Почему я вижу кучу других сетей за пределами моего завода, более того моей страны?

Question

[Дмитрий Трейсеров]

прошлые две темы.
1) В доменной сети «плавает» IP (без доступа в интернет). Как его поймать и убрать?
2) Один и тот же MAC на нескольких IP. Как найти источник проблемы?

в общем сегодня утром левый DHCP сменился. и стал 116.0.168.1
я решил проверить весь диапазон сети. отклики были много где. но на 117 лучше всех.
при обращении в эту сеть она принимает имя компа и домен человека который к ней обращается


В 117 ПОДСЕТКЕ Я ВИЖУ УСТРОЙСТВА НА КОТОРЫЕ МОГУ ПОДКЛЮЧАТЬСЯ


далее я дал трасировку на 117 IP

C:\Users\sysadmin>tracert 117.0.168.1

Трассировка маршрута к sysadmin.***.ru [117.0.168.1]
с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс 192.168.0.1**
2 5 ms 4 ms 4 ms net238-252.perm.ertelecom.ru [46.146.238.252]
3 5 ms 4 ms 4 ms ae0-435.bbr01.perm.ertelecom.ru [212.33.233.105]

4 33 ms 47 ms 33 ms ertelekom-ic-317530-sap-b3.c.telia.net [62.115.1
48.175]
5 33 ms 33 ms 33 ms sap-b3-link.telia.net [62.115.148.174]
6 41 ms 41 ms 41 ms s-bb4-link.telia.net [80.91.250.99]
7 62 ms 62 ms 62 ms ffm-bb4-link.telia.net [62.115.138.105]
8 81 ms 81 ms 81 ms mei-b1-link.telia.net [62.115.112.231]
9 214 ms 214 ms 214 ms snge-b1-link.telia.net [62.115.141.147]
10 229 ms 237 ms 243 ms viettel-ic-314019-snge-b1.c.telia.net [62.115.60
.18]
11 279 ms 266 ms 275 ms sysadmin.***.ru [27.68.248.29]
12 260 ms 262 ms 271 ms sysadmin.***.ru [27.68.232.9]
13 274 ms 263 ms 271 ms sysadmin.***.ru [27.68.255.33]
14 279 ms 275 ms 256 ms sysadmin.***.ru [27.68.229.50]
15 271 ms 281 ms 295 ms sysadmin.***.ru [117.0.168.1]

Трассировка завершена.

далее мы просканировали диапазон сети 27.68.*.*
около 20000 узлов видим в онлайне 8 из них известны и активны (мы к ним можем обращаться, заходить)
запросили arp таблицу там все левые сети с МАС нашего bridge ну я не удивлен)

ЧЕ ДЕЛААААТЬ?)

Comments

[Талян]

Ого, слежу за вашими вопросами с самого начала, безумно интересное развитие сюжета!)

[Кирилл]

у вас плохо построена сеть. Начинайте с самого начала: проектируйте сеть, настраивайте оборудование и не забудьте поднять хоть какой-то фаервол

[Дмитрий Трейсеров]

Кирилл, фаервол поднят. как думаешь чего не хватает в нем чтоб не было такой ситуации?

[Дмитрий Трейсеров]

Анатолий, ахахаха спасибо) сами тут сидим думаем что за .....

[Кирилл]

Дмитрий Трейсеров, Какой именно фаервол? У вас явно сеть дырявая. Настройте внутри вланы, запретите все кроме нужного, укажите только один возможный DHCP. Как понимаю у вас крупная организация, так что меры должны быть суровые.

[Дмитрий Трейсеров]

Кирилл, DHCP и DNS раздается на серваке(как на микротике ограничить раздачу DHCP всеми мне знакомыми способами сделал). Вланы прокидывать еще не научился. но вариант хороший. сетка дырявая соглашусь.где латать не знаю.

[CityCat4]

Вы знаете - я бы начал с административных мер. Идете к руководству, обрисовываете ситуацию. Всех оповещаете примерно в стиле "Наша сеть взломана, будут приниматься меры для устранения, всем выключить компьютеры и прочее оборудование".
И погнали по территории по каждому рабочему месту проверять провода, подключения, переписывать маки - в общем делать то, что называется "инвентаризация сети"

[Кирилл]

Дмитрий Трейсеров, Вот по этому и говорю. Начните сначала. Составьте топологию сети, раскидайте все по вланам. Поставьте firewall, да хоть Ubuntu c iptables. Этот минимум позволит вам худо-бедно управлять сетью. В текущей ситуации вы сильно рискуете целостностью инфраструктуры.

[Дмитрий Трейсеров]

CityCat4, Кирилл, спасибо.понял принял.постарась как то разобраться.я пришел сюда уже на готовую сеть... и проблема уже была в тот момент когда я пришел... построить с нуля иногда легче чем разобраться в том что уже настроили до тебя)

[Дмитрий Трейсеров]

CityCat4, я отключал физически все машины вообще.оставаля столько шлюз и роутер провайдера пинг до левых сетей оставался.... щас думаю подключиться напрямую компом к кабелю провайдера посмотреть как пойдет и потом просканить сеть. в общем примерно вашим методом воспользоваться

[hint000]

Дмитрий Трейсеров,

только шлюз и роутер провайдера пинг до левых сетей оставался

погодите... ну и что? ну вы можете пинговать Гугл, можете пинговать Яндекс - и пинг будет идти. И что из этого следует? Вы же не спрашиваете, почему вы видите Яндекс из своей сети, хотя Яндекс за пределами вашего завода. Наоборот, проблема была бы, если бы у вас не было пинга до Яндекса и т.п.
Ну и почему вы считаете проблемой, что какой-то японский или китайский IP пингуется?
Эти пинги через провайдера и через весь интернет идут в Китай, в Японию и т.д. - это же нормальная работа интернета.
По-моему вы сами навыдумывали себе страшилку и сами поверили в неё.
Какой-нибудь китайский IP вы просто увидели среди коннектов своего роутера по одной из двух причин:
1) китайская камера или китайский видеорегистратор и т.п. ломятся в своё родное облако (это типично, не очень страшно, но всё же я их не пускаю на роутере)
2) китайский школьник-хакер или бот-нет сканирует всё подряд в надежде на стандартный пароль или отсутствие пароля; тоже не очень страшно, но тоже хорошо бы пресекать.

Вот дядя Вася из третьего цеха откроет Яндекс - вы в этот момент в коннектах на роутере увидите IP Яндекса. Так что ж бежать искать этот IP у себя в локалке?!
Может всё и не так, но мне уже интуиция подсказывает, что так :) - на основе трёх ваших вопросов.

[hint000]

Посмотрел внимательно на скриншот с браузером на 117.0.168.193 - ну так и есть, IP-камера не запароленная где-то во Вьетнаме у какого-то тамошнего лоха. Поскольку она не запароленная, то её давным-давно (хотел сказать взломали, но по сути и взламывать-то не требовалось - бери голыми руками, кому не лень)... заразили, сделали частью бот-нета. Теперь скрипт на этой камере (и на сотнях тысяч других) сканирует весь интернет и ищет следующие легко доступные жертвы. Просто в момент сканирования вашего IP вы засекли. А например через минуту вас сканировали с какого-то другого адреса, например из Нидерландов, или из Индии. Такое сейчас везде и непрерывно творится в сети. Это хреново, но это сейчас норма жизни.
Прямо сейчас проверьте, что на Микротике обновлена версия RouterOS и firmware. В старых версиях могут быть уязвимости. Остальные мероприятия - в рабочем порядке и без паники :)

[Дмитрий Трейсеров]

hint000, хахахахахах логично однако) проблема в том что один и только один IP перенимает ДШСП другое. и на этом IP нет интернета.



во всем остальном может я и правда жути сам себе нагнал ахахахаха так то логично же все) и только этот IP беред другой ДШСП

[Дмитрий Трейсеров]

hint000, дружище я тебе очень благодарен! на счет обнов микротика все под контролем.не под контролем был только микрот проввайдера который продался и ушел благополучно со всеми логинами пассами. пришлось самим взламывать этот микротик и пользоваться его уязвимостью. там обновиться не вышло но я его быстро прикрыл от окружающей его среды) ты вообще ооочень помог.я всеж снова начал искать левые дшсп серваки.но ни одна прога мне не показывает еще серваки а микрот гасит все неизвестные маки дшсп через алерт. по этому я копал все глубже и глубже пока совсем не запутал сам себя.

[hint000]

Дмитрий Трейсеров, ну тут вы правы. Тогда давайте по-порядку.
Исходим из того, что есть левый DHCP-сервер.
Также исходим из того, что настоящим DHCP-сервером является ваш роутер Микротик (или это не так?)
Сколько у вас свитчей на заводе? Пусть десять-двадцать, если это мелкие 8-портовые свитчи.
Ноутбук в хозяйстве найдётся? С ним просто намного меньше бегать придётся, чем без него.
Идёте с ноутом к первому свитчу (любому на выбор).
1. определяете, какой из кабелей в свитче является ап-линком, т.е. идёт в сторону вашего главного роутера. Если через несколько промежуточных свитчей идёт к роутеру - неважно, всё равно - это up-link. Надеюсь, не надо подробно рассказывать, как определить? :) Помечаете этот кабель изолентой (если он ещё не был помечен).
2. выдёргиваете из свитча ап-линк и цепляете к свитчу ноутбук. На ноутбуке смотрите одно из двух: либо левый DHCP выдаст адрес, либо ноут подождёт-подождёт, не увидит DHCP и сам себе выберет адрес 169.254.*.* От правильного DHCP не может быть ответа, т.к. ап-линк выдернут.
Лучше конечно, чтобы сейчас попался левый DHCP. Если не попался, то втыкаем ап-линк на место и идём к любому другому свитчу. За одну-две минуты без интернета пользователи (которые висят на этом свитче) сильно не обломаются. Знаем мы все эти заводы, работали, :) главное, чтобы директору не отрубить интернет, а все остальные потерпят, если недолго. :) Хотя можно и согласовать заранее, как выше советовали. Только в этом случае вы же не выключаете все компы, а просто делаете кратковременные перебои с интернетом - сущие пустяки, пф-ф-ф...
3. дошли до N-го свитча, повторили всё, и поймали ответ левого DHCP. Ура! Выдёргиваем все-все кабели из свитча (и ноут тоже), вставляем один кабель (не ап-линк!) и вставляем ноут. Ловим DHCP. нет? выдёргиваем ноут, добавляем один кабель в свитч (не ап-линк!) Ловим DHCP. и т.д. Поймали? помечаем как-то последний кабель (изолентой другого цвета, и назовём это условно "злым" кабелем). Ура! Уже большой прогресс: знаем, что левый DHCP где-то на этом кабеле (если мы не ошиблись, лучше сразу ещё раз проверить).
4. дальше по обстановке: есть возможность тупо идти вдоль этого кабеля и дойти до следующего свитча? Отлично! Идём и там всё повторяем с пункта 3.
5. Нет возможности проследить по кабелю, например, пучок кабелей уходит в стену или в потолок. Тогда выдёргиваем из свитча "злой кабель" и ходим по заводу - ищем комнату с компами, на которых пропал интернет, или сразу свитч, на котором не горит индикатор на ап-линке. Нашли такой свитч? Проверяем: втыкаем "злой кабель", возвращаемся к найденному свитчу. Появился ап-линк? значит не ошиблись. Повторяем на этом свитче пункт 3.
6. Если запутались и сил нет дальше искать, то оставляем выдернутым последний (только последний!) найденный "злой кабель". Раз непонятно, куда он идёт, то сидим ждём, кто из пользователей начнёт жаловаться на отсутствие интернета. Как пожалуются - идём туда и ищем свитч. А если никто не пожалуется, то и хрен с ним. Источник проблем мы ведь изолировали от локальной сети, может позже выяснится, кто это.

Всё! конец алгоритма поиска! В итоге должны прийти к устройству с левым DHCP.

[hint000]

Дмитрий Трейсеров, да забыл еще один пункт. Если в пункте 2 так и не поймали левый DHCP и прошли по всем свитчам, и нигде не поймали...
Ну тут всего один вариант: в данный конкретный момент это устройство может быть выключено. А это уже намёк, что это самодеятельность кого-то из пользователей - юзер ушёл, выключил комп и кнопку на фильтре питания (тётки любят их выключать), и в тот же фильтр наше искомое устройство воткнуто. Остаётся ждать следующего раза, когда проблема проявится и снова бегать по свитчам.

[hint000]

Дмитрий Трейсеров, Если нет ноутбука, то придётся побегать намного больше, т.к. придётся использовать вместо него один из юзерских компьютеров, воткнутых в исследуемый свитч. Ну и бонусом в итоге в голове нарисуется схема всей сети завода, можно из головы на бумагу перенести.

[Ezhyg]

А ещё:

.ertelecom.ru

Эр-телеком всю свою сеть связывает "кольцами" и часто "оставляет" внутри подъезда/дома/района/города - вполне себе локальную сеть (или даже несколько вложенных). Сколько там попадается незащищённого всякого :(

[Дмитрий Трейсеров]

hint000, ну прям все расписал как боженька!) хахахаха знакомая практика. так и попробую сделать)позже отпишусь что и как будет)
СПАСИБИЩЕ ОГРОМНЕЙЩЕЕ!

[Дмитрий Трейсеров]

Ezhyg, а вот это поворот)не знал.

[hint000]

Дмитрий Трейсеров, одна просьба: если найдешь этот левый девайс, то отпишись здесь, что это всё-таки было. А то куча народу следит, без финала это реально будет как недосмотренный детектив ;)

[Дмитрий Трейсеров]

hint000, хахаха конечно да)

[fluffybear]

Скажите, а вы не пробовали следующие варианты:
1. попробовать зайти на 113.0.168.1 либо на https://113.0.168.1
2. прописать на своем компьютере статический адрес 113.0.168.2, пропинговать 113.0.168.1 и узнать его mac-адрес?

Есть шанс, что либо по веб-интерфейсу, либо по маку сможете идентифицировать тип устройства и сузить круг поиска.

[Дмитрий Трейсеров]

Доброе утро.
1) пробовали. не заходит ни на один. кстати вот так я и запутался ибо начал ловить ломаные устройства и такой думал о божечки я вижу другую сетку!!! а вот ничего не удивило что я в мировой сети?)ахаха и там куча сеток хахах и то что я их пингую это норма. не нормой грубо говоря были взломанные устройства на которые я попадал по 80 порту как я понимаю.кароче горе юзер просто не защитил должным образом свое устройство.

2)вот эту тему не пробовал можно ради интереса попробовать! благодарю.интересная мысль! если был бы мак я бы его уже давно бы нашел через wireshark но фишка в том что мак в арп таблице любой моего бриджа.что не удивительно)

[CityCat4]

hint000, она в принципе и так нарисуется, только менее детально. И кстати, настоятельно рекомендую ТС после того, как диверсант будет найден и расстрелян из принтера, на этом не стопориться, а закончить обход всех устройств и нарисовать-таки полную схему сети, а если есть возможность - даже провода пронумеровать :)

[Дмитрий Трейсеров]

CityCat4, это точно)схемы это очень важно в нашей работе.спасибо за совет)

[nApoBo3]

Можно даже особо не ходить. У вас есть микротик куда все сведено. Вешаем каждый downlink на отдельный порт и поднимаем на нем dhcp клиент. Можно так даже на длительное время сделать, если есть риск, что устройство сейчас off-line.
Дальше поймали герлянду на которой dhcp. Если в ней все свичи управляемые, каждый в отдельный vlan и повторяем операцию.

[Дмитрий Трейсеров]

nApoBo3, вопрос подняты ли вланы) но вы мне дали одну хорошую мысль спасибо)

[Филипп Бондарев]

Оххх, как же я люблю подобные истории. Кажется, что сам бегаю по пыльным подсобкам завода. Напоминает то время, когда я еще будучи школьником зачитывался выпрошенными у друзей журналами ][акер, еще ничего не понимая, но уж люто увлеченно!

[Дмитрий Трейсеров]

Филипп Бондарев, хахаха скоро будет кульминация я надеюсь. поставлю управляемый микротик заместо хабов чтоб не перетыкать кабеля. надеюсь он покажет все.я почти уже докопался до истины.прока просто не дают сделать останов на 5 минут мол "работаем") ну а на заднем фоне 50 IP адрес вытворяет чудеса)

[semenby]

волнуюсь, как там результаты?

[Дмитрий Трейсеров]

semenby, Владимир, ожидаю отмашки для установки двух свичей микротик дабы включить снупинг+алерт и найти проблему) ну если уж и они не справятся пойду на кардинальные меры физическим отключением)

[Дмитрий Трейсеров]

Владимир, semenby, CityCat4, hint000, Филипп Бондарев, fluffybear, Добрый день, в общем че я намутил. заменил два тупых хаба на два микротика. влючил алерт на них вроде перестал беспокоить а дальше поставил еще и WF точку с IP . .0.50. в итоге больше 50й IP не появляется в сети.скорей всего по причине что он занят чем то другим) пруфит в общем то.второе решение включить снупинг просто. но для этого надо дождаться подходящего момента) в общем то я про вас не забываю)пока что решение проблемы вот на такой стадии. грубо говоря левые ДХЦП найдены но не те. лучшая защита это нападение)

[Филипп Бондарев]

Добраться до этого маленького засранца, чем бы оно ни было - как вытащить шелуху от гречки из за десны. Интересно, что же это за дичь?!

[Дмитрий Трейсеров]

hint000, Анатолий , BasiC2k, Талян, CityCat4,
те кто новенький читайте комментарии.
ребята, в общем ответ был такой!
В субботу я поднимал вланы на микротиках. господи какой же геморрой) и пока отрубал оборудование снова поймал этот неуловимый IP жестко загнал его в угол путем отключения портов) и тадам победа! по сути как вы все и говорили. в общем червь-пи....р оказалась бегущая строка. я до этого уже знал что они дико спамят DHCP в сеть и как бэ я больше чем уверен был в том что это они. теперь это доказал сам себе. в общем для тех кто столкнется с такой траблой. в моем случае помогла установка wifi роутера у которого по умолчанию стоит ....0.50 IP а так же DHCP Alerts и самый лучший способ отключение патчкордов и выявление где находится "злоумышленник". всем спасибо за помощь! всем спасибо за терпение.очень интересная история получилась у нас)

[Филипп Бондарев]

Ну вот, эпоха ушла =) Было интересно следить за приключениями. Удачи в работе.

[Дмитрий Трейсеров]

Филипп Бондарев, Спасибо и тебе)

Answer 1

[nApoBo3]

Посмотрел предыдущие темы. Вы смешиваете трасерт, пинг, dhcp, сканирование сети все в одну кучу.

Судя по первой теме, в вашей сети есть альтернативный dhcp. Следует понимать, это не обязательно сам сервер, это может быть realy. При этом это может быть как ваш relay в следствии ошибок в настройке, так и "левый".
Но следует понимать, что если адрес dhcp находится не в вашей подсети, это может быть два разных узла. Т.е. узел в ваше подсети или relay получил широковещательный запрос dhcp от вас, ответил вам и представился определенным ip. Но поскольку этот ip не в вашей подстеи, то трафик на него пойдет через шлюз, таким образом о можете перейти на совсем другой узел.
Пример:
Я поднимаю в вашей сети dhcp и руками прописываю ему ip yandex. Вы получили адрес и пытаете мой ip пинговать, но трафик пойдет на шлюз и шлюз его отправит на yandex и узел yandex'а вам ответит.

Вам нужно найти dhcp в сети который вам "делает пакости". Для начала посмотрите wireshark mak адрес который вам отвечает. Попробуйте его найти на коммутаторах. В худущем случае сужайте домен, можно даже физически отключая свичи или вставляя в разрез грамотно настроенный микротик.

Answer 2

[Sergey В.]

Возможно в вашей сети есть элементы видеонаблюдения из китайского набора. Некоторые сетевые камеры и регистраторы могут поднимать DHCP. Настройки такого девайса могут сброситься на "по-умолчанию" из-за сбоя по питанию.

Answer 3

[Diman89]

С самого начала не следил, как вариант: на роутере сделай правило чтобы дропались dhcp-пакеты, приходящие не из локалки

Comments

[hint000]

Это так не работает.
DHCP из WAN в LAN сквозь роутер не ходит. Ибо другой широковещательный домен. А DHCP-запрос - broadcast. А без запроса нет offer'а.

[Дмитрий Трейсеров]

hint000, расскажи поподробней об этом если будет время.интересно очень!

[hint000]

Дмитрий Трейсеров, Что такое широковещательный домен знаешь? (в первом приближении то же самое, что сегмент сети)

вот реальный пример:

sudo tcpdump port 67 or port 68
10:10:44.918141 IP 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from a4:d8:ca:59:ec:d6 (oui Unknown), length 280
10:10:45.433482 IP 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from a4:d8:ca:59:ec:d6 (oui Unknown), length 280
10:10:45.919440 IP mash.bootps > 192.168.1.147.bootpc: BOOTP/DHCP, Reply, length 300
10:10:45.950015 IP 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from a4:d8:ca:59:ec:d6 (oui Unknown), length 292
10:10:45.950575 IP mash.bootps > 192.168.1.147.bootpc: BOOTP/DHCP, Reply, length 300

здесь видно, что запросы от клиента идут на широковещательный (broadcast) адрес 255.255.255.255.
Роутер разграничивает широковещательные домены. Т.е. любой broadcast-пакет, созданный в локальной сети, не выйдет за пределы локальной сети. (И наоборот, любой broadcast снаружи (из сети провайдера) не попадёт в локальную сеть).

tail /var/log/dhcpd.log
Apr  1 10:10:44 mach dhcpd[11993]: DHCPDISCOVER from a4:d8:ca:59:ec:d6 via enp1s0
Apr  1 10:10:45 mach dhcpd[11993]: DHCPOFFER on 192.168.1.147 to a4:d8:ca:59:ec:d6 via enp1s0
Apr  1 10:10:45 mach dhcpd[11993]: reuse_lease: lease age 424 (secs) under 25% threshold, reply with unaltered, existing lease for 192.168.1.147
Apr  1 10:10:45 mach dhcpd[11993]: DHCPREQUEST for 192.168.1.147 (192.168.1.1) from a4:d8:ca:59:ec:d6 via enp1s0
Apr  1 10:10:45 mach dhcpd[11993]: DHCPACK on 192.168.1.147 to a4:d8:ca:59:ec:d6 via enp1s0

тут видна последовательность пакетов при работе DHCP:
DHCPDISCOVER - клиент орёт: "Эй, есть тут живой DHCP-сервер? Мне бы адрес получить."
DHCPOFFER - сервер говорит: "Вот он я. И адресок свободный для тебя найдётся, зацени 192.168.1.147, годится такой?"
DHCPREQUEST - клиент говорит: "Клёво! Так я возьму 192.168.1.147, уже можно, да?"
DHCPACK - сервер говорит: "Да, бери, я тебя записываю."

[Дмитрий Трейсеров]

hint000, ахахаха красавчик. очень круто объясняешь! спасибо огромное!

Answer 4

[Алексей Николаев]

Удивлен, что никто не ответил так ранее, но... это может быть вирус.

Comments

[Дмитрий Трейсеров]

в прошлых темах так отвечали)

Answer 5

[Анатолий]

У провайдера нет локалки, типа билайна?
Возможно кто-то подключил второй интернет канал, причем перепутал WAN с LAN.
Что мешает найти сторонний DHCP? "arp -a" никто не отменял ))
...
сменить админа

Comments

[Дмитрий Трейсеров]

хочешь покажу тебе арп таблицы?) подскажешь мне маки)

[hint000]

жаль только, что нет аналога команды arp, который бы вместо mac показывал icbm-address :)))
Вот тогда бы популярная фраза "я тебя по ip найду" заиграла новыми красками.

[Дмитрий Трейсеров]

hint000, хвхахахахаххаа точно) тгда бы и отлов пользователя был бы проще) кстати да очень жаль что у нас есть только арп в распоряжении...

[Анатолий]

Дмитрий Трейсеров, не проблема показывай.
Тем более если ip, у DHCP известен, то он еще и пинговаться должен.
А далее вытыкаешь кабель из коммутатора и ищешь "нарушителя", если коммутаторы управляемые, то еще проще, можно проверять прям на коммутаторе.
Найдешь нарушителя, дальше все поймешь.

Не важно где находится нарушитель, можно в любой точке города найти.

[hint000]

Анатолий,

он еще и пинговаться должен

- не обязательно, он может игнорировать пинги. Хотя да, на практике обычно пингуется. Но тут может быть другая проблема - ip левого DHCP может совпадать с ip другого устройства в сети. От статического ip "нарушитель" не откажется, и начнется перетягивание одеяла arp-таблиц туда-сюда. На пинги будет отвечать то одно, то другое устройство, админ будет бегать в непонятках. Решается ведением подробной документации по локальной сети, но из вопроса очевидно, что такой документации минимум или нет вовсе.

можно в любой точке города найти

- для этого нужен доступ к оборудованию провайдеров города. А поскольку требуется уйма времени, чтобы в одиночку разобратся в сетях провайдеров, то очень желательно содействие админов провайдеров. Всё это будет называться СОРМ.

[Анатолий]

hint000, пишите бред!
Я не утверждал, что он должен пинговаться, но если ip-адрес уже известен, то возможно он пингуется.
Ну и что, что что 10 одинаковых ip адресов в одной сети? Это они нормально работать не будут, а найти виновника можно!
Причем тут провайдеры, я говорю, что территориально можно найти от куда ноги растут, тут важно ориентироваться в своей сети, а не по провайдерам бегать. Под городом я имел ввиду, что масштаб значения не имеет!

PS. У меня был 10 летний опыт в "провайдерстве" так что теорию я знаю.

[Дмитрий Трейсеров]

Анатолий, hint000, не путайте сами себя.еще раз. IP из моей сети DHCP из сети интернет а точнее диапазон IP от китайского провайдера. допустим IP пингуется да. DHCP если искать МАС адрес через арп таблицы то вы же понимаете что там мак моего шлюза т.к. DHCP из интернета берется!

[Анатолий]

Дмитрий Трейсеров, объясните как чужой DHCP может проходить через NAT. Я такое слышу впервые! Что у Вас за шлюз?

Ну не знаю, попробуйте другой шлюз.
Что у Вас за провайдер, у него есть локалка, соединение по PPPoE, l2tp или что?

[Дмитрий Трейсеров]

Анатолий,

можно попробовать другой шлюз.ну в нате еще пару правил увидели щас странных. провайдер DOM.RU

[hint000]

Анатолий, вот две ваши фразы:
1.

Тем более если ip, у DHCP известен, то он еще и пинговаться должен.

2.

Я не утверждал, что он должен пинговаться

не находите противоречия?

далее,

10 летний опыт в "провайдерстве"

- в том-то и дело, что у вас в провайдерстве всё задокументировано и управляемые свитчи. А на заводах совсем другая реальность. Если бы увидели своими глазами эти типичные заводские локалки, то убежали бы оттуда в ужасе. Конечно, найти всегда можно, но вы там в сто раз дольше буде искать, чем в уютной провайдерской сети. И проблема заводов далеко не в админах, а в почти нулевом бюджете на IT. Всё работает ровно до тех пор, пока не сдохнет. Когда сдохнет, то покупается на замену что-то подешевле. Управляемыми свитчами и не пахнет, кругом пластиковые "мыльницы" на 5 или 8 портов...

[Дмитрий Трейсеров]

hint000, я кстати тоже с провайдерской сети пришел)порядок еще не навел тут)

[Анатолий]

Дмитрий Трейсеров, Вы не ответили на мой вопрос.
Что у Вас за шлюз и какой тип соединения у провайдера, насколько я помню у них вроде PPPoE (точно не помню, сам не пользовался).

DHCP у вас должен шлюз раздавать? Пробовали его выключать от коммутатора, возможно у вас второй DHCP сервер внутри локалки находится.

Что у Вас за топология сети? шлюз--коммутатор--пользователи?

[hint000]

Дмитрий Трейсеров, щас как-то искоса посмотрел на скриншот и новая мысль пришла. У левого DHCP на LAN-интерфейсе возможно прописано два ip-адреса.
1. 192.168.0.x
2. 113.0.168.1
Это не точно. И даже если так, то не знаю, чем это может помочь, может быть ничем. Просто в копилку мозгового штурма.

[Анатолий]

hint000, на картинке указан ip: 192.168.0.50 с маской 24,
при этом DHCP у него 113.0.168.1, т.е. он находится в другой подсети, и как он мог ему выдать ip из другой подсети, это..

короче секретный объект какой-то..

[Дмитрий Трейсеров]

Анатолий, шлюз микротик.если я вас правильно понял. соединение с провайдером через pptp. DHCP раздает сервер так же как и DNS.на счет второго DHCP я думаю вы 100% правы.я и сам понимаю что скорей всего то так. ну вирусам я оставляю 20%. примерно так - интернет->шлюз->сервер->пользователи.

так же я поставил алерт на другие dhcp и поставил на микротике снуппинг только как его настроить не знаю.говорят он по опции 82 должен все самостоятельно делать. алерт отлавливает левые DHCP банит.мне нравится.
только что в нате закрыл одно правило интересное. вроде все ок пока что(перезапустил DHCP)

[Дмитрий Трейсеров]

Анатолий, ахахахаха дак я в таком же шоке как такое может быть вообще!!?

[Дмитрий Трейсеров]

hint000, хммм.интересная мысль. я щас выше написал что убрал одно правило из ната. лешил людей личного кабинета конечно.но это правило очень странное.дать маскарад сайту.я че то так и не понял.... сижу думаю.но то что второй DHCP есть это однозначно но куда он заныкался если его ни одна прока не видит.все которые прога видела или уже в алерте курят или я их вообще физически ликвидировал

[Анатолий]

Топология нарисована не верно, "сервер" и "пользователи" д.б. на одном уровне, т.е. иначе сервер также будет шлюзом.

Зачем Вам гадать, возьмите и проверьте. Отключите роутер и проверьте.
Не думаю, что тут вирус, на вирус оставляю 0.01%.

Конфиг MT тоже можете выложить, я про /firewall

[Дмитрий Трейсеров]

Анатолий, hint000, в общем после закрытия нат и перезапуска устройства на котором был IP (а это был телефон юзера) КСТАТИ !! интересный факт там был 50 IP но юзер спокойно работал в интернете и локалке и раньше я такого не наблюдал! ни одного случая! все время были ограничения. в общем щас 50ip на горизонте не появляется ни в одной ARP ни на одном устройстве вообще ни как.остался только в DHCP как нерабочее устройство.ну тк DHCP аренду дал на сутки.можно по сути попробовать убить эту аренду

[Дмитрий Трейсеров]

Анатолий, отключал пинг с внешкой пропадает.ну логично(неправильно пинговал запутался)
на данный момент я даже не знаю чтопроверять ибо ничерта не понятно как такое может происходит DNS один, DHCP другой, IP вообще третий типа "ЧЁЁЁЁЁЁ!?"

[Анатолий]

На моей памяти порядка 100 раз, когда клиенты (физ.лица) путали порты LAN и WAN и в итоге раздавали со своего шлюза другим физикам, при этом другие физики жаловались на скорость ))

PS. Это было в самом начале, до установки управляемых коммутаторов, потом уже таких проблем просто не могло быть из-за сегментации по портам.

[Анатолий]

Дмитрий Трейсеров, главное спокойствие, нужно проверять сначала одно устройство, потом другое и т.д. ))

[Дмитрий Трейсеров]

Анатолий, это же колизия получается если я правильно понял вас.щас выложу фаервол и нат. помидоры и тухлые яйца готовьте)

[Дмитрий Трейсеров]

Анатолий, если поможете разобраться я буду только рад.красным подчеркнул то что выключил.и еще 90%всего что напиано в фаерволе и нате писал не я. но я знаю что косяк мой что я туго в этом понимаю) но я очень стараюсь все понять.так что рад буду если поможете

[Дмитрий Трейсеров]

hint000, согласен.

[hint000]

Вот блин, так тщательно замазал третий октет во внешнем ip-адресе, а в NAT на строках 10, 11 спалился ;)

[Дмитрий Трейсеров]

hint000, смотри а дроп инпут это же потеря соединения с микротом будет. хорошо что сейв мод есть)

[Дмитрий Трейсеров]

hint000, можно подробней про строки в нат? я так и не понял)

[Анатолий]

Дмитрий Трейсеров, что конкретно Вам подсказать по MT?
Что правило отключено я вижу, без подчеркивания, но я не вижу самого правила для этого Вам нужно кликнуть по нему дважды и сделать скриншот закладок: General и Action, если есть данные в закладках Advansed и Extra то тоже надо скриншоты.
Вообще скриншоты для новичков, лучше сохранять через терминал:
ip address export file=ip.rsc
ip firewall mangle export file=mangle.rsc
ip firewall nat export file=nat.rsc
ip firewall filter export file=filter.rsc

PS. 100 лет уже не настраивал MT ))

[Анатолий]

Дмитрий Трейсеров, hint говорит, что SIP палишь )))

[Дмитрий Трейсеров]

Анатолий, хахаха понял.поправил.а вообще я для других стараюсь нагладно лучше и так щас выгружу .рсц

[hint000]

firewall строка #4 (во все стороны открыт порт 161/udp на сам Микротик) - скорее всего надо закрыть со стороны WAN. Надо бы еще посмотреть настройки SNMP на Микротике, но потенциально это дыра.
Также неплохо бы закрыть Winbox и web-морду со стороны WAN, можно оставить только ssh на всякий пожарный случай.

[hint000]

а... стоп... насчет строк 6, 9 (где accept) - тыркни по строкам, там больше деталей. Если в обеих этих строках в поле Connection State есть два крыжика related, established, и других крыжиков там больше нет, тогда всё нормально, так и должно быть.

[Дмитрий Трейсеров]

hint000, галочки стоят на естэблиш и релэйтед. на счет снмп можно поподробней.могу скинуть скрин че в настройка снмп есть. винбокс закрыт из интернета на сколько я понимаю первыми правилом.и плюс у меня доступ на микротик там закрыты все сервисы а то что открыто и то доступно из моей сети с определенных IP

[Дмитрий Трейсеров]

hint000, вырубил снмп до решения проблемы. как мне из ван его защитить?

[hint000]

Дмитрий Трейсеров, да в целом получается нормально. По последнему вопросу - в строке 4 добавить в столбце In Interface значение bridge-local.
Т.е. эта строка теперь будет открывать SNMP не на любых интерфесах, а только со стороны LAN.
По SNMP мало могу сказать (лучше загуглить), этот протокол в зависимости от настроек позволяет либо смотреть состояние устройства (разные параметры), либо рулить некоторыми функциями устройства. Там предусмотрена какая-то авторизация, но часто оставляют дефолтные настройки, получается дыра.

[Дмитрий Трейсеров]

hint000, Анатолий, в общем выключил параметр снмб.в пндельник посмотрю что и как будет. блин ребята спасибо огромное! пока что 50 ip не давал о себе знать. настройки выгружу уже в пндельник.всем хороших выходных! ВСЕМ ОГРОМНОЕ СПАСИБО)

[Дмитрий Трейсеров]

hint000, Анатолий, доброе утро.не смотря на то что тя закрыл дыры в фаерволе сегодня все повторилось.50 IP по всем "щелям прыгал". буду в общем физически отрубать и искать. напишу всем ответ когда все найду) ну или когда будут очередные магические ситуации)