kuhar
NoDeny
Постоялец
Карма: 0
Offline
Сообщений: 128
|
|
« : 20 Октября 2014, 08:17:10 » |
|
Всем привет. Помогите, плизз вычислить клиента. В сети завелся нехороший человек, у него или глюкнул комп или роутер, в общем он в сеть раздает DHCP. При этом как-то странно выдает локальный IP 192.168.0.0/24 или 192.168.139.0/24. На одном из клиентских компов вычислил его mac, думал с сервака по mac-у найду его IP и обнаружу, но не тут то было: re1- смотрит в сторону клиентов и показывает только mac-и 3-ех мои точек доступа. Раздаю только через PPPoE. Подскажите плизз как можно еще вычислить засранца?
|
|
|
Записан
|
|
|
|
Efendy
|
|
« Ответ #1 : 20 Октября 2014, 09:04:47 » |
|
Делал я революционную программу по обнаружению таких хакиров. Даже статью на хабре выкладывал. Но здесь никого не заинтересовала. Так что телефоны монтажником и вперед отключать/включать посегментно пока не найдете
|
|
|
Записан
|
|
|
|
ser970
NoDeny
Спец
Карма: 70
Offline
Сообщений: 1323
|
|
« Ответ #2 : 20 Октября 2014, 09:34:50 » |
|
Всем привет. Помогите, плизз вычислить клиента. В сети завелся нехороший человек, у него или глюкнул комп или роутер, в общем он в сеть раздает DHCP. При этом как-то странно выдает локальный IP 192.168.0.0/24 или 192.168.139.0/24. На одном из клиентских компов вычислил его mac, думал с сервака по mac-у найду его IP и обнаружу, но не тут то было: re1- смотрит в сторону клиентов и показывает только mac-и 3-ех мои точек доступа. Раздаю только через PPPoE. Подскажите плизз как можно еще вычислить засранца? это не глукноло ... это расшарил или в роутер воткнул не так. можно так
|
|
|
Записан
|
|
|
|
kuhar
NoDeny
Постоялец
Карма: 0
Offline
Сообщений: 128
|
|
« Ответ #3 : 20 Октября 2014, 10:37:12 » |
|
А что это за статистика левых DHCP, это дополнительный модуль ставится? Всем привет. Помогите, плизз вычислить клиента. В сети завелся нехороший человек, у него или глюкнул комп или роутер, в общем он в сеть раздает DHCP. При этом как-то странно выдает локальный IP 192.168.0.0/24 или 192.168.139.0/24. На одном из клиентских компов вычислил его mac, думал с сервака по mac-у найду его IP и обнаружу, но не тут то было: re1- смотрит в сторону клиентов и показывает только mac-и 3-ех мои точек доступа. Раздаю только через PPPoE. Подскажите плизз как можно еще вычислить засранца? это не глукноло ... это расшарил или в роутер воткнул не так. можно так
|
|
|
Записан
|
|
|
|
ser970
NoDeny
Спец
Карма: 70
Offline
Сообщений: 1323
|
|
« Ответ #4 : 20 Октября 2014, 11:06:23 » |
|
А что это за статистика левых DHCP, это дополнительный модуль ставится?
ну раз его нету у тебя - значит отдельный модуль (как бы логично). притом если судить по дизайну , то под 49/50 версию.... (как бы логично)
|
|
|
Записан
|
|
|
|
kuhar
NoDeny
Постоялец
Карма: 0
Offline
Сообщений: 128
|
|
« Ответ #5 : 20 Октября 2014, 11:50:36 » |
|
Вот этот модуль? http://nodeny.com.ua/modules#module_4А что это за статистика левых DHCP, это дополнительный модуль ставится?
ну раз его нету у тебя - значит отдельный модуль (как бы логично). притом если судить по дизайну , то под 49/50 версию.... (как бы логично)
|
|
|
Записан
|
|
|
|
ser970
NoDeny
Спец
Карма: 70
Offline
Сообщений: 1323
|
|
« Ответ #6 : 20 Октября 2014, 13:13:42 » |
|
Вот этот модуль? http://nodeny.com.ua/modules#module_4А что это за статистика левых DHCP, это дополнительный модуль ставится?
ну раз его нету у тебя - значит отдельный модуль (как бы логично). притом если судить по дизайну , то под 49/50 версию.... (как бы логично) нет читай выше.
|
|
|
Записан
|
|
|
|
kuhar
NoDeny
Постоялец
Карма: 0
Offline
Сообщений: 128
|
|
« Ответ #7 : 20 Октября 2014, 13:50:51 » |
|
Честно, тогда не понял. Что мне нужно сделать, чтобы в биллинге появился этот раздел? Вот этот модуль? http://nodeny.com.ua/modules#module_4А что это за статистика левых DHCP, это дополнительный модуль ставится?
ну раз его нету у тебя - значит отдельный модуль (как бы логично). притом если судить по дизайну , то под 49/50 версию.... (как бы логично) нет читай выше.
|
|
|
Записан
|
|
|
|
sov
|
|
« Ответ #8 : 20 Октября 2014, 13:55:24 » |
|
Может вот это поможет: /usr/ports/net-mgmt/dhcdrop
Кроме того, раз известен mac адрес, можно на оборудовании посмотреть, на каком порту находится этот mac.
|
|
|
Записан
|
|
|
|
kuhar
NoDeny
Постоялец
Карма: 0
Offline
Сообщений: 128
|
|
« Ответ #9 : 20 Октября 2014, 14:20:07 » |
|
У меня не используется умное оборудование, есть сервак и wifi-точки, которые отдают и принимают инет, на стороне пользователя принимает, а дальше по тупым свичам идет, при этом сервак раздает только через pppoe. Запустил на интерфейсе re1, мак вбил той сетевухи, что на абонов смотрит и получил: Wait DHCPOFFER timeout. Resending DHCPDISCOVER. Wait DHCPOFFER timeout. Resending DHCPDISCOVER. Wait DHCPOFFER timeout. Resending DHCPDISCOVER. Wait DHCPOFFER timeout. Resending DHCPDISCOVER. Wait DHCPOFFER timeout. Resending DHCPDISCOVER. Видимо сейчас левый dhcp не включен. Может вот это поможет: /usr/ports/net-mgmt/dhcdrop
Кроме того, раз известен mac адрес, можно на оборудовании посмотреть, на каком порту находится этот mac.
|
|
|
Записан
|
|
|
|
ser970
NoDeny
Спец
Карма: 70
Offline
Сообщений: 1323
|
|
« Ответ #10 : 20 Октября 2014, 15:09:41 » |
|
Честно, тогда не понял. Что мне нужно сделать, чтобы в биллинге появился этот раздел?
1.купить модуль и переписать ( он для 50/49 версии) 2.написать модуль 3.можно и без модуля ручками вычислить - в логах радиуса есть все данные /usr/local/sbin/dhcdrop -t -q -l 00:cb:сd:ff:00:12 -i имя сетевой (тут мак сетевой)
|
|
|
Записан
|
|
|
|
kuhar
NoDeny
Постоялец
Карма: 0
Offline
Сообщений: 128
|
|
« Ответ #11 : 20 Октября 2014, 21:33:22 » |
|
В общем нашел я засранца Но dhcdrop мне не помог, когда он появился в сети dhcdrop начал выдавать сообщения вида: 78. Got BOOTREPLY (DHCPACK) for client ether: 00:84:81:87:D1:BC You IP: 192.168.0.252/24 79. Got BOOTREPLY (DHCPACK) for client ether: 00:A8:A5:A1:F9:6E You IP: 192.168.0.32/24 80. Got BOOTREPLY (DHCPACK) for client ether: 00:A8:B6:92:8B:9D You IP: 192.168.0.53/24 81. Got BOOTREPLY (DHCPACK) for client ether: 00:74:65:F0:E7:7A You IP: 192.168.0.109/24 82. Got BOOTREPLY (DHCPACK) for client ether: 00:32:D3:BD:8F:A5 You IP: 192.168.0.60/24
Это мне не помогло, так как таких IP у меня в сети нет, он видимо показал те устройства, которые к нему (левому dhcp) подключены, но он их не резал, а продолжал раздавать. В логах радиуса вообще нет инфы по макам. Я врезался в сеть, получил IP по dhcp, проверил скорость, отсортировал клиентов по тарифу с такой скоростью и по объему трафика, взял самого первого у которого было больше всех трафика, забанил ему инет и после этого у меня тоже инет пропал, вот так вот я его вычислил
|
|
|
Записан
|
|
|
|
SerjioMati
NoDeny
Старожил
Карма: -4
Online
Сообщений: 282
|
|
« Ответ #12 : 20 Октября 2014, 21:48:43 » |
|
В общем нашел я засранца Но dhcdrop мне не помог, когда он появился в сети dhcdrop начал выдавать сообщения вида: 78. Got BOOTREPLY (DHCPACK) for client ether: 00:84:81:87:D1:BC You IP: 192.168.0.252/24 79. Got BOOTREPLY (DHCPACK) for client ether: 00:A8:A5:A1:F9:6E You IP: 192.168.0.32/24 80. Got BOOTREPLY (DHCPACK) for client ether: 00:A8:B6:92:8B:9D You IP: 192.168.0.53/24 81. Got BOOTREPLY (DHCPACK) for client ether: 00:74:65:F0:E7:7A You IP: 192.168.0.109/24 82. Got BOOTREPLY (DHCPACK) for client ether: 00:32:D3:BD:8F:A5 You IP: 192.168.0.60/24
Это мне не помогло, так как таких IP у меня в сети нет, он видимо показал те устройства, которые к нему (левому dhcp) подключены, но он их не резал, а продолжал раздавать. В логах радиуса вообще нет инфы по макам. Я врезался в сеть, получил IP по dhcp, проверил скорость, отсортировал клиентов по тарифу с такой скоростью и по объему трафика, взял самого первого у которого было больше всех трафика, забанил ему инет и после этого у меня тоже инет пропал, вот так вот я его вычислил А ЗАЙТИ на роутер с паролем admin i login admin?і подивитися ip?
|
|
|
Записан
|
|
|
|
sov
|
|
« Ответ #13 : 20 Октября 2014, 22:38:48 » |
|
В логах радиуса вообще нет инфы по макам.
Как это нет? А что-же это такое в логах моего радиуса? Sun Oct 19 08:36:33 2014 : Auth: Login OK: [yuriy] (from client satellit3 port 48 cli 002421e8ed04) Sun Oct 19 08:36:33 2014 : Auth: Login incorrect: [din/<via Auth-Type = mschap>] (from client satellit1 port 42 cli 00:e0:4c:36:00:01) Я врезался в сеть, получил IP по dhcp, проверил скорость, отсортировал клиентов по тарифу с такой скоростью и по объему трафика, взял самого первого у которого было больше всех трафика, забанил ему инет и после этого у меня тоже инет пропал, вот так вот я его вычислил Обычно, когда в сети появляется "левый" DHCP сервер, это означает, что клиент попутал LAN и WAN порты роутера. И интернет через такой роутер работать не будет. А у вас какой-то интересный случай попался. Клиент очень уж сильно намудрил с проводами.
|
|
|
Записан
|
|
|
|
SerjioMati
NoDeny
Старожил
Карма: -4
Online
Сообщений: 282
|
|
« Ответ #14 : 20 Октября 2014, 22:58:18 » |
|
В логах радиуса вообще нет инфы по макам.
Как это нет? А что-же это такое в логах моего радиуса? Sun Oct 19 08:36:33 2014 : Auth: Login OK: [yuriy] (from client satellit3 port 48 cli 002421e8ed04) Sun Oct 19 08:36:33 2014 : Auth: Login incorrect: [din/<via Auth-Type = mschap>] (from client satellit1 port 42 cli 00:e0:4c:36:00:01) Я врезался в сеть, получил IP по dhcp, проверил скорость, отсортировал клиентов по тарифу с такой скоростью и по объему трафика, взял самого первого у которого было больше всех трафика, забанил ему инет и после этого у меня тоже инет пропал, вот так вот я его вычислил Обычно, когда в сети появляется "левый" DHCP сервер, это означает, что клиент попутал LAN и WAN порты роутера. И интернет через такой роутер работать не будет. А у вас какой-то интересный случай попался. Клиент очень уж сильно намудрил с проводами. або поставив свіч і роздавав інет другові. були випадки на участках де стоять тупарики!
|
|
|
Записан
|
|
|
|
|