покрыть крышу металлочерепицей цена бригады
Модераторы: Al_lexx, Sharp, ionika, Happy_MAN, 0xFF, Atom, Serega S.U.
Блокировать по MAC-адресу
Всем привет!
Есть старая, страшная сеть. Никаких никаких управляемых коммутаторов, никакого L2. Только хабы.
Есть сервачок Windows Server 2003. Никаких доменов, просто проброс интернета, раздача IP-адресов и прочая мелочь.
В сети завёлся один урод, который донимает запросами сервер. Урод берёт чужой адрес, из-за чего постоянно генерятся ошибки. Поскольку сеть неуправляемая, вычислить урода проблематично.
Внимание, вопрос. Можно ли на уровне сетевого адаптера заблокировать все пакеты, исходящие от определённого MAC-адреса? Я хочу сделать так, чтобы сетевые пакеты от этого конкретного урода вообще не доходили до сервисов Windows Server 2003, а рубились прямо при поступлении в сетевуху.
Если можно, то как это сделать?
Есть старая, страшная сеть. Никаких никаких управляемых коммутаторов, никакого L2. Только хабы.
Есть сервачок Windows Server 2003. Никаких доменов, просто проброс интернета, раздача IP-адресов и прочая мелочь.
В сети завёлся один урод, который донимает запросами сервер. Урод берёт чужой адрес, из-за чего постоянно генерятся ошибки. Поскольку сеть неуправляемая, вычислить урода проблематично.
Внимание, вопрос. Можно ли на уровне сетевого адаптера заблокировать все пакеты, исходящие от определённого MAC-адреса? Я хочу сделать так, чтобы сетевые пакеты от этого конкретного урода вообще не доходили до сервисов Windows Server 2003, а рубились прямо при поступлении в сетевуху.
Если можно, то как это сделать?
Re: Блокировать по MAC-адресу
На уровне адаптера - нет. По крайней мере я не знаю. На уровне файрволла сервера - можно.
А служебку начальству накатать?
А служебку начальству накатать?
Re: Блокировать по MAC-адресу
А в чем проблема?Abyrvalg писал(а):Поскольку сеть неуправляемая, вычислить урода проблематично.
Если ты канальный адрес знаешь, нельзя машину найти, что ли?
Re: Блокировать по MAC-адресу
А какой характер запросов? И что значит донимает. У меня была ситуация, когда у секретарши завелся вирусок, который бомбил запросами сервер. Т.е. барышня конечно была виновата, в том, что слишком много времени проводила в одноклассниках и т.п. сетях, а так же слишком многим доверяла свой адрес аськи, но не в том, что она намеренно забивала сеть запросами (примерно 20 запросов в минуту %). Со стороны, это было очень похоже на DDOS атаку. Но так как атакующий был один, всех неприятностей от этого было в том, что замедлялся доступ к серваку у других пользователей, а так же у самой секретарши все сетевые дела ползали еле-еле.Abyrvalg писал(а):В сети завёлся один урод, который донимает запросами сервер.
Какие именно ошибки? И что значит берет? У вас машины сидят на DHCP или на фиксированных?Урод берёт чужой адрес, из-за чего постоянно генерятся ошибки.
Я думаю, что проще всего поискать какой нить бесплатный (или ещё как) сниффер и вычислить его по маку. При дополнительной помощи mylanviewer или подобной и зная МАС адрес, пользователь вычисляется на раз. После этого, если имеет место явное нарушение произв. дисциплины, накатать служебку начальству и со спокойной совестью пойти спать.
И ещё. Если у пользователей административные права, то бан по маку не поможет. Есть куча софта, которые имитируют или клонируют чужие МАС адреса. Кроме того, индивидуальная борьба админа с юзерами, это не совсем правильно. Должна быть у каждого должностная инструкция, о том, что можно и нельзя. Ну и конечно же, не вы набираете людей на работу, поэтому не вам с ними разбираться. А вот предоставить руководству детальную и правильно аргументированную служебку - святое дело.
Re: Блокировать по MAC-адресу
Быстрее всего, дублирование сетевого адреса, т.к. остальные имеют от сервераAl_lexx писал(а):Какие именно ошибки?
Abyrvalg писал(а):раздача IP-адресов
лучше всего wiresharkкакой нить бесплатный (или ещё как) сниффер
Каин с Авелем могут помочь в борьбе с "уродом"
http://www.securitylab.ru/software/232833.php
Re: Блокировать по MAC-адресу
Спасибо всем за рекомендации!
MAC злодея я знал изначально. Но это не помогло, поскольку в нашей конторе никто не знает, где какие машины стоят. Это никак не регламентировано. Начальству писать бесполезно, оно отпингует ко мне же
В общем, я нашёл дырку, благодаря которой злодейская железка смогла заиметь IP-адрес, подождал, пока оборудование выключится, и закрыл эту дырку. При новом включении оно получило отлуп.
MAC злодея я знал изначально. Но это не помогло, поскольку в нашей конторе никто не знает, где какие машины стоят. Это никак не регламентировано. Начальству писать бесполезно, оно отпингует ко мне же
В общем, я нашёл дырку, благодаря которой злодейская железка смогла заиметь IP-адрес, подождал, пока оборудование выключится, и закрыл эту дырку. При новом включении оно получило отлуп.
Re: Блокировать по MAC-адресу
Abyrvalg
залезть на тачку нет возможности? RDP там, \\ip негодяя\с$\Documents and Settings - узнать кто?
А я б на Вашем месте назначил на DHCP ip адрес и на файрволе в ответ на его запросы выставил бы сообщение кто он. Можно назначить ему адрес типа 169.254.0.0
Стоп. А dns сервер ничего не говорит? Имя машины?
С уважением.
залезть на тачку нет возможности? RDP там, \\ip негодяя\с$\Documents and Settings - узнать кто?
А я б на Вашем месте назначил на DHCP ip адрес и на файрволе в ответ на его запросы выставил бы сообщение кто он. Можно назначить ему адрес типа 169.254.0.0
Стоп. А dns сервер ничего не говорит? Имя машины?
С уважением.
Дорога к пончикам была вымощена радостью.
Re: Блокировать по MAC-адресу
А что он может сказать?pst писал(а):Стоп. А dns сервер ничего не говорит? Имя машины?
Re: Блокировать по MAC-адресу
машина негодяя 192,168,1,24
Имя компьютера может дать какую-то информацию о расположении, если сможешь залезть на диск С: можно нарыть инфу о самом негодяе. потом высылать зондеркоманду.
Имя компьютера может дать какую-то информацию о расположении, если сможешь залезть на диск С: можно нарыть инфу о самом негодяе. потом высылать зондеркоманду.
Дорога к пончикам была вымощена радостью.
Re: Блокировать по MAC-адресу
Если адрес есть, зачем имя?pst писал(а):если сможешь залезть на диск С:
Кстати, nmap может кое-что сказать
Кстати, есть классная программа autoscan-network
- VoidVolker
- Always watching
- Сообщения: 1006
- Зарегистрирован: 02 дек 2006, 00:33
Re: Блокировать по MAC-адресу
А что, разве что-то мешает пройтись по всем машинам со скриптом на флешече и найти ПК с нужным маком? Судя по описанию сети - она не такая уж и большая.
Если ты не гонишься за своей мечтой, то ты, пожалуй, не человек, а овощ... капуста например.
Re: Блокировать по MAC-адресу
А что, если известен МАС-адрес и есть сетевой сканер, который выдает хост-имя пользователя (и не только), нужно обязательно идти по рабочим местам. Или там логины каждый день меняют?
Посмотрел сетку, выяснил что за машина/пользователь. Если лично не знаком, что более чем странно, в коллективе из 20чел, то выясняется на раз, опять же через служебную записку руководству, которое издает соответсвующий приказ по конторе.
У меня есть смутное ощущение, что ТС не является админом сети, о которой мы тут.
Имхо, что то тут не чисто.
Посмотрел сетку, выяснил что за машина/пользователь. Если лично не знаком, что более чем странно, в коллективе из 20чел, то выясняется на раз, опять же через служебную записку руководству, которое издает соответсвующий приказ по конторе.
У меня есть смутное ощущение, что ТС не является админом сети, о которой мы тут.
Имхо, что то тут не чисто.
- VoidVolker
- Always watching
- Сообщения: 1006
- Зарегистрирован: 02 дек 2006, 00:33
Re: Блокировать по MAC-адресу
Ну, судя по всему, ТС не воспользовался этой возможностью.Al_lexx писал(а):А что, если известен МАС-адрес и есть сетевой сканер
Вполне возможно. А может просто новичок.Al_lexx писал(а):У меня есть смутное ощущение, что ТС не является админом сети, о которой мы тут.
Имхо, что то тут не чисто.
Если ты не гонишься за своей мечтой, то ты, пожалуй, не человек, а овощ... капуста например.
Re: Блокировать по MAC-адресу
Вот это от куда? Или я что то пропустил?pst писал(а):машина негодяя 192,168,1,24
Возможно. Но и даже в этом случае, (мне) совсем не понятно, почему у ТС нет прямого/действеного контакта с руководством, если в сети есть проблемы, связанные с неадекватными движениями некого юзера.VoidVolker писал(а):А может просто новичок.
Нет, я не за драконовский контроль, но есть же какие то правила сетевой безопасности (да и просто порядка) и хоть какие то права у того, кто её(их) обеспечивает.
...
Туман, однако. Как минимум.
Как максимум, разводняк, на уровне кулхацкера.
Т.е. перечень заданных вопросов, сам по себе, уже дает повод внимательно присмотреться к ТС, как пользователю и уж тем более, как к админу.
...
Есть устойчивое ощущение, что если не будет внятного пояснения, что и почему, то эт разводняк, на то, что бы что то, у кого то сломать.
Не утверждаю. Просто есть ощущение.
Мне, как админу, за то, что я имею такие ощущение платят деньги. Именно за это, а не за то, что я сертифицирован по всем возможным и невозможным "делам". У меня есть сертификат доверия и этого мнедостаточно. А то, что я не знаю ("человек не может, да и не обязан, знать всё"), я поручаю специально обученным людям, а если сомневаюсь, в последних, то вызываю других (специально обученных), для независимого аудита.
Как то так.
А тут, да, некий "детский сад", с предзаподвыпердом. Все с этого начинают, но кмк, админ, в первую очередь, должен заручится поддержкой руководства. Иначе, это не админ, а контуперный завхоз, по вызову (ничего страшного, просто есть разница).
Re: Блокировать по MAC-адресу
Просто абстрактный пример днсзаписи ( повторяю: АБСТРАКТНЫЙ! )Al_lexx писал(а):Вот это от куда? Или я что то пропустил?
Да, Вы абсолютно правы, в данной ситуации может быть на самом деле всё что угодно! НО! ( повторюсь ) все, что угодно! Да, есть правила, права и методы, но и ситуаций бывает бесчисленное множество. Слава Богу, что Вам ( вероятно ) не довелось быть брошенным на говносеть с говнооборудованием и таким же начальством. Я, например, очень хорошо представляю себе ситуацию, при которой - сунься ТС к гендиру с такой проблеммой - ему быстро найдут замену на какогонить урода, типа того ухаря, который довел сеть до такого состояния. Ведь его главное достоинство было "НЕ ДОСТАВАТЬ РУКОВОДСТВО СВОИМИ ДУРАЦКИМИ ПРОБЛЕММАМИ"!Al_lexx писал(а):совсем не понятно
Может и квалификация ТС не так высока как Ваша, так и еще не известно каких высот он добьется к Вашим годам.
Я призываю не подозревать Abyrvalgа в обескровливании христианских младенцев, а просто поможем человеку, обратившимуся к нам за советом.
Тем более, что ТС справился с проблеммой самостоятельно.
Abyrvalg писал(а):подождал, пока оборудование выключится, и закрыл эту дырку.
Дорога к пончикам была вымощена радостью.