покрыть крышу металлочерепицей цена бригады

Свобода слова. Разговаривать можно о чем угодно не нарушая правил форума.

Модераторы: Al_lexx, Sharp, ionika, Happy_MAN, 0xFF, Atom, Serega S.U.

Abyrvalg
Сообщения: 397
Зарегистрирован: 31 авг 2006, 15:07

Блокировать по MAC-адресу

Сообщение Abyrvalg » 14 фев 2013, 15:00

Всем привет!

Есть старая, страшная сеть. Никаких никаких управляемых коммутаторов, никакого L2. Только хабы.
Есть сервачок Windows Server 2003. Никаких доменов, просто проброс интернета, раздача IP-адресов и прочая мелочь.
В сети завёлся один урод, который донимает запросами сервер. Урод берёт чужой адрес, из-за чего постоянно генерятся ошибки. Поскольку сеть неуправляемая, вычислить урода проблематично.

Внимание, вопрос. Можно ли на уровне сетевого адаптера заблокировать все пакеты, исходящие от определённого MAC-адреса? Я хочу сделать так, чтобы сетевые пакеты от этого конкретного урода вообще не доходили до сервисов Windows Server 2003, а рубились прямо при поступлении в сетевуху.
Если можно, то как это сделать?

Аватара пользователя
Al_lexx
Сообщения: 15308
Зарегистрирован: 10 авг 2006, 00:05
Откуда: Местный
Контактная информация:

Re: Блокировать по MAC-адресу

Сообщение Al_lexx » 14 фев 2013, 17:11

На уровне адаптера - нет. По крайней мере я не знаю. На уровне файрволла сервера - можно.

А служебку начальству накатать?
Изображение
Что то ищете? В GOOGLE!

Restart
Сообщения: 1644
Зарегистрирован: 26 окт 2008, 14:33

Re: Блокировать по MAC-адресу

Сообщение Restart » 14 фев 2013, 17:38

Abyrvalg писал(а):Поскольку сеть неуправляемая, вычислить урода проблематично.
А в чем проблема?
Если ты канальный адрес знаешь, нельзя машину найти, что ли?

Аватара пользователя
Al_lexx
Сообщения: 15308
Зарегистрирован: 10 авг 2006, 00:05
Откуда: Местный
Контактная информация:

Re: Блокировать по MAC-адресу

Сообщение Al_lexx » 14 фев 2013, 20:16

Abyrvalg писал(а):В сети завёлся один урод, который донимает запросами сервер.
А какой характер запросов? И что значит донимает. У меня была ситуация, когда у секретарши завелся вирусок, который бомбил запросами сервер. Т.е. барышня конечно была виновата, в том, что слишком много времени проводила в одноклассниках и т.п. сетях, а так же слишком многим доверяла свой адрес аськи, но не в том, что она намеренно забивала сеть запросами (примерно 20 запросов в минуту %). Со стороны, это было очень похоже на DDOS атаку. Но так как атакующий был один, всех неприятностей от этого было в том, что замедлялся доступ к серваку у других пользователей, а так же у самой секретарши все сетевые дела ползали еле-еле.
Урод берёт чужой адрес, из-за чего постоянно генерятся ошибки.
Какие именно ошибки? И что значит берет? У вас машины сидят на DHCP или на фиксированных?

Я думаю, что проще всего поискать какой нить бесплатный (или ещё как) сниффер и вычислить его по маку. При дополнительной помощи mylanviewer или подобной и зная МАС адрес, пользователь вычисляется на раз. После этого, если имеет место явное нарушение произв. дисциплины, накатать служебку начальству и со спокойной совестью пойти спать.

И ещё. Если у пользователей административные права, то бан по маку не поможет. Есть куча софта, которые имитируют или клонируют чужие МАС адреса. Кроме того, индивидуальная борьба админа с юзерами, это не совсем правильно. Должна быть у каждого должностная инструкция, о том, что можно и нельзя. Ну и конечно же, не вы набираете людей на работу, поэтому не вам с ними разбираться. А вот предоставить руководству детальную и правильно аргументированную служебку - святое дело.
Изображение
Что то ищете? В GOOGLE!

Restart
Сообщения: 1644
Зарегистрирован: 26 окт 2008, 14:33

Re: Блокировать по MAC-адресу

Сообщение Restart » 15 фев 2013, 07:09

Al_lexx писал(а):Какие именно ошибки?
Быстрее всего, дублирование сетевого адреса, т.к. остальные имеют от сервера
Abyrvalg писал(а):раздача IP-адресов
какой нить бесплатный (или ещё как) сниффер
лучше всего wireshark

Каин с Авелем могут помочь в борьбе с "уродом"
http://www.securitylab.ru/software/232833.php

Abyrvalg
Сообщения: 397
Зарегистрирован: 31 авг 2006, 15:07

Re: Блокировать по MAC-адресу

Сообщение Abyrvalg » 28 фев 2013, 18:24

Спасибо всем за рекомендации!
MAC злодея я знал изначально. Но это не помогло, поскольку в нашей конторе никто не знает, где какие машины стоят. Это никак не регламентировано. Начальству писать бесполезно, оно отпингует ко мне же :)

В общем, я нашёл дырку, благодаря которой злодейская железка смогла заиметь IP-адрес, подождал, пока оборудование выключится, и закрыл эту дырку. При новом включении оно получило отлуп.

pst
Сообщения: 801
Зарегистрирован: 11 янв 2008, 12:40

Re: Блокировать по MAC-адресу

Сообщение pst » 28 фев 2013, 19:03

Abyrvalg
залезть на тачку нет возможности? RDP там, \\ip негодяя\с$\Documents and Settings - узнать кто?
А я б на Вашем месте назначил на DHCP ip адрес и на файрволе в ответ на его запросы выставил бы сообщение кто он. Можно назначить ему адрес типа 169.254.0.0
Стоп. А dns сервер ничего не говорит? Имя машины?

С уважением.
Дорога к пончикам была вымощена радостью.

Restart
Сообщения: 1644
Зарегистрирован: 26 окт 2008, 14:33

Re: Блокировать по MAC-адресу

Сообщение Restart » 28 фев 2013, 20:56

pst писал(а):Стоп. А dns сервер ничего не говорит? Имя машины?
А что он может сказать?

pst
Сообщения: 801
Зарегистрирован: 11 янв 2008, 12:40

Re: Блокировать по MAC-адресу

Сообщение pst » 01 мар 2013, 09:12

машина негодяя 192,168,1,24
Имя компьютера может дать какую-то информацию о расположении, если сможешь залезть на диск С: можно нарыть инфу о самом негодяе. потом высылать зондеркоманду.
Дорога к пончикам была вымощена радостью.

Restart
Сообщения: 1644
Зарегистрирован: 26 окт 2008, 14:33

Re: Блокировать по MAC-адресу

Сообщение Restart » 01 мар 2013, 12:36

pst писал(а):если сможешь залезть на диск С:
Если адрес есть, зачем имя?
Кстати, nmap может кое-что сказать

Кстати, есть классная программа autoscan-network

Аватара пользователя
VoidVolker
Always watching
Сообщения: 1006
Зарегистрирован: 02 дек 2006, 00:33

Re: Блокировать по MAC-адресу

Сообщение VoidVolker » 01 мар 2013, 13:33

А что, разве что-то мешает пройтись по всем машинам со скриптом на флешече и найти ПК с нужным маком? Судя по описанию сети - она не такая уж и большая.
Если ты не гонишься за своей мечтой, то ты, пожалуй, не человек, а овощ... капуста например.

Аватара пользователя
Al_lexx
Сообщения: 15308
Зарегистрирован: 10 авг 2006, 00:05
Откуда: Местный
Контактная информация:

Re: Блокировать по MAC-адресу

Сообщение Al_lexx » 01 мар 2013, 15:16

А что, если известен МАС-адрес и есть сетевой сканер, который выдает хост-имя пользователя (и не только), нужно обязательно идти по рабочим местам. Или там логины каждый день меняют? :)
Посмотрел сетку, выяснил что за машина/пользователь. Если лично не знаком, что более чем странно, в коллективе из 20чел, то выясняется на раз, опять же через служебную записку руководству, которое издает соответсвующий приказ по конторе.


У меня есть смутное ощущение, что ТС не является админом сети, о которой мы тут.
Имхо, что то тут не чисто.
Изображение
Что то ищете? В GOOGLE!

Аватара пользователя
VoidVolker
Always watching
Сообщения: 1006
Зарегистрирован: 02 дек 2006, 00:33

Re: Блокировать по MAC-адресу

Сообщение VoidVolker » 01 мар 2013, 21:00

Al_lexx писал(а):А что, если известен МАС-адрес и есть сетевой сканер
Ну, судя по всему, ТС не воспользовался этой возможностью.
Al_lexx писал(а):У меня есть смутное ощущение, что ТС не является админом сети, о которой мы тут.
Имхо, что то тут не чисто.
Вполне возможно. А может просто новичок.
Если ты не гонишься за своей мечтой, то ты, пожалуй, не человек, а овощ... капуста например.

Аватара пользователя
Al_lexx
Сообщения: 15308
Зарегистрирован: 10 авг 2006, 00:05
Откуда: Местный
Контактная информация:

Re: Блокировать по MAC-адресу

Сообщение Al_lexx » 01 мар 2013, 21:29

pst писал(а):машина негодяя 192,168,1,24
Вот это от куда? Или я что то пропустил?
VoidVolker писал(а):А может просто новичок.
Возможно. Но и даже в этом случае, (мне) совсем не понятно, почему у ТС нет прямого/действеного контакта с руководством, если в сети есть проблемы, связанные с неадекватными движениями некого юзера.
Нет, я не за драконовский контроль, но есть же какие то правила сетевой безопасности (да и просто порядка) и хоть какие то права у того, кто её(их) обеспечивает.

...
Туман, однако. Как минимум.
Как максимум, разводняк, на уровне кулхацкера.
Т.е. перечень заданных вопросов, сам по себе, уже дает повод внимательно присмотреться к ТС, как пользователю и уж тем более, как к админу.

...
Есть устойчивое ощущение, что если не будет внятного пояснения, что и почему, то эт разводняк, на то, что бы что то, у кого то сломать.
Не утверждаю. Просто есть ощущение.

Мне, как админу, за то, что я имею такие ощущение платят деньги. Именно за это, а не за то, что я сертифицирован по всем возможным и невозможным "делам". У меня есть сертификат доверия и этого мнедостаточно. А то, что я не знаю ("человек не может, да и не обязан, знать всё"), я поручаю специально обученным людям, а если сомневаюсь, в последних, то вызываю других (специально обученных), для независимого аудита.
Как то так.

А тут, да, некий "детский сад", с предзаподвыпердом. Все с этого начинают, но кмк, админ, в первую очередь, должен заручится поддержкой руководства. Иначе, это не админ, а контуперный завхоз, по вызову (ничего страшного, просто есть разница).
Изображение
Что то ищете? В GOOGLE!

pst
Сообщения: 801
Зарегистрирован: 11 янв 2008, 12:40

Re: Блокировать по MAC-адресу

Сообщение pst » 01 мар 2013, 23:17

Al_lexx писал(а):Вот это от куда? Или я что то пропустил?
Просто абстрактный пример днсзаписи ( повторяю: АБСТРАКТНЫЙ! ) :)
Al_lexx писал(а):совсем не понятно
Да, Вы абсолютно правы, в данной ситуации может быть на самом деле всё что угодно! НО! ( повторюсь ) все, что угодно! Да, есть правила, права и методы, но и ситуаций бывает бесчисленное множество. Слава Богу, что Вам ( вероятно ) не довелось быть брошенным на говносеть с говнооборудованием и таким же начальством. Я, например, очень хорошо представляю себе ситуацию, при которой - сунься ТС к гендиру с такой проблеммой - ему быстро найдут замену на какогонить урода, типа того ухаря, который довел сеть до такого состояния. Ведь его главное достоинство было "НЕ ДОСТАВАТЬ РУКОВОДСТВО СВОИМИ ДУРАЦКИМИ ПРОБЛЕММАМИ"!
Может и квалификация ТС не так высока как Ваша, так и еще не известно каких высот он добьется к Вашим годам.
Я призываю не подозревать Abyrvalgа в обескровливании христианских младенцев, а просто поможем человеку, обратившимуся к нам за советом.
Тем более, что ТС справился с проблеммой самостоятельно.
Abyrvalg писал(а):подождал, пока оборудование выключится, и закрыл эту дырку.
Дорога к пончикам была вымощена радостью.

Ответить