Как найти злоумышленника в сети.

Обсуждение ПО и его настройки
Ответить
rstaganrog
Сообщения: 24
Зарегистрирован: 26 май 2013, 19:02

31 май 2013, 21:01

Прошу помочь в поиске злоумышленника в сети.

На микротике обнаружена неизвестная активность из подсети 192.168.1.0/24 - с src-адреса 192.168.1.180 (МАС-адрес соответствующего хоста из микротика извлечён).

Такого адреса ни на одной машине в локальной сети (ни в 192.168.0.0/24, ни в 192.168.1.0/24). Не вдаваясь в причины этой уверенности, это можно утверждать совершенно определённо.

Для облегчения поимки а микротике созданы правила:

Код: Выделить всё

/ip firewall mangle add chain=forward action=mark-packet new-packet-mark=.1.180dst           passthrough=no src-address=192.168.1.180
/ip firewall filter add chain=forward action=add-dst-to-address-list address-list=.1.180dst  packet-mark=.1.180dst
С непонятной периодичностью в списке появляется от одного до десятка dst-адресов.

Для отлова злодея был сформирован пакетный файл на одной из Windows-машин в локальной сети - этой машине доступна подсеть 192.168.1.0/24:

Код: Выделить всё

:code1
set ip=192.168.1.180
 
ping %ip% -n 1
goto code%errorlevel%
 
:code0
rem ping OK
echo %date% %time% >> %ip%.log
tracert %ip% >> %ip%.log
goto code1
Этот пакетный файл в бесконечном цикле ожидает и логгирует появление в локальной сети хоста 192.168.1.180.

За всё время выполнения этого файла в лог ничего не попало - т.е. хост 192.168.1.180 в локальной сети не появлялся. В тоже время на микротике в списке ".1.180dst" зафиксирован dst-адрес.

Единственный вариант - вторжение извне.

Как можно выявить вредителя?


gmx
Модератор
Сообщения: 2560
Зарегистрирован: 01 окт 2012, 14:48

01 июн 2013, 09:03

Да с чего он будет пиноговаться-то???

В винде по-умолчанию фаерволл включен, а эхо-ответ тоже отключен и никак его не пинганешь.


Втыкает кто-то ноут или по вай-фаю подключается. Может кто и свой вай-фай организовал по-средствам обычного USB адаптора и соответствующего ПО.

Заблокируйте его по MAC и дело с концом. Может, конечно, ума у юзера хватит МАС поменять, но на моей практике такого не было, никогда не было.


Ответить