URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 42893
[ Назад ]

Исходное сообщение
"В локальной сети появились левые IP, как их выявить?"
Отправлено knsi , 14-Апр-04 13:30

В нашей локалке появился список адресов 10.10.*.*
Выявлены tcpdump.
Некоторые из них имеют один мак. Которому так же иногда соответствуют IP
213.33.170.193
81.19.66.19
66.139.79.44
194.84.95.65
Эти IP соответствуют разным провайдерам.
С этого мака постоянно идет pingflood и другое нехорошее.
Что это может быть и как с этим бороться?

Содержание

В локальной сети появились левые IP, как их выявить?,kolayshkin, 16:05 , 14-Апр-04
- В локальной сети появились левые IP, как их выявить?,kolayshkin, 16:13 , 14-Апр-04
  - В локальной сети появились левые IP, как их выявить?,knsi, 08:29 , 15-Апр-04
В локальной сети появились левые IP, как их выявить?,ZXVF, 10:57 , 15-Апр-04
- В локальной сети появились левые IP, как их выявить?,shaman, 11:02 , 15-Апр-04
  - В локальной сети появились левые IP, как их выявить?,kolayshkin, 12:06 , 15-Апр-04
    - В локальной сети появились левые IP, как их выявить?,knsi, 11:35 , 16-Апр-04
В локальной сети появились левые IP, как их выявить?,Дмитрий Ю. Карпов, 11:49 , 16-Апр-04
- В локальной сети появились левые IP, как их выявить?,grimnir, 16:45 , 16-Апр-04
  - В локальной сети появились левые IP, как их выявить?,knsi, 10:12 , 20-Апр-04

Сообщения в этом обсуждении

"В локальной сети появились левые IP, как их выявить?"
Отправлено kolayshkin , 14-Апр-04 16:05

>В нашей локалке появился список адресов 10.10.*.*
>Выявлены tcpdump.
>Некоторые из них имеют один мак. Которому так же иногда соответствуют IP
>
>213.33.170.193
>81.19.66.19
>66.139.79.44
>194.84.95.65
>Эти IP соответствуют разным провайдерам.
>С этого мака постоянно идет pingflood и другое нехорошее.
>Что это может быть и как с этим бороться?
что значит выявить?

"В локальной сети появились левые IP, как их выявить?"
Отправлено kolayshkin , 14-Апр-04 16:13

>>В нашей локалке появился список адресов 10.10.*.*
>>Выявлены tcpdump.
>>Некоторые из них имеют один мак. Которому так же иногда соответствуют IP
>>
>>213.33.170.193
>>81.19.66.19
>>66.139.79.44
>>194.84.95.65
>>Эти IP соответствуют разным провайдерам.
>>С этого мака постоянно идет pingflood и другое нехорошее.
>>Что это может быть и как с этим бороться?
Кто-нибудь из пользователей что-нибудь подцепил, вот и бомбит тебя. А дальше просто смотреть откуда идут эти пакеты, сегмент сети или порт коммутатора, как сеть устроена.

"В локальной сети появились левые IP, как их выявить?"
Отправлено knsi , 15-Апр-04 08:29

>>>В нашей локалке появился список адресов 10.10.*.*
>>>Выявлены tcpdump.
>>>Некоторые из них имеют один мак. Которому так же иногда соответствуют IP
>>>
>>>213.33.170.193
>>>81.19.66.19
>>>66.139.79.44
>>>194.84.95.65
>>>Эти IP соответствуют разным провайдерам.
>>>С этого мака постоянно идет pingflood и другое нехорошее.
>>>Что это может быть и как с этим бороться?
>Кто-нибудь из пользователей что-нибудь подцепил, вот и бомбит тебя. А дальше просто
>смотреть откуда идут эти пакеты, сегмент сети или порт коммутатора, как
>сеть устроена.

Хм сеть просто из >1000 компьютеров и комутаторов тоже много и выявлять долго.
Мне просто интересно по пингам же можно вычислить удаленность (по задержкам как то) Хотя бы примерное местоположение - потому что по всей сети лазить долго, вот. И не знает ли кто нибуть статьи по этому поводу.
И что он мог подцепить поконкретней, я такого класса вирусов не знаю - приведите пример пожалуйста.

"В локальной сети появились левые IP, как их выявить?"
Отправлено ZXVF , 15-Апр-04 10:57

>В нашей локалке появился список адресов 10.10.*.*
>Выявлены tcpdump.
>Некоторые из них имеют один мак. Которому так же иногда соответствуют IP
>
>213.33.170.193
>81.19.66.19
>66.139.79.44
>194.84.95.65
>Эти IP соответствуют разным провайдерам.
>С этого мака постоянно идет pingflood и другое нехорошее.
>Что это может быть и как с этим бороться?

traceroute

"В локальной сети появились левые IP, как их выявить?"
Отправлено shaman , 15-Апр-04 11:02

>traceroute
Если в одном сегменте - не поможет

"В локальной сети появились левые IP, как их выявить?"
Отправлено kolayshkin , 15-Апр-04 12:06

Ну если есть возможночть наблюдать за каждым портом коммутатора то попробуй смотреть по каким портам идет. да и все, либо выдирай последовательно каждый порт у коммутатора и смотри tcpdump-ом что меняеться. Так постепенно локализуешь ту группу компьютеров в который может быть данный IP.
По задержкам тоже наверное как-нибудь можно, только надо учитывать очень много факторов, причем просто МНОГО.

"В локальной сети появились левые IP, как их выявить?"
Отправлено knsi , 16-Апр-04 11:35

А все таки если это вирус, то какого типа?
Я бы полистал странички на эту тему, но не знаю с чего начать...

"В локальной сети появились левые IP, как их выявить?"
Отправлено Дмитрий Ю. Карпов , 16-Апр-04 11:49

Запусти ping на этот адрес и отключай сегменты сетИ - когда коннект исчезнет, станет понятно местонахождение гада. Все остальные параметры (IP, MAC) подделываются. А Ethernet малопригодна для отслеживания таких вещей.

"В локальной сети появились левые IP, как их выявить?"
Отправлено grimnir , 16-Апр-04 16:45

Ежели коммутаторы цискины а МАС-адреса в пакетах совпадают, можно вычислить порт, куда подключён вредитель, через sh mac- | inc bla-bla-bla.
А потом можно будет через RSPAN повернуть трафик с этого порта на себя и посниффить, что это за дрянь.

"В локальной сети появились левые IP, как их выявить?"
Отправлено knsi , 20-Апр-04 10:12

Комутаторы не сиськины. А какие то вроде самые дешевые. И можно конечно по одному вычислять.
Но мне все таки интересно может ли это быть вирусом