Автор Тема: Подозрение на спуф-атаку  (Прочитано 9405 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Opium

  • Постоялец
  • ***
  • Сообщений: 487
  • Рейтинг: 18
  • Пол: Мужской
    • ronohan
    • Просмотр профиля
  • Откуда: Мск
Подозрение на спуф-атаку
« : 06 Декабря 2010, 00:50:39 »
есть сеть общежития
построена на 3комах (4210 на этажах, 4200 G - центральный)
от этажного свича в каждую комнату идёт 1 линк, расшитый на розетку, от розетки каждый в комнате лепит по своему разумению (обычно ставят простейший 5-ти портовый длинк для проброса на все комнатные компы)
с недавних пор регулярно начал отваливаться один из интернет-шлюзов.
вместо центрального поставили длинк 3828 который показывает в логах спуф-атаку.
Нашли этаж-источник атаки вроде как.
Как найти непосредственно проблемный порт этажного свича?
Проблема в том, что шлюз отваливается непредсказуемо и на короткое время. В основном по вечерам (подозреваю вирус)

Opium, поправь название темы в соответствии с правилами ;)
Цитата
2.3 В заголовке темы обязательно обозначайте название предмета, которого касается вопрос, а в теле сообщения максимально подробно опишите проблему (приведите аппаратную/программную конфигурацию, а также изложите ситуацию, в которой возникает проблема). Если вы получаете от системы сообщения о ошибках, обязательно процитируйте их дословно (без изменений) с указанием идентификатора и источника сообщения об ошибке, если таковые имеются). Темы с не содержательными или слишком общими заголовками будут закрываться или удаляться.
« Последнее редактирование: 06 Декабря 2010, 17:38:47 от Opium »

Оффлайн Neonaft

  • Модераторы
  • Старожил
  • *****
  • Сообщений: 996
  • Рейтинг: 7
  • Пол: Мужской
  • Балбес по жизни
    • Просмотр профиля
  • Откуда: Москоу
Re: Проблема
« Ответ #1 : 06 Декабря 2010, 10:35:29 »
Если я правильно понял то есть сеть на несколько этажей построенная на неуправляемых свичах. Задача найти порт свича к которому подключен какой то хацкер или просто идиот. Причем более чем уверен что сеть  10.0.0.1 с маской 255.0.0.0 ну или 255.255.0.0 что не сильно различно :)

По мне так для начала принудительно перетряхнуть все антивири, скорее всего они не стоят на всех компах или не обновляются. А вообще ответ для такого вопроса это управляемые свичи :) Потому как кто то умный может просто к сети свой ноут подрубать, а там уже давно АДЪ и ИЗРАИЛЪ
Мощность ядерного взрыва равна 22030000000ккал что примерно соответствует 4,3 тысяч тонн копченой колбасы (С) БАШ
Мой блог - http://vozerov.ru

Оффлайн Opium

  • Постоялец
  • ***
  • Сообщений: 487
  • Рейтинг: 18
  • Пол: Мужской
    • ronohan
    • Просмотр профиля
  • Откуда: Мск
Re: Подозрение на спуф-атаку
« Ответ #2 : 06 Декабря 2010, 11:06:06 »
Если я правильно понял то есть сеть на несколько этажей построенная на неуправляемых свичах. Задача найти порт свича к которому подключен какой то хацкер или просто идиот. Причем более чем уверен что сеть  10.0.0.1 с маской 255.0.0.0 ну или 255.255.0.0 что не сильно различно


свичи управляемые. L2,( центральный в данный момент L3, поставлен специально для отлова.)
но как-то малофункциональные, впринципе позволяют отследить только макадрес
подсеть 172.23.168.0 с маской 255.255.248.0
адрес шлюза - 172,23,175,254
Номер порта этажного свича соответствует номеру комнаты.

По мне так для начала принудительно перетряхнуть все антивири, скорее всего они не стоят на всех компах или не обновляются. А вообще ответ для такого вопроса это управляемые свичи  Потому как кто то умный может просто к сети свой ноут подрубать, а там уже давно АДЪ и ИЗРАИЛЪ

малореализуемо, впервую очередь из-за специфики сети, на одном этаже живёт примерно 160 человек разной компьютерной грамотности и амбиций + хождения с ноутбуками "в гости" имеют место быть.
Пока с каким-то процентом точности локализован этаж.

Оффлайн Opium

  • Постоялец
  • ***
  • Сообщений: 487
  • Рейтинг: 18
  • Пол: Мужской
    • ronohan
    • Просмотр профиля
  • Откуда: Мск
Re: Подозрение на спуф-атаку
« Ответ #3 : 06 Декабря 2010, 11:09:07 »
впринципе может поставить L3 на этаж временно, правда у него всего 24 порта, поэтому отслеживать придётся только половину этажа...

Оффлайн Neonaft

  • Модераторы
  • Старожил
  • *****
  • Сообщений: 996
  • Рейтинг: 7
  • Пол: Мужской
  • Балбес по жизни
    • Просмотр профиля
  • Откуда: Москоу
Re: Подозрение на спуф-атаку
« Ответ #4 : 06 Декабря 2010, 11:13:53 »
впринципе позволяют отследить только макадрес
Есть мак с которого все это идет? тогда смотри куда он подключен

+ хождения с ноутбуками "в гости" имеют место быть.
а нет ли хождения с ноутбуками из вне? Я же говорю скорее всего с них пришло вот и долбится. Так что по узнавай у гостей, насчет всего этого
Мощность ядерного взрыва равна 22030000000ккал что примерно соответствует 4,3 тысяч тонн копченой колбасы (С) БАШ
Мой блог - http://vozerov.ru

Оффлайн Opium

  • Постоялец
  • ***
  • Сообщений: 487
  • Рейтинг: 18
  • Пол: Мужской
    • ronohan
    • Просмотр профиля
  • Откуда: Мск
Re: Подозрение на спуф-атаку
« Ответ #5 : 06 Декабря 2010, 11:15:55 »
а нет ли хождения с ноутбуками из вне? Я же говорю скорее всего с них пришло вот и долбится. Так что по узнавай у гостей, насчет всего этого

судя по косвенным признакам (атака идёт только вечерами), кто-то приходит домой с работы/учёбы и пытается посидеть в инете.

Есть мак с которого все это идет? тогда смотри куда он подключен

мака нет, есть мак устройства, которое атакуется и порт с которого идёт атака (привет длинкам)

Оффлайн Neonaft

  • Модераторы
  • Старожил
  • *****
  • Сообщений: 996
  • Рейтинг: 7
  • Пол: Мужской
  • Балбес по жизни
    • Просмотр профиля
  • Откуда: Москоу
Re: Подозрение на спуф-атаку
« Ответ #6 : 06 Декабря 2010, 11:19:01 »
и порт с которого идёт атака
И сколько туда подключено народу? Этаж?
Мощность ядерного взрыва равна 22030000000ккал что примерно соответствует 4,3 тысяч тонн копченой колбасы (С) БАШ
Мой блог - http://vozerov.ru

Оффлайн Opium

  • Постоялец
  • ***
  • Сообщений: 487
  • Рейтинг: 18
  • Пол: Мужской
    • ronohan
    • Просмотр профиля
  • Откуда: Мск
Re: Подозрение на спуф-атаку
« Ответ #7 : 06 Декабря 2010, 11:26:01 »
И сколько туда подключено народу? Этаж?

ну схема такая
этажный свич (5штук по 48 портов, в среднем 4 компа на порт)-> центральный свич-> межобщажный длинк (L3)
в каждом этажном занято 40 портов (кроме 1-го этажа), по числу комнат. Количество народу, проживающего в комнатах, различается, но беру по максимуму - 4 человека, в среднем по одному компу на человека

Оффлайн Opium

  • Постоялец
  • ***
  • Сообщений: 487
  • Рейтинг: 18
  • Пол: Мужской
    • ronohan
    • Просмотр профиля
  • Откуда: Мск
Re: Подозрение на спуф-атаку
« Ответ #8 : 06 Декабря 2010, 11:33:11 »
какими вообще путями можно отследить источник атаки, кроме унылого брожения по комнатам и судорожного перетыкания оборудования?

Оффлайн risc

  • Модераторы
  • Старожил
  • *****
  • Сообщений: 848
  • Рейтинг: 7
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: раша
Re: Подозрение на спуф-атаку
« Ответ #9 : 06 Декабря 2010, 16:47:49 »
Opium, а на интернет-шлюзе не ведутся логи, кто и куда?
3828, который в логах показывает спуф-атаку больше ничего не показывает?
как нашли этаж источник? и получается что, этажный свич - 5 штук по 48 портов? или что...
  впринципе может поставить L3 на этаж временно, правда у него всего 24 порта, поэтому отслеживать придётся только половину этажа... 
как вариант, сегодня одну часть, завтра другую
Кто понял жизнь, тот не торопится...

Оффлайн Opium

  • Постоялец
  • ***
  • Сообщений: 487
  • Рейтинг: 18
  • Пол: Мужской
    • ronohan
    • Просмотр профиля
  • Откуда: Мск
Re: Подозрение на спуф-атаку
« Ответ #10 : 06 Декабря 2010, 17:40:41 »
risc, с интернет шлюзом сложнее, так как он по сути нелегальный, то достучаться до владельцев очень трудно, даже не то чтобы трудно, а долго

>3828, который в логах показывает спуф-атаку больше ничего не показывает?
как нашли этаж источник? и получается что, этажный свич - 5 штук по 48 портов? или что...

насколько я помню - нет. Нашли просто, сделали 3828 магистральный, соответственно он показал порт с которого идёт атака.


получается что, этажный свич - 5 штук по 48 портов? или что...

нет, каждый этажный свич имеет 48 портов, таких свичей 5, по числу этажей. Если быть конкретным, то 2250,3 модели 4210, и 4200

Оффлайн risc

  • Модераторы
  • Старожил
  • *****
  • Сообщений: 848
  • Рейтинг: 7
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: раша
Re: Подозрение на спуф-атаку
« Ответ #11 : 07 Декабря 2010, 10:28:22 »
Opium
1.что ты имеешь ввиду под:
   вместо центрального поставили длинк 3828 который показывает в логах спуф-атаку.
? ???
2.
сделали 3828 магистральный, соответственно он показал порт с которого идёт атака.
т.е. порт одного из этажей?
что именно он показал в логах?
Кто понял жизнь, тот не торопится...

Оффлайн Opium

  • Постоялец
  • ***
  • Сообщений: 487
  • Рейтинг: 18
  • Пол: Мужской
    • ronohan
    • Просмотр профиля
  • Откуда: Мск
Re: Подозрение на спуф-атаку
« Ответ #12 : 07 Декабря 2010, 11:21:50 »
что именно он показал в логах?

вечером попробую скопировать.

по первому вопросу тоже самое, напишу дословно=) когда дома буду.

Оффлайн Opium

  • Постоялец
  • ***
  • Сообщений: 487
  • Рейтинг: 18
  • Пол: Мужской
    • ronohan
    • Просмотр профиля
  • Откуда: Мск
Re: Подозрение на спуф-атаку
« Ответ #13 : 07 Декабря 2010, 22:01:27 »
322 2010/12/06 00:07:58 Port 5 loop occurred. Port blocked. 
321 2010/12/06 00:02:18 Port 5 link up, 100Mbps FULL duplex
320 2010/12/06 00:02:15 Port 5 LBD port recovered. Loop detection restarted.
319 2010/12/06 00:01:15 Port 5 link down
318 2010/12/06 00:01:14 Port 5 loop occurred. Port blocked.
317 2010/12/05 23:57:46 Port 5 link up, 100Mbps FULL duplex
316 2010/12/05 23:57:42 Port 5 LBD port recovered. Loop detection restarted.
315 2010/12/05 23:56:42 Port 5 link down
314 2010/12/05 23:56:41 Port 5 loop occurred. Port blocked.
313 2010/12/05 23:48:20 Possible spoofing attack from 00-19-5b-f3-b1-41 port 5
312 2010/12/05 23:46:29 Possible spoofing attack from 00-19-5b-f3-b1-41 port 5
311 2010/12/05 23:36:09 Possible spoofing attack from 00-19-5b-f3-b1-41 port 5
310 2010/12/05 23:36:09 Possible spoofing attack from 00-19-5b-f3-b1-41 port 5
309 2010/12/05 23:36:09 Possible spoofing attack from 00-19-5b-f3-b1-41 port 5
308 2010/12/05 23:30:36 Possible spoofing attack from 00-19-5b-f3-b1-41 port 5
307 2010/12/05 23:30:32 Possible spoofing attack from 00-19-5b-f3-b1-41 port 5
306 2010/12/05 23:30:32 Possible spoofing attack from 00-19-5b-f3-b1-41 port 5
305 2010/12/05 23:28:05 Possible spoofing attack from 00-19-5b-f3-b1-41 port 5
304 2010/12/05 23:28:05 Possible spoofing attack from 00-19-5b-f3-b1-41 port 5
303 2010/12/05 23:28:05 Possible spoofing attack from 00-19-5b-f3-b1-41 port 5

вот такая гадость лезет. причём 00-19-5b-f3-b1-41 - это мак самого свича, на котором смотрятся логи, тоесть 3828.

Оффлайн makc

  • Модераторы
  • Постоялец
  • *****
  • Сообщений: 169
  • Рейтинг: 3
  • Генератор случайных чисел
    • Просмотр профиля
Re: Подозрение на спуф-атаку
« Ответ #14 : 08 Декабря 2010, 07:27:27 »
Port 5 loop occurred. Port blocked. 
Петлю ищи. Обнови прошивку.