Биллинговая система Nodeny
01 Ноября 2024, 02:31:35 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
Новости: Прекращена поддержка версии Nodeny 49
 
   Начало   Помощь Поиск Войти Регистрация  
Страниц: [1] 2
  Печать  
Автор Тема: Вычислить клиента  (Прочитано 10112 раз)
kuhar
NoDeny
Постоялец
*

Карма: 0
Offline Offline

Сообщений: 128


Просмотр профиля
« : 20 Октября 2014, 08:17:10 »

Всем привет.
Помогите, плизз вычислить клиента.
В сети завелся нехороший человек, у него или глюкнул комп или роутер, в общем он в сеть раздает DHCP.
При этом как-то странно выдает локальный IP 192.168.0.0/24 или 192.168.139.0/24.
На одном из клиентских компов вычислил его mac, думал с сервака по mac-у найду его IP и обнаружу, но не тут то было:
Код:
arp -n -i re1 -a
re1- смотрит в сторону клиентов и показывает только mac-и 3-ех мои точек доступа.
Раздаю только через PPPoE.
Подскажите плизз как можно еще вычислить засранца?
Записан
Efendy
Администратор
Спец
*****

Карма: 138
Offline Offline

Сообщений: 4789



Просмотр профиля
« Ответ #1 : 20 Октября 2014, 09:04:47 »

Делал я революционную программу по обнаружению таких хакиров. Даже статью на хабре выкладывал. Но здесь никого не заинтересовала. Так что телефоны монтажником и вперед отключать/включать посегментно пока не найдете
Записан
ser970
NoDeny
Спец
*

Карма: 70
Offline Offline

Сообщений: 1323

262462619
Просмотр профиля Email
« Ответ #2 : 20 Октября 2014, 09:34:50 »

Всем привет.
Помогите, плизз вычислить клиента.
В сети завелся нехороший человек, у него или глюкнул комп или роутер, в общем он в сеть раздает DHCP.
При этом как-то странно выдает локальный IP 192.168.0.0/24 или 192.168.139.0/24.
На одном из клиентских компов вычислил его mac, думал с сервака по mac-у найду его IP и обнаружу, но не тут то было:
Код:
arp -n -i re1 -a
re1- смотрит в сторону клиентов и показывает только mac-и 3-ех мои точек доступа.
Раздаю только через PPPoE.
Подскажите плизз как можно еще вычислить засранца?
это не глукноло ...
это расшарил или в роутер воткнул не так.
можно так
Записан
kuhar
NoDeny
Постоялец
*

Карма: 0
Offline Offline

Сообщений: 128


Просмотр профиля
« Ответ #3 : 20 Октября 2014, 10:37:12 »

А что это за статистика левых DHCP, это дополнительный модуль ставится?

Всем привет.
Помогите, плизз вычислить клиента.
В сети завелся нехороший человек, у него или глюкнул комп или роутер, в общем он в сеть раздает DHCP.
При этом как-то странно выдает локальный IP 192.168.0.0/24 или 192.168.139.0/24.
На одном из клиентских компов вычислил его mac, думал с сервака по mac-у найду его IP и обнаружу, но не тут то было:
Код:
arp -n -i re1 -a
re1- смотрит в сторону клиентов и показывает только mac-и 3-ех мои точек доступа.
Раздаю только через PPPoE.
Подскажите плизз как можно еще вычислить засранца?
это не глукноло ...
это расшарил или в роутер воткнул не так.
можно так

Записан
ser970
NoDeny
Спец
*

Карма: 70
Offline Offline

Сообщений: 1323

262462619
Просмотр профиля Email
« Ответ #4 : 20 Октября 2014, 11:06:23 »

А что это за статистика левых DHCP, это дополнительный модуль ставится?
ну раз его нету у тебя - значит отдельный модуль (как бы логично).
притом если судить по дизайну , то под 49/50 версию.... (как бы логично)
Записан
kuhar
NoDeny
Постоялец
*

Карма: 0
Offline Offline

Сообщений: 128


Просмотр профиля
« Ответ #5 : 20 Октября 2014, 11:50:36 »

Вот этот модуль?
http://nodeny.com.ua/modules#module_4

А что это за статистика левых DHCP, это дополнительный модуль ставится?
ну раз его нету у тебя - значит отдельный модуль (как бы логично).
притом если судить по дизайну , то под 49/50 версию.... (как бы логично)
Записан
ser970
NoDeny
Спец
*

Карма: 70
Offline Offline

Сообщений: 1323

262462619
Просмотр профиля Email
« Ответ #6 : 20 Октября 2014, 13:13:42 »

Вот этот модуль?
http://nodeny.com.ua/modules#module_4

А что это за статистика левых DHCP, это дополнительный модуль ставится?
ну раз его нету у тебя - значит отдельный модуль (как бы логично).
притом если судить по дизайну , то под 49/50 версию.... (как бы логично)

нет
читай выше.
Записан
kuhar
NoDeny
Постоялец
*

Карма: 0
Offline Offline

Сообщений: 128


Просмотр профиля
« Ответ #7 : 20 Октября 2014, 13:50:51 »

Честно, тогда не понял.
Что мне нужно сделать, чтобы в биллинге появился этот раздел?

Вот этот модуль?
http://nodeny.com.ua/modules#module_4

А что это за статистика левых DHCP, это дополнительный модуль ставится?
ну раз его нету у тебя - значит отдельный модуль (как бы логично).
притом если судить по дизайну , то под 49/50 версию.... (как бы логично)

нет
читай выше.
Записан
sov
Постоялец
***

Карма: 0
Offline Offline

Сообщений: 101


Просмотр профиля
« Ответ #8 : 20 Октября 2014, 13:55:24 »

Может вот это поможет: /usr/ports/net-mgmt/dhcdrop

Кроме того, раз известен mac адрес, можно на оборудовании посмотреть, на каком порту находится этот mac.
Записан
kuhar
NoDeny
Постоялец
*

Карма: 0
Offline Offline

Сообщений: 128


Просмотр профиля
« Ответ #9 : 20 Октября 2014, 14:20:07 »

У меня не используется умное оборудование, есть сервак и wifi-точки, которые отдают и принимают инет, на стороне пользователя принимает, а дальше по тупым свичам идет, при этом сервак раздает только через pppoe.
Запустил на интерфейсе re1, мак вбил той сетевухи, что на абонов смотрит и получил:
Wait DHCPOFFER timeout. Resending DHCPDISCOVER.
Wait DHCPOFFER timeout. Resending DHCPDISCOVER.
Wait DHCPOFFER timeout. Resending DHCPDISCOVER.
Wait DHCPOFFER timeout. Resending DHCPDISCOVER.
Wait DHCPOFFER timeout. Resending DHCPDISCOVER.

Видимо сейчас левый dhcp не включен.

Может вот это поможет: /usr/ports/net-mgmt/dhcdrop

Кроме того, раз известен mac адрес, можно на оборудовании посмотреть, на каком порту находится этот mac.
Записан
ser970
NoDeny
Спец
*

Карма: 70
Offline Offline

Сообщений: 1323

262462619
Просмотр профиля Email
« Ответ #10 : 20 Октября 2014, 15:09:41 »

Честно, тогда не понял.
Что мне нужно сделать, чтобы в биллинге появился этот раздел?
1.купить модуль и переписать ( он для 50/49 версии)
2.написать модуль
3.можно и без модуля ручками вычислить - в логах радиуса есть все данные

/usr/local/sbin/dhcdrop -t -q -l 00:cb:сd:ff:00:12 -i имя сетевой

(тут мак сетевой)
Записан
kuhar
NoDeny
Постоялец
*

Карма: 0
Offline Offline

Сообщений: 128


Просмотр профиля
« Ответ #11 : 20 Октября 2014, 21:33:22 »

В общем нашел я засранца Улыбающийся
Но dhcdrop мне не помог, когда он появился в сети dhcdrop начал выдавать сообщения вида:
Код:
78. Got BOOTREPLY (DHCPACK) for client ether: 00:84:81:87:D1:BC You IP: 192.168.0.252/24
79. Got BOOTREPLY (DHCPACK) for client ether: 00:A8:A5:A1:F9:6E You IP: 192.168.0.32/24
80. Got BOOTREPLY (DHCPACK) for client ether: 00:A8:B6:92:8B:9D You IP: 192.168.0.53/24
81. Got BOOTREPLY (DHCPACK) for client ether: 00:74:65:F0:E7:7A You IP: 192.168.0.109/24
82. Got BOOTREPLY (DHCPACK) for client ether: 00:32:D3:BD:8F:A5 You IP: 192.168.0.60/24
Это мне не помогло, так как таких IP у меня в сети нет, он видимо показал те устройства, которые к нему (левому dhcp) подключены, но он их не резал, а продолжал раздавать.
В логах радиуса вообще нет инфы по макам.

Я врезался в сеть, получил IP по dhcp, проверил скорость, отсортировал клиентов по тарифу с такой скоростью и по объему трафика, взял самого первого у которого было больше всех трафика, забанил ему инет и после этого у меня тоже инет пропал, вот так вот я его вычислил Улыбающийся
Записан
SerjioMati
NoDeny
Старожил
*

Карма: -4
Offline Offline

Сообщений: 282


Просмотр профиля
« Ответ #12 : 20 Октября 2014, 21:48:43 »

В общем нашел я засранца Улыбающийся
Но dhcdrop мне не помог, когда он появился в сети dhcdrop начал выдавать сообщения вида:
Код:
78. Got BOOTREPLY (DHCPACK) for client ether: 00:84:81:87:D1:BC You IP: 192.168.0.252/24
79. Got BOOTREPLY (DHCPACK) for client ether: 00:A8:A5:A1:F9:6E You IP: 192.168.0.32/24
80. Got BOOTREPLY (DHCPACK) for client ether: 00:A8:B6:92:8B:9D You IP: 192.168.0.53/24
81. Got BOOTREPLY (DHCPACK) for client ether: 00:74:65:F0:E7:7A You IP: 192.168.0.109/24
82. Got BOOTREPLY (DHCPACK) for client ether: 00:32:D3:BD:8F:A5 You IP: 192.168.0.60/24
Это мне не помогло, так как таких IP у меня в сети нет, он видимо показал те устройства, которые к нему (левому dhcp) подключены, но он их не резал, а продолжал раздавать.
В логах радиуса вообще нет инфы по макам.

Я врезался в сеть, получил IP по dhcp, проверил скорость, отсортировал клиентов по тарифу с такой скоростью и по объему трафика, взял самого первого у которого было больше всех трафика, забанил ему инет и после этого у меня тоже инет пропал, вот так вот я его вычислил Улыбающийся
А ЗАЙТИ на роутер с паролем admin i login admin?і подивитися ip?
Записан
sov
Постоялец
***

Карма: 0
Offline Offline

Сообщений: 101


Просмотр профиля
« Ответ #13 : 20 Октября 2014, 22:38:48 »

В логах радиуса вообще нет инфы по макам.

Как это нет? А что-же это такое в логах моего радиуса? Улыбающийся

Sun Oct 19 08:36:33 2014 : Auth: Login OK: [yuriy] (from client satellit3 port 48 cli 002421e8ed04)
Sun Oct 19 08:36:33 2014 : Auth: Login incorrect: [din/<via Auth-Type = mschap>] (from client satellit1 port 42 cli 00:e0:4c:36:00:01)

Я врезался в сеть, получил IP по dhcp, проверил скорость, отсортировал клиентов по тарифу с такой скоростью и по объему трафика, взял самого первого у которого было больше всех трафика, забанил ему инет и после этого у меня тоже инет пропал, вот так вот я его вычислил Улыбающийся
Обычно, когда в сети появляется "левый" DHCP сервер, это означает, что клиент попутал LAN и WAN порты роутера. И интернет через такой роутер работать не будет. А у вас какой-то интересный случай попался. Клиент очень уж сильно намудрил с проводами.
Записан
SerjioMati
NoDeny
Старожил
*

Карма: -4
Offline Offline

Сообщений: 282


Просмотр профиля
« Ответ #14 : 20 Октября 2014, 22:58:18 »

В логах радиуса вообще нет инфы по макам.

Как это нет? А что-же это такое в логах моего радиуса? Улыбающийся

Sun Oct 19 08:36:33 2014 : Auth: Login OK: [yuriy] (from client satellit3 port 48 cli 002421e8ed04)
Sun Oct 19 08:36:33 2014 : Auth: Login incorrect: [din/<via Auth-Type = mschap>] (from client satellit1 port 42 cli 00:e0:4c:36:00:01)

Я врезался в сеть, получил IP по dhcp, проверил скорость, отсортировал клиентов по тарифу с такой скоростью и по объему трафика, взял самого первого у которого было больше всех трафика, забанил ему инет и после этого у меня тоже инет пропал, вот так вот я его вычислил Улыбающийся
Обычно, когда в сети появляется "левый" DHCP сервер, это означает, что клиент попутал LAN и WAN порты роутера. И интернет через такой роутер работать не будет. А у вас какой-то интересный случай попался. Клиент очень уж сильно намудрил с проводами.

або поставив свіч і роздавав інет другові. були випадки на участках де стоять тупарики!
Записан
Страниц: [1] 2
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.20 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!