[РЕШЕНО] Тролль сдался сам. Карта сети по mac адресам или как поймать злого зелёного тролля?

Question

[juffinhalli]

Привет, Хабр!

Есть 150 компов в сети

В сети есть злые тролли, которые любят вбить руками себе чужой IP, что приводит к конфликтам.

У злого зелёного тролля все порты закрыты, узнать кто он такой пока не могу.

Известен только занятый IP и mac адрес который показал nmap

Просьба подсказать есть ли какой нибудь софт который мог бы построить карту сети с хабами, mac адресами и их IP. Зная IP «соседей» тролля по хабу, думаю, я мог бы вычислить злодея и устроить ему жестокое анальное наказание.

Прошу помочь восстановить справедливость.

Заранее спасибо.

P.S. Open Source решения приветствуются.


Update. Зеленый тролль пришёл с повинной. Это рукожопое существо снесло настройки сети, забыло их и наобум вбило чужой IP. Причём шлюз и DNS были вбиты старые, от уже несуществующего сервака. Инет перестал работать и существо на следующий день пришло каяться в грехах. Этим объясняется странное поведение тролля — в логах vuurmuur и squid была полная тишина.


Всем спасибо за помощь!

Comments

[Максим]

я так понимаю у тебя проблема возникла в связи с авторизацией по IP в SQUID?

[juffinhalli]

да

[Максим]

Я решал проблему проще, так как везде винда, в домене запрещал смену ip адреса, и привязывал в dhcp юзеров особенно умных

[juffinhalli]

злые тролли иногда приносят свои ноутбуки. 8(

[YourChief]

у вас большая сеть, почему бы вам не нанять сетевиков, которые настроят и аренду адресов по порту, и всякие шутки типа замыкания петлёй пресекут, и шутки, подобные этой?

[juffinhalli]

Сетевики бесплатно работать не будут, а денег, как всегда, не хватает (и даже не более насущные вещи). 8( Остаётся только разбираться самому

Answer 1

[Андрей Григорьев]

Если нет возможности ограничить на уровне сетевого оборудования, используя умные свитчи, то можно ограничить и на более высоком уровне — настроить какой-нибудь PPPoE или OpenVPN, к примеру. Хотя это не спасет от деструктивных атак — если кто-то захочет положить сетку из обычных свитчей, то помешать ему можно только добрым ударом по почкам.

Вычислить же его довольно просто — отключаете физически один из линков в центральном коммутаторе, и если злоумышленник более не пингуется (не отвечает на ARP запросы) то идете смотреть кто включен в тот свитч который вы отрубили. Ну и так далее.

Comments

[juffinhalli]

Вредитель закрылся по самые уши, даже не пингуется. Определять придётся по принципу «есть конфликт IP — нет конфликта»

[Андрей Григорьев]

Ну на ARP запросы то он в любом случае должен отвечать, если активно вредит… Ну и на последок ещё один действенный способ — посмотрите по логам прокси-сервера на какую страничку вконтакта он больше всего ходит.

Answer 2

[BasilioCat]

В случае нормальных свитчей можно
— вывести список mac-адресов на порту свитча, найти физический хвост и злодея
— привязать mac-адреса к физическим портам (port security)
В случае хабов или тупых свитчей можно сменить их на нормальные =)))

Answer 3

[Akint]

*nix: arping -I [interface] [ip]
Будет отвечать с маком злодея, даже если тот закрыт на пинги. А дальше либо искать мак на управляемых коммутаторах и гасить порт, либо физически выдёргивать хвосты, пока арпинг не перестанет идти, если коммутаторы неуправляемые.

Comments

[juffinhalli]

Спасибо. Беру на заметку

Answer 4

[YourChief]

свитчи умные? если да, тогда что-то типа www.netdisco.org/ а если нет, тогда я тибя затролел ихихиххихи

Comments

[juffinhalli]

Свичи глупые и недорогие 8(

Answer 5

[Eddy_Em]

> В сети есть злые тролли, которые любят вбить руками себе чужой IP, что приводит к конфликтам.

Вы думаете, что сменить еще и mac-адрес ваши «злые тролли» не смогут? Это же элементарно делается: пропинговал нужные адреса, собрал данные arp в базу, затем пропинговал еще раз и сменил свой айпишник и mac на айпишник и mac какого-нибудь отключенного компьютера.

Вычислить такого нахала можно будет лишь в том случае, если у вас стоят «умные» маршрутизаторы. А в сети из свичей и хабов найти вредителя невозможно!

Comments

[Eddy_Em]

В общем, единственный расово верный вариант в таком случае — прокси с авторизацией по паролю.

[YourChief]

мне ничто не помешает поднять свой прокси с блекджеком и снифферами, чтобы воровать пароли сотрудников, пуская их в инет через свой канал. верное решение — контроллируемый доступ к каналу на уровне порта

[YourChief]

кстати, и пароль к проксе так же можно получить — он обратимо зашифрован в HTTP Basic Auth

[Eddy_Em]

> мне ничто не помешает поднять свой прокси с блекджеком и снифферами
> пароль к проксе так же можно получить — он обратимо зашифрован в HTTP Basic
Эта задача уже не столь тривиальна, как подмена IP и mac.

А вообще, выходит, что в локальной сети невозможно запретить подключенному к сети пользователю выходить в интернет от чужого имени. Только физически отключать.

[Андрей Григорьев]

Возможно, достаточно настроить какой-нибудь PPPoE или любой другой VPN.

Answer 6

[AccessForbidden]

Мониторьте сеть на изменение arp'а. На линуксе есть демон arpwatch который логирует мак адреса для айпи и в случае изменения высылает алерт.

Comments

[juffinhalli]

Найти злодея не поможет. Но если начнут играться с IP не особо подкованные «свои» юзвери, то без алиби удар в глаз хулигану будет обеспечен.
Спасибо. Беру на заметку.

[AccessForbidden]

Как это не поможет? Поясните. У Вас есть база маков (надеюсь что есть) и база айпи (надеюсь что есть) — происходит изменение арп таблицы, Вам присылают сообщение о изменении записи допустим 10.0.0.1 — у нее меняется мак на новый. Вы находите мак в базе и «бьете в глаз тому пользователю»
Это все верно при работе в одном широковещательном домене сети

[juffinhalli]

Оно не поможет если злодей принесёт свой ноут. Я сразу узнаю что IP украли, узнаю новый для меня mac вора. И больше ничего. Оно поможет только если кто нибудь из базы маков начнёт играться. Тогда да, в базе записано где обитает юзверь, значит и туда наносить удар с ноги.

[Eddy_Em]

> Вы находите мак в базе и «бьете в глаз тому пользователю»
Как вы себе это представляете, если пользователь и mac сменит?
То же самое с ноутбуками.
Как уже мне подсказали здесь, единственный надежный способ предотвратить такое — «настроить какой-нибудь PPPoE или любой другой VPN». А единственный способ вычислить наглеца — использовать «умный» коммутатор.

[juffinhalli]

Я выше указал: Но если начнут играться с IP не особо подкованные «свои» юзвери

[juffinhalli]

Так оно и произошло. Играться с IP начали свои рукожопые юзвери. Буду делать базу «своих» mac адресов

[Eddy_Em]

> Играться с IP начали свои рукожопые юзвери
Смотрите, как бы они не подучились :)

Answer 7

[Максим]

Программка friendly pinger+dameware должна полностью удовлетворить все твои потребности.

Comments

[juffinhalli]

все порты закрыты, информации о тролле только mac. Программы молчат

[Максим]

Ну тогда, есть только такой вариант, закрыть в iptables или в проксе проход именно этому MAC и первый кто прибежит, и будет кричать, что не работает интернет, тот и тролль. Плохо, что и в iptables и squid это надо отдельно собирать, по умолчанию, если не ошибаюсь они этого не умеют. Но мне кажется это того стоит

[Eddy_Em]

«По умолчанию» и iptales, и squid умеют фильтровать mac адрес. Но, как я уже говорил, сменить mac адрес — совершенно тривиальная задача. Можно вообще при каждом новом включении компьютера устанавливать произвольный mac.
А можно собрать сведения о парах IP-mac в локалке и автоматом при включении выбирать свободный IP и назначать его и соответствующий ему mac.

Answer 8

[DimonZ]

Можно составить список всех используемых mac адресов и разрешить доступ только с них. Тот пользователь, который попытается сменить mac не сможет получить доступ в интернет и поэтому его будет легко вычислить. После этого собрать все пары IP-mac в определенный момент времени и потом при подозрении о смене IP — снова собрать все пары. После этого будет известен mac адрес того, кто сменил IP. Дальше можно устраивать репрессии по mac адресу.

Comments

[Eddy_Em]

> Тот пользователь, который попытается сменить mac не сможет получить доступ в интернет и поэтому его будет легко вычислить
С чего бы он не сможет получить доступ в интернет, если сменит свой mac адрес на чужой, имеющий доступ? Одной командой ifconfig меняем сразу и mac, и IP. И все. Неуловим.

Answer 9

[baalmor]

Я возможно сейчас глупость скажу, но в винде есть такая утилтка tracert, она отображает весь маршрут, если вам известен конфликтующий IP, вы можете попробовать получить маршрут. две выборки, и поле поиска уже сильно сократиться. Как думаете?

Comments

[agmt]

tracert работает поверх IP. И основан на уменьшении TTL при проходе через gateway.
В данной ситуации gateway'еев нет — всё в 1 сети.

Answer 10

[Александр Чекалин]

Смотреть на оборудовании, где такой мак подключен, вычислять порт, бежать туда и находить клиента на порту.

Я бы советовал подумать, что будете делать, когда найдете тролля. Если «в глаз бить» (хотя бы фигурально) дозволительно, то проблему решите, если же карать нечем — так и будут играть в кошки-мышки. В последнем случае придется Вам авторизацию того или иного рода делать (VPN для клиентов поднимать, PPPoE, на проксе авторизовывать как-то хитро), причем оно явно будет непрозрачно.

Как вариант, посмотреть ISA, точнее, авторизацию через ее клиента — там все хитрее и интереснее, но и возни больше.

P.S. Написали, что «решено» — на чем остановились, если не секрет?