forum.opennet.ru

Составление сообщения

Исходное сообщение

"Как вычислить хакера? Как решить проблему на будущее?"
Отправлено Gray, 27-Сен-04 12:34

>как я понимаю Вы весьма огранниченны в изменениях конфигурации и настроек сети
>;[
>ловля хацкера в ваших условиях, занятие довольно длительное, но интересное;)
На всякий случай еще раз напоминаю что речь идет о 802.11b ("радиоэзернет").
>* во первых Вам бы надо разделить частные хосты и подсети. То
>есть если включается ip,mac маршрутизатора, надо-бы точно знать что он это
>именно он. Варианты :
> - использовать туннели между роутерами (ipip gre и проч.)
> - использовать косвенную информацию - например тем что на роутерах
>работает OSPF. (написать скрипт/программку которая эт. проверяет)
Не совсем понятен смысл сих действий. В большинстве случаев для меня один MAC - один клиент. Сеть это за роутером с натом или нет, мне это уже не важно.
>Далее ищем одного хакера в собственной сети..
>(если их больше одного, то всё сильно усложняется)
Пока вроде один. :)
>* Долго и нудно собирать статистку от arpwatch - так как на
>шлюзе место мало, её надо перекидывать на отдельную машину. Далее запряч
>sed,awk,sql загнать её в удобоваримую базу. И анализировать,анализировать..
>* Собственно надо выяснить реальный mac злыдня, и время его активности (предпочитаемое
>время суток, дни недели).
Ситуация тут такова, что скорее всего MAC он подделывает, ибо выходит в сеть с маком карты из моего ноутбука, которая прописана на точке доступа (Cisco AIR-AP352). Естественно карта и ноутбук в этот момент лежат в сейфе и никуда выходить не могут. :) Клиентов на этой точке немного, но скорее всего это не они, а кто-то со стороны (просканировать эфир 802.11b не так уж сложно - было бы желание). IP соответственно подставлялся тоже от ноутбука, но были попытки подстановки и других адресов.
>Примерные мысли по анализу - mac адрес
>злоумышленника пропадает незадолго до атаки + скорее всего на его реальном
>mac всегда один и тот-же ip (то есть свой адрес он
>не подменяет).
>Заодно выяснить типичный режим для остальных юзеров. Не помешает также список излюбленных
>жертв.
>* составить базу действительных mac - то есть тех которые присутствуют в
>вашей сети.
Т.к. клиентов на точке всего с десяток и все их мак-адреса прописываются в списках доступа, то тут особо не забалуешь.
> Если мальчик балуется со всяким, то возможно иногда выдаёт
>мас которого в сети физически нет, или mac от фантастичного производителя.
По описанным выше причинам сие не имеет место.
>
>* поставить машинку, которая будет делать то-же что и мальчик, то есть
>иногда менять свои mac и ip - на заранее Вам известные.
>Смысл, чтобы хакер
>воспользовался вашей парой mac-ip - по её неожиданному появлению в сети Вы
>
>обнаружите его активность. (вообще honey-сервер очень даже не повредит в любой сети)
>
>* написать скрипт который при появлении нового mac/ip разберет какая ось там
>работает (nmap в руки+база по пользователям) - если ВераИванна 63 лет
>вдруг пересела на BSD, то практически наверняка это не она, значит
>её атакуют, значит все прочие активные mac считаем реальными - вычеркиваем
>из списка подозрительных.Заодно высняем, дуалистов(у кого на машине более 1 ОС)
>ставим их под подозрение.
>* практически наверняка перед подменой адресов(или постоянно) хакер 'слушает' сеть - переводит
>карту в promisc.. ищем тулзы для обнаружения promisc - ставим.
Как оно в 802.11b интересно живет?
>* следим за конфликтами ip/ip mac/mac - они точно указывают на похождения
>хацкера - его реальный mac при этом не отвечает. Причем наверняка
>за какое-то время до этого он был засвечен в сети.
>* наконец когда круг подозреваемых стал достаточно узок, меням собственный график работы,
>чтобы в on-line видеть атаку. Тут уж подручными средствами придётся отсеивать
>оставшихся.
>* (Долгожданный миг) Ищем (или пишем) тулзу блокирующую mac адрес. (искуственно вывзвать
>конфликт mac), максимально ухудшаем качество обслуживания для требуемого лица (бьем пакеты,
>задерживаем соединения и проч.) хулиганим по полной. Вообщем ждём возмущенного звонка
>;-) При звонке проявляя виртуозность дипломата настаиваем на визите или встрече
>на нейтральной территории.
>Далее - в зависимости от воображения и кровожадности ;-)
Это все хорошо, но если исходить из того, что хакер из легальных пользователей сети, а если нет? Заблокировать мак и ip - так как они для тестового бука - дело пяти минут, но это не решит проблемы...

Исходное сообщение
"Как вычислить хакера? Как решить проблему на будущее?" Отправлено Gray, 27-Сен-04 12:34
>как я понимаю Вы весьма огранниченны в изменениях конфигурации и настроек сети >;[ >ловля хацкера в ваших условиях, занятие довольно длительное, но интересное;) На всякий случай еще раз напоминаю что речь идет о 802.11b ("радиоэзернет"). >* во первых Вам бы надо разделить частные хосты и подсети. То >есть если включается ip,mac маршрутизатора, надо-бы точно знать что он это >именно он. Варианты : > - использовать туннели между роутерами (ipip gre и проч.) > - использовать косвенную информацию - например тем что на роутерах >работает OSPF. (написать скрипт/программку которая эт. проверяет) Не совсем понятен смысл сих действий. В большинстве случаев для меня один MAC - один клиент. Сеть это за роутером с натом или нет, мне это уже не важно. >Далее ищем одного хакера в собственной сети.. >(если их больше одного, то всё сильно усложняется) Пока вроде один. :) >* Долго и нудно собирать статистку от arpwatch - так как на >шлюзе место мало, её надо перекидывать на отдельную машину. Далее запряч >sed,awk,sql загнать её в удобоваримую базу. И анализировать,анализировать.. >* Собственно надо выяснить реальный mac злыдня, и время его активности (предпочитаемое >время суток, дни недели). Ситуация тут такова, что скорее всего MAC он подделывает, ибо выходит в сеть с маком карты из моего ноутбука, которая прописана на точке доступа (Cisco AIR-AP352). Естественно карта и ноутбук в этот момент лежат в сейфе и никуда выходить не могут. :) Клиентов на этой точке немного, но скорее всего это не они, а кто-то со стороны (просканировать эфир 802.11b не так уж сложно - было бы желание). IP соответственно подставлялся тоже от ноутбука, но были попытки подстановки и других адресов. >Примерные мысли по анализу - mac адрес >злоумышленника пропадает незадолго до атаки + скорее всего на его реальном >mac всегда один и тот-же ip (то есть свой адрес он >не подменяет). >Заодно выяснить типичный режим для остальных юзеров. Не помешает также список излюбленных >жертв. >* составить базу действительных mac - то есть тех которые присутствуют в >вашей сети. Т.к. клиентов на точке всего с десяток и все их мак-адреса прописываются в списках доступа, то тут особо не забалуешь. > Если мальчик балуется со всяким, то возможно иногда выдаёт >мас которого в сети физически нет, или mac от фантастичного производителя. По описанным выше причинам сие не имеет место. > >* поставить машинку, которая будет делать то-же что и мальчик, то есть >иногда менять свои mac и ip - на заранее Вам известные. >Смысл, чтобы хакер >воспользовался вашей парой mac-ip - по её неожиданному появлению в сети Вы > >обнаружите его активность. (вообще honey-сервер очень даже не повредит в любой сети) > >* написать скрипт который при появлении нового mac/ip разберет какая ось там >работает (nmap в руки+база по пользователям) - если ВераИванна 63 лет >вдруг пересела на BSD, то практически наверняка это не она, значит >её атакуют, значит все прочие активные mac считаем реальными - вычеркиваем >из списка подозрительных.Заодно высняем, дуалистов(у кого на машине более 1 ОС) >ставим их под подозрение. >* практически наверняка перед подменой адресов(или постоянно) хакер 'слушает' сеть - переводит >карту в promisc.. ищем тулзы для обнаружения promisc - ставим. Как оно в 802.11b интересно живет? >* следим за конфликтами ip/ip mac/mac - они точно указывают на похождения >хацкера - его реальный mac при этом не отвечает. Причем наверняка >за какое-то время до этого он был засвечен в сети. >* наконец когда круг подозреваемых стал достаточно узок, меням собственный график работы, >чтобы в on-line видеть атаку. Тут уж подручными средствами придётся отсеивать >оставшихся. >* (Долгожданный миг) Ищем (или пишем) тулзу блокирующую mac адрес. (искуственно вывзвать >конфликт mac), максимально ухудшаем качество обслуживания для требуемого лица (бьем пакеты, >задерживаем соединения и проч.) хулиганим по полной. Вообщем ждём возмущенного звонка >;-) При звонке проявляя виртуозность дипломата настаиваем на визите или встрече >на нейтральной территории. >Далее - в зависимости от воображения и кровожадности ;-) Это все хорошо, но если исходить из того, что хакер из легальных пользователей сети, а если нет? Заблокировать мак и ip - так как они для тестового бука - дело пяти минут, но это не решит проблемы...

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>как я понимаю Вы весьма огранниченны в изменениях конфигурации и настроек сети 
>>;[ 
>>ловля хацкера в ваших условиях, занятие довольно длительное, но интересное;) 
> На всякий случай еще раз напоминаю что речь идет о 802.11b ("радиоэзернет").

>>* во первых Вам бы надо разделить частные хосты и подсети. То 
>>есть если включается ip,mac маршрутизатора, надо-бы точно знать что он это 
>>именно он. Варианты : 
>> - использовать туннели между роутерами (ipip gre и проч.) 
>> - использовать косвенную информацию - например тем что на роутерах 
>>работает OSPF. (написать скрипт/программку которая эт. проверяет) 
> Не совсем понятен смысл сих действий. В большинстве случаев для меня один 
> MAC - один клиент. Сеть это за роутером с натом или 
> нет, мне это уже не важно.

>>Далее ищем одного хакера в собственной сети..
>>(если их больше одного, то всё сильно усложняется) 
> Пока вроде один. :)

>>* Долго и нудно собирать статистку от arpwatch - так как на 
>>шлюзе место мало, её надо перекидывать на отдельную машину. Далее запряч 
>>sed,awk,sql загнать её в удобоваримую базу. И анализировать,анализировать..
>>* Собственно надо выяснить реальный mac злыдня, и время его активности (предпочитаемое 
>>время суток, дни недели).
> Ситуация тут такова, что скорее всего MAC он подделывает, ибо выходит в 
> сеть с маком карты из моего ноутбука, которая прописана на точке 
> доступа (Cisco AIR-AP352). Естественно карта и ноутбук в этот момент лежат 
> в сейфе и никуда выходить не могут. :) Клиентов на этой 
> точке немного, но скорее всего это не они, а кто-то со 
> стороны (просканировать эфир 802.11b не так уж сложно - было бы 
> желание). IP соответственно подставлялся тоже от ноутбука, но были попытки подстановки 
> и других адресов.

>>Примерные мысли по анализу - mac адрес 
>>злоумышленника пропадает незадолго до атаки + скорее всего на его реальном 
>>mac всегда один и тот-же ip (то есть свой адрес он 
>>не подменяет).
>>Заодно выяснить типичный режим для остальных юзеров. Не помешает также список излюбленных 
>>жертв.
>>* составить базу действительных mac - то есть тех которые присутствуют в 
>>вашей сети.
> Т.к. клиентов на точке всего с десяток и все их мак-адреса прописываются 
> в списках доступа, то тут особо не забалуешь.

>> Если мальчик балуется со всяким, то возможно иногда выдаёт 
>>мас которого в сети физически нет, или mac от фантастичного производителя.
> По описанным выше причинам сие не имеет место.

>> 
>>* поставить машинку, которая будет делать то-же что и мальчик, то есть 
>>иногда менять свои mac и ip - на заранее Вам известные.
>>Смысл, чтобы хакер 
>>воспользовался вашей парой mac-ip - по её неожиданному появлению в сети Вы 
>> 
>>обнаружите его активность. (вообще honey-сервер очень даже не повредит в любой сети) 
>> 
>>* написать скрипт который при появлении нового mac/ip разберет какая ось там 
>>работает (nmap в руки+база по пользователям) - если ВераИванна 63 лет 
>>вдруг пересела на BSD, то практически наверняка это не она, значит 
>>её атакуют, значит все прочие активные mac считаем реальными - вычеркиваем 
>>из списка подозрительных.Заодно высняем, дуалистов(у кого на машине более 1 ОС) 
>>ставим их под подозрение.
>>* практически наверняка перед подменой адресов(или постоянно) хакер 'слушает' сеть - переводит 
>>карту в promisc.. ищем тулзы для обнаружения promisc - ставим.
> Как оно в 802.11b интересно живет?

>>* следим за конфликтами ip/ip mac/mac - они точно указывают на похождения 
>>хацкера - его реальный mac при этом не отвечает. Причем наверняка 
>>за какое-то время до этого он был засвечен в сети.
>>* наконец когда круг подозреваемых стал достаточно узок, меням собственный график работы, 
>>чтобы в on-line видеть атаку. Тут уж подручными средствами придётся отсеивать 
>>оставшихся.
>>* (Долгожданный миг) Ищем (или пишем) тулзу блокирующую mac адрес. (искуственно вывзвать 
>>конфликт mac), максимально ухудшаем качество обслуживания для требуемого лица (бьем пакеты, 
>>задерживаем соединения и проч.) хулиганим по полной. Вообщем ждём возмущенного звонка 
>>;-) При звонке проявляя виртуозность дипломата настаиваем на визите или встрече 
>>на нейтральной территории.
>>Далее - в зависимости от воображения и кровожадности ;-) 
> Это все хорошо, но если исходить из того, что хакер из легальных 
> пользователей сети, а если нет? Заблокировать мак и ip - так 
> как они для тестового бука - дело пяти минут, но это 
> не решит проблемы...

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру