ďťż
 
 
   Monitorowanie ruchu sieciowego, jak namierzyć klienta
 
 

Tematy
 
    
 

 

 

 

Monitorowanie ruchu sieciowego, jak namierzyć klienta




judin - 26-10-2009 21:43
Witam.

W mojej małej sieci internetowej pojawił się pewien problem. Otóż jeden z klientów kupił sobie dlinka i nieumiejętnie podpiął kabelek zamiast do WAN to do portu LAN. Spowodowało to wykrzaczenie mojego rutera (o ile to to) i wszyscy w lanie dostawali adres z innej podsieci, czyli tej co dlink udostępniał.
Sieć jest oparta na skrętce lan oraz zwykłych przełącznikach. Ruter oczywiście Debian. Sieć jest w topologii magistrali.

1. Jak można to w takim przypadku namierzyć, który klient to rozsiewa?
2. Jak można efektywnie się przed tym bronić, zabezpieczyć?

Pozdrawiam serdecznie.


Unit - 26-10-2009 22:25
Arpwatch - pomoże Ci pilnować pary IP-MAC. Jakiekolwiek zmiany IP bądź MAC zostaną wysłane na maila.

Wtyczka check_dhcp w nagiosie pokaże Ci ilość serwerów dhcp w sieci oraz ich IP.


judin - 27-10-2009 21:20
Dziękuję.

A teraz chciałbym się dowiedzieć jak w ogóle taka sytuacja może się zdarzyć. Jak to możliwe, że wykrzacza to ruter Debiana, a dokładnie dhcp. To przecież każdy może sobie wpiać kabel z przełącznika providera do swojego portu lan i wtedy wywala komuś sieć? Czy ktoś coś musiał inaczej kombinować na ruterze dlinka?

Pozdrawiam.


Czocher - 27-10-2009 22:11
Niegdyś tworząc sieć na około 300 osób w trakcie trwania obozu informatycznego (sieć LAN dla sprawdzarki zadań programistycznych) miałem idealnie ten sam problem. Sieć stworzona była na przełącznikach i każde połączenie głupiego rutera z DHCP powodowało przydzielanie adresów z innej podsieci (inna maska i inna klasa adresów), które ostatecznie sadzały nowo podłączone komputery.

Problem polega w samej konstrukcji sieci - ciężko mi powiedzieć jak wygląda sprawa u ciebie, jednak u mnie same założenie były błędne. W tym przypadku wydaje mi się, że żeby wyeliminować problem wystarczy zastąpić przełączniki ruterami i porobić odpowiednie podsieci z odrębnymi maskami. Jeżeli nie chcesz zmieniać wszystkich przełączników na rutery to po prostu w regulaminie dodaj wzmiankę o tym, że w przypadku podłączania nowych urządzeń do sieci należy zgłosić to tobie, wypadałoby też zrobić filtrowanie po MAC adresach (które część takich praktyk by wyeliminowało (niestety część takich urządzeń ma klonowanie MAC adresu więc nie zawsze musiałoby to skutkować)).

A co do wcześniejszego pytania najprostszym sposobem znalezienia delikwenta jest użycie sniffera pakietów i szukanie, który komputer nadaje pakiety DHCP (one mają swój jeden charakterystyczny port, na którym działają, niestety nie pamiętam jaki).

A co do tego w jaki sposób taki problem powstaje:
Gdy w sieci działają dwa lub więcej serwerów DHCP zaczynają się one "bić" o klientów. Ten który szybciej odpowie na wezwanie chętnego do podjęcia adresu IP komputera ten zgarnie sobie klienta i jednocześnie nadając mu błędy IP sprawi, że nie będzie on miał dostępu do Internetu/dalszej części sieci (tzn. tworzy jakby podsieć z części komputerów twojej sieci).

I tyle.


judin - 28-10-2009 07:57
Filtrowanie po MAC jest, a każde nowe urządzenie (mac) dostaje inny adres z sieci, typu witaj w sieci.
Problem zaczyna się jak ktoś w swojej karcie sieciowej włączy udostępnianie internetu czy coś takiego lub taka sprawa z ruterem jak opisałem powyżej.


darkwater - 28-10-2009 19:34
A może pokusić się o PPPoE ?


judin - 28-10-2009 19:55
Nie jest to dobry pomysł, mając ludzi na kablu.
  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • minister.pev.pl

    •  

     


     
    		 
    Copyright 2003. MĂłj serwis