случай попался. Клиент очень уж сильно намудрил с проводами.Название: Re: Вычислить клиента Отправлено: SerjioMati от 20 Октября 2014, 22:58:18 В логах радиуса вообще нет инфы по макам. Как это нет? А что-же это такое в логах моего радиуса? :) Sun Oct 19 08:36:33 2014 : Auth: Login OK: [yuriy] (from client satellit3 port 48 cli 002421e8ed04) Sun Oct 19 08:36:33 2014 : Auth: Login incorrect: [din/<via Auth-Type = mschap>] (from client satellit1 port 42 cli 00:e0:4c:36:00:01) Я врезался в сеть, получил IP по dhcp, проверил скорость, отсортировал клиентов по тарифу с такой скоростью и по объему трафика, взял самого первого у которого было больше всех трафика, забанил ему инет и после этого у меня тоже инет пропал, вот так вот я его вычислил :) Обычно, когда в сети появляется "левый" DHCP сервер, это означает, что клиент попутал LAN и WAN порты роутера. И интернет через такой роутер работать не будет. А у вас какой-то интересный случай попался. Клиент очень уж сильно намудрил с проводами.Название: Re: Вычислить клиента Отправлено: kuhar от 21 Октября 2014, 07:07:41 Не он скорее всего намудрил у себя на винде что-то и создал локальную сеть.
Чес слова нима в радусе у меня инфы про маки, только логи подключения к мускулу. |