Консультации Портала - Консультация #170050

Задать вопрос Консультации Пользователи Форум

Задать вопрос экспертам

Консультация № 170050

01.07.2009, 08:16

0.00 руб.

0 11 3

Компьютеры Программное обеспечение Операционные системы

Есть локалка с выделенным сервером Win 2003 ser standart edt. и 87 пользователей.
Как вычислить гада который постоянно меняет свой ip на сервачный и вешает тем самым всю сеть.
ip сервера 192.168.1.1
Как только сеть виснит то этот гад обратно меняет адрес. Так что физически (обойти всех) не успеть его поймать.

Обсуждение

Неизвестный

01.07.2009, 08:30

общий

это ответ

Здравствуйте, Dion77.
На одном из компьютеров можно повесить команду ping -t 192.168.1.1 далее как только сеть вешается идете на этот комп и вводите arp -a, запоминаете мак адрес который присвоен адресу 192.168.1.1, далее ищите такой же мак на другом компе из сети (возможно для этого надо будет пингануть всю сетку например программой netspy), вычислив совпадение mac адресов и вооружившись бейсбольной битой идете разговаривать с хулиганом :)

Так же можно глянуть в логи вашего сервера на предмет ошибки - совпадающие адреса в сети (только вот не знаю отображается ли там mac адрес захватчика)
Ну в общем основная идея - если нельзя вычислить по ip - вычисляйте по mac

Приложение:
C:\Users\Андрей>arp -av

Интерфейс: 127.0.0.1 --- 0x1
IP-адрес Физический адрес Тип
224.0.0.22 статический
239.192.152.143 статический
239.255.255.250 статический

Интерфейс: 0.0.0.0 --- 0xffffffff
IP-адрес Физический адрес Тип
224.0.0.22 01-00-5e-00-00-16 статический
239.192.152.143 01-00-5e-40-98-8f статический

Интерфейс: 192.168.0.10 --- 0xb
IP-адрес Физический адрес Тип
192.168.0.1 00-01-02-05-c8-f7 динамический
192.168.0.50 00-0d-88-f2-88-5b динамический
192.168.0.255 ff-ff-ff-ff-ff-ff статический
224.0.0.22 01-00-5e-00-00-16 статический
224.0.0.251 01-00-5e-00-00-fb статический
224.0.0.252 01-00-5e-00-00-fc статический
239.192.152.143 01-00-5e-40-98-8f статический
239.255.255.250 01-00-5e-7f-ff-fa статический
255.255.255.255 ff-ff-ff-ff-ff-ff статический

Неизвестный

01.07.2009, 08:44

общий

это ответ

Здравствуйте, Dion77!
Возможно, удастся с помощью сканера, но правильное решение - не давать пользователям администраторские права, и тогда они не смогут менять адрес. Если же завёлся крутой "кулхацкер", и есть подозрение на конкректного пользователя, то можно установить на его машину программу скрытого мониторинга.

Неизвестный

01.07.2009, 08:51

общий

Какой сканер конкретно.

Неизвестный

01.07.2009, 08:53

общий

Некоторые виды работ требуют администраторских прав так что не совсем подходит, но все равно спасибо. И с крытый монитор можно вычислить

Неизвестный

01.07.2009, 09:17

общий

Dion77:
Используйте групповые политики и домен, чтобы "некоторые работы" было можно, а менять ip адрес нет. По поводу сканера - netspy как вариант я уже посоветовал, а так вообще их в интернете более чем достаточно.

И с крытый монитор можно вычислить

Конечно можно, но если он будет работать как драйвер и его нельзя будет выгрузить, то как минимум хулиганить не будут. Ну и плюс к этому если сканер сети будет стоять у вас на машине - люди не будут видеть что их сканируют, т.е. нарушителя можно будет вычислить

Ну а вообще конечно используйте домен и групповые политики, тогда все будет намного проще

Неизвестный

01.07.2009, 09:18

общий

Любые виды работ можно выполнять с правами обычного пользователя. Но это уже риторика, куда проще вписать юзера локальным админом :)

Неизвестный

01.07.2009, 10:03

общий

Использовать DHCP для раздачи адресов. Если нужны статические - там же зарезервировать определенные адреса с привязкой к МАК-адресам.
Адреса, используемые сервером или серверами не раздавать.
Запретить смену адреса в групповых политиках.
Пользователей поразить в правах, это вообще всегда полезно.
Ну а чтобы именно найти хулигана - присоединяюсь к предыдущим ораторам ;o)

Best regards
Iskander

Неизвестный

01.07.2009, 10:13

общий

это ответ

Здравствуйте, Dion77.
Попробуйте использовать программу IP Change Monitor.
http://supasoft.ru/files/ipchmon.zip

Неизвестный

01.07.2009, 10:21

общий

Алмин Александр Анатольевич:

Любые виды работ можно выполнять с правами обычного пользователя.

Нет, не любые. Еще много софта написаного без учета NT в лучшем случае а чаще просто бездумно (программист как правило сидит под админом). Софт который пишет в реестр, софт который использует BDE и т.д. Выход - использовать runas но.. это в большиснтве случаев помогает, хотя, есть и экзотика.. когда вызов по цепочке идет и тут не всегда получается настроить работу под обычным пользователем.

Использовать DHCP при таком количестве машин сам бог велел

. Групповые политики.. Шаманство с реестром.. Домен..

Неизвестный

02.07.2009, 09:26

общий

Проблема решена!!!
Всем Спасибо !!!

Как решил:

1. в лог файлах сервера определил mac адрес паразита.
2. С помощью сканера mac адресов "Colasoft MAC Scanner" нашел машину.
3. для точности еще вокруг предрполагаемого паразита вручную проверил mac адреса.
4 Взял биту и .........

Еще раз всем большое СПАСИБО!!!

Неизвестный

02.07.2009, 10:32

общий

Хороший посетитель, а то многие не удосуживаются спасибо сказать, и, что хуже, сообщить о результатах.

Администраторские права, кроме проблем, подобной этой, снижают уровень безопасности; в серьёзных букварях описано, как выполнять АДМИНИСТРАТОРСКИЕ действия под профилем обычного пользователя.

Форма ответа

Отправка постов/ответов доступна только зарегистрированным и подтвержденным пользователям.

Если Вы уже зарегистрированы на Портале - войдите в систему, если Вы еще не регистрировались - пройдите простую процедуру регистрации.