[РЕШЕНО] Тролль сдался сам. Карта сети по mac адресам или как поймать злого зелёного тролля?

Привет, Хабр!

Есть 150 компов в сети

В сети есть злые тролли, которые любят вбить руками себе чужой IP, что приводит к конфликтам.

У злого зелёного тролля все порты закрыты, узнать кто он такой пока не могу.

Известен только занятый IP и mac адрес который показал nmap

Просьба подсказать есть ли какой нибудь софт который мог бы построить карту сети с хабами, mac адресами и их IP. Зная IP «соседей» тролля по хабу, думаю, я мог бы вычислить злодея и устроить ему жестокое анальное наказание.

Прошу помочь восстановить справедливость.

Заранее спасибо.

P.S. Open Source решения приветствуются.


Update. Зеленый тролль пришёл с повинной. Это рукожопое существо снесло настройки сети, забыло их и наобум вбило чужой IP. Причём шлюз и DNS были вбиты старые, от уже несуществующего сервака. Инет перестал работать и существо на следующий день пришло каяться в грехах. Этим объясняется странное поведение тролля — в логах vuurmuur и squid была полная тишина.


Всем спасибо за помощь!
  • Вопрос задан
  • 8525 просмотров
Решения вопроса 1
eigrad
@eigrad
Python-разработчик / Linux-админ
Если нет возможности ограничить на уровне сетевого оборудования, используя умные свитчи, то можно ограничить и на более высоком уровне — настроить какой-нибудь PPPoE или OpenVPN, к примеру. Хотя это не спасет от деструктивных атак — если кто-то захочет положить сетку из обычных свитчей, то помешать ему можно только добрым ударом по почкам.

Вычислить же его довольно просто — отключаете физически один из линков в центральном коммутаторе, и если злоумышленник более не пингуется (не отвечает на ARP запросы) то идете смотреть кто включен в тот свитч который вы отрубили. Ну и так далее.
Ответ написан
Пригласить эксперта
Ответы на вопрос 10
@BasilioCat
В случае нормальных свитчей можно
— вывести список mac-адресов на порту свитча, найти физический хвост и злодея
— привязать mac-адреса к физическим портам (port security)
В случае хабов или тупых свитчей можно сменить их на нормальные =)))
Ответ написан
Akint
@Akint
*nix: arping -I [interface] [ip]
Будет отвечать с маком злодея, даже если тот закрыт на пинги. А дальше либо искать мак на управляемых коммутаторах и гасить порт, либо физически выдёргивать хвосты, пока арпинг не перестанет идти, если коммутаторы неуправляемые.
Ответ написан
@YourChief
свитчи умные? если да, тогда что-то типа www.netdisco.org/ а если нет, тогда я тибя затролел ихихиххихи
Ответ написан
@Eddy_Em
> В сети есть злые тролли, которые любят вбить руками себе чужой IP, что приводит к конфликтам.

Вы думаете, что сменить еще и mac-адрес ваши «злые тролли» не смогут? Это же элементарно делается: пропинговал нужные адреса, собрал данные arp в базу, затем пропинговал еще раз и сменил свой айпишник и mac на айпишник и mac какого-нибудь отключенного компьютера.

Вычислить такого нахала можно будет лишь в том случае, если у вас стоят «умные» маршрутизаторы. А в сети из свичей и хабов найти вредителя невозможно!
Ответ написан
@AccessForbidden
Мониторьте сеть на изменение arp'а. На линуксе есть демон arpwatch который логирует мак адреса для айпи и в случае изменения высылает алерт.
Ответ написан
Maxim_ka
@Maxim_ka
Системный инженер
Программка friendly pinger+dameware должна полностью удовлетворить все твои потребности.
Ответ написан
uscr
@uscr
Zenmap не подходит?
Ответ написан
DimonZ
@DimonZ
Можно составить список всех используемых mac адресов и разрешить доступ только с них. Тот пользователь, который попытается сменить mac не сможет получить доступ в интернет и поэтому его будет легко вычислить. После этого собрать все пары IP-mac в определенный момент времени и потом при подозрении о смене IP — снова собрать все пары. После этого будет известен mac адрес того, кто сменил IP. Дальше можно устраивать репрессии по mac адресу.
Ответ написан
@baalmor
Я возможно сейчас глупость скажу, но в винде есть такая утилтка tracert, она отображает весь маршрут, если вам известен конфликтующий IP, вы можете попробовать получить маршрут. две выборки, и поле поиска уже сильно сократиться. Как думаете?
Ответ написан
Смотреть на оборудовании, где такой мак подключен, вычислять порт, бежать туда и находить клиента на порту.

Я бы советовал подумать, что будете делать, когда найдете тролля. Если «в глаз бить» (хотя бы фигурально) дозволительно, то проблему решите, если же карать нечем — так и будут играть в кошки-мышки. В последнем случае придется Вам авторизацию того или иного рода делать (VPN для клиентов поднимать, PPPoE, на проксе авторизовывать как-то хитро), причем оно явно будет непрозрачно.

Как вариант, посмотреть ISA, точнее, авторизацию через ее клиента — там все хитрее и интереснее, но и возни больше.

P.S. Написали, что «решено» — на чем остановились, если не секрет?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы