>>Кстати, а каким боком cisco и dlink стали клиентами ? ;-) >>если вся эта сетка ходит через цисковский роутер, то и отталкиваться надо >>от его возможностей(точнее от своих финансов). >Как я уже говорил (вернее писал) все сеть ходит через PC-роутер с >FreeBSD. Клиентами же стали Cisco и D-Link по той простой причине >что подключается иногда не комп, а целая сетка и подключается она >через роутеры у тех кто побогаче через Cisco 800/2600/1700, кто победнее >D-Link или Linux/FreeBSD ну и разные виндовые варианты. Только для меня >они все эти сетки выглядят как один клиент. как я понимаю Вы весьма огранниченны в изменениях конфигурации и настроек сети ;[ ловля хацкера в ваших условиях, занятие довольно длительное, но интересное;) * во первых Вам бы надо разделить частные хосты и подсети. То есть если включается ip,mac маршрутизатора, надо-бы точно знать что он это именно он. Варианты : - использовать туннели между роутерами (ipip gre и проч.) - использовать косвенную информацию - например тем что на роутерах работает OSPF. (написать скрипт/программку которая эт. проверяет) Далее ищем одного хакера в собственной сети.. (если их больше одного, то всё сильно усложняется) * Долго и нудно собирать статистку от arpwatch - так как на шлюзе место мало, её надо перекидывать на отдельную машину. Далее запряч sed,awk,sql загнать её в удобоваримую базу. И анализировать,анализировать.. * Собственно надо выяснить реальный mac злыдня, и время его активности (предпочитаемое время суток, дни недели). Примерные мысли по анализу - mac адрес злоумышленника пропадает незадолго до атаки + скорее всего на его реальном mac всегда один и тот-же ip (то есть свой адрес он не подменяет). Заодно выяснить типичный режим для остальных юзеров. Не помешает также список излюбленных жертв. * составить базу действительных mac - то есть тех которые присутствуют в вашей сети. Если мальчик балуется со всяким, то возможно иногда выдаёт мас которого в сети физически нет, или mac от фантастичного производителя. * поставить машинку, которая будет делать то-же что и мальчик, то есть иногда менять свои mac и ip - на заранее Вам известные. Смысл, чтобы хакер воспользовался вашей парой mac-ip - по её неожиданному появлению в сети Вы обнаружите его активность. (вообще honey-сервер очень даже не повредит в любой сети) * написать скрипт который при появлении нового mac/ip разберет какая ось там работает (nmap в руки+база по пользователям) - если ВераИванна 63 лет вдруг пересела на BSD, то практически наверняка это не она, значит её атакуют, значит все прочие активные mac считаем реальными - вычеркиваем из списка подозрительных.Заодно высняем, дуалистов(у кого на машине более 1 ОС) ставим их под подозрение. * практически наверняка перед подменой адресов(или постоянно) хакер 'слушает' сеть - переводит карту в promisc.. ищем тулзы для обнаружения promisc - ставим. * следим за конфликтами ip/ip mac/mac - они точно указывают на похождения хацкера - его реальный mac при этом не отвечает. Причем наверняка за какое-то время до этого он был засвечен в сети. * наконец когда круг подозреваемых стал достаточно узок, меням собственный график работы, чтобы в on-line видеть атаку. Тут уж подручными средствами придётся отсеивать оставшихся. * (Долгожданный миг) Ищем (или пишем) тулзу блокирующую mac адрес. (искуственно вывзвать конфликт mac), максимально ухудшаем качество обслуживания для требуемого лица (бьем пакеты, задерживаем соединения и проч.) хулиганим по полной. Вообщем ждём возмущенного звонка ;-) При звонке проявляя виртуозность дипломата настаиваем на визите или встрече на нейтральной территории. Далее - в зависимости от воображения и кровожадности ;-)
|