|
Zdublowany adres MAC i kombinacje użyszkodnika
|
| suprnowa |
Dodano 05-09-2007 21:37
|
User
Posty: 145
Dołączył: 25/05/2006 18:19
|
Witam.
W swojej sieci mam usera który non stop kombinuje,aby zwiększyc sobie prędkosc,badz nie wiem co.Ostatnioz auważyłem cos taekigo że adres MAC jest zdublowany,ai na tycjh dwoch adresach ktos cały czas korzysta z internetu bo patrzac w QOS cos robni w necie.oto screen:
[URL=www.fotosik.pl] [/URL]
W firewall mam dodany taki skrypt:
iptables -N ipmac iptables -I FORWARD -i br0 -m state --state NEW -j ipmac iptables -A ipmac -s 192.168.1.106 -m mac --mac-source 00:80:C6:E8:A1:9C -j RETURN
iptables -N ipmac iptables -I FORWARD -i br0 -m state --state NEW -j ipmac iptables -A ipmac -s 192.168.1.107 -m mac --mac-source 00:14:A5 0:67:B9 -j RETURN
Jak sie przed tym zabezpieczyc?
Pozdrawiam
Edytowany przez suprnowa dnia 05-09-2007 21:38
|
| |
|
|
| obsy |
Dodano 05-09-2007 21:53
|
VIP
Posty: 5775
Dołączył: 31/10/2006 20:06
|
OT: Jak bardzo zależy Ci na tym userze? Bo na allegro już za 55pln można kupić całkiem niezły kij baseballowy...
|
| |
|
|
| tom78 |
Dodano 06-09-2007 11:18
|
User
Posty: 144
Dołączył: 23/02/2007 17:15
|
Ja bym włączył static dhcp.
Masz obniżony TTL ? Nie wiem czy to coś pomoże - na pewno nie zaszkodzi.
ps. ta 7 jest jeszcze przez kogoś używana ?
Edytowany przez tom78 dnia 06-09-2007 11:19
Asus RT-AC87U OFW
Asus RT-N66u Merlin
2xWRT54GL Tomato v1.28
Qnap TS-112
|
| |
|
|
| suprnowa |
Dodano 06-09-2007 12:26
|
User
Posty: 145
Dołączył: 25/05/2006 18:19
|
Adres 7 jest używany,ale przez osobe o innym MACu.TTL nie obniżałem,a static DHCP mam cały czas wlączony. |
| |
|
|
| eRd |
Dodano 06-09-2007 12:31
|
OL Maniac
Posty: 1090
Dołączył: 11/03/2007 13:15
|
Tu jest wlasnie ciekawy problem, bo gdyby to byl gosc z mac'iem spoza Twojej listy uzytkownikow to by nie bylo problemu, a tu "kon trojanski" nieladnie sie zachowuje  Trzeba pomyslec nad powiazaniem ip i maca na stale w skrypcie (mam nadzieje ze cos takiego isnieje), moze cos robsonn pomoze 
WRT54GL v 1.1 Tomato Firmware 1.28.0005 108 ND VPN + 11 użyszkodników na kablu + 1 wifi
Netgear WNR3500L v1 @500MHz Tomato Firmware 1.28.0000 MIPSR2-108 K26 USB BTgui-VPN
PAP2T soft 5.1.6 LS / IPFON
Zotac HD-ID11 (ION2), |
| |
|
|
| domgl |
Dodano 06-09-2007 13:21
|
Power User
Posty: 275
Dołączył: 19/03/2006 00:25
|
Kiedyś na tym forum znalazłem skrypt (działa znakomicie):
iptables -N macfilter
iptables -I FORWARD -i br0 -m state --state NEW -j macfilter
iptables -A macfilter -s 192.168.1.2 -m mac --mac-source 00:02:44:7d:43:5b -j RETURN
iptables -A macfilter -s 192.168.1.3 -m mac --mac-source 00:00:1c6:f2:93 -j RETURN
iptables -A macfilter -s 192.168.1.4 -m mac --mac-source 00:00:1c6:f2:2e -j RETURN
iptables -A macfilter -s 192.168.1.5 -m mac --mac-source 00:00:1c7:5d:34 -j RETURN
iptables -A macfilter -j REJECT
Niestety nie mam pomysłu jak wytropić takiego gagatka. Najprostszym jak również najżmudniejszym rozwiązaniem będzie odłączanie kolejnych węzłów sieci i patrzenie czy anomalia nadal się pojawiają. W taki sposób zacieśnisz okrąg podejrzanych i w rezultacie złapiesz palanta (a wtedy zrób to co radzi obsy ).
Edytowany przez domgl dnia 06-09-2007 13:24
|
| |
|
|
| tom78 |
Dodano 06-09-2007 19:18
|
User
Posty: 144
Dołączył: 23/02/2007 17:15
|
Cytat suprnowa napisał/a:
Adres 7 jest używany,ale przez osobe o innym MACu.TTL nie obniżałem,a static DHCP mam cały czas wlączony.
To obniż TTL plus wklep ten skrypt domgl'a - powinno trochę szkodnikowi namieszać jak robi to za pomocą routera. Pisz czy coś pomogło - jestem bardzo ciekawy dalszego rozwoju sprawy.
Swoją drogą czyżby był jakiś bug w static dhcp ? U mnie testowałem narazie działa.
Asus RT-AC87U OFW
Asus RT-N66u Merlin
2xWRT54GL Tomato v1.28
Qnap TS-112
|
| |
|
|
| suprnowa |
Dodano 06-09-2007 21:19
|
User
Posty: 145
Dołączył: 25/05/2006 18:19
|
Skrypt który podał @domgl mam caly czas w routerze ale jak widac nie zawsze to działa.
Ten użyszkodnik juz próbuje mieszac na różne sposoby,i juz mnier to drażni,ale najważniejsze placi regularnie.Narazie nic nie widac na routerze.Chyba dzis obniże jeszcze TTL. |
| |
|
|
| domgl |
Dodano 06-09-2007 22:17
|
Power User
Posty: 275
Dołączył: 19/03/2006 00:25
|
Skrypt działa b. dobrze jednak zgodze się z tym iż jest nie wystarczającym zabezpieczeniem jeśli chodzi o niniejszy przypadek czyli o podmiane MACa przez użytkownika z wewnątrz sieci LAN. Suprnowa, jeżeli wiesz kto w sieci robi takie wybryki, radzę poważnie z nim porozmawiać. |
| |
|
|
| suprnowa |
Dodano 06-09-2007 23:49
|
User
Posty: 145
Dołączył: 25/05/2006 18:19
|
Dokładnie wiem kto to,tyle że on udaję głupiego.Daje mu wiadomości na GG,oraz przez www.narazie jak go przyłapie na takim czymś,daje mu np.ban-a na 24H,bądź mniej.
A wy co byście zrobili? |
| |
|
|
| domgl |
Dodano 08-09-2007 08:43
|
Power User
Posty: 275
Dołączył: 19/03/2006 00:25
|
Jeżeli wiesz na 100% kto to a masz w sieci wielu użytkowników i odłączenie jednego nie przyprawi Cie o kłopoty finansowe, to na Twoim miejscu bym najzwyczajniej odłączył łotra. |
| |
|
|
| Dziadek |
Dodano 08-09-2007 10:31
|
Super User
Posty: 476
Dołączył: 10/08/2006 19:43
|
Wątpię, czy to jest ten człowiek, sądzę raczej, że ktoś sie pod niego podszywa.
Bo jeśli legalny użytkownik jest podpięty przez WiFi (czy tak jest faktycznie?), to skąd wziął połączenie kablowe?
Raczej podejrzewam, ze któryś z userów podpiętych przez LAN postanowił sobie podłączyć drugi komputer.
Ilu masz tych userów i jak są podpięci?
Edytowany przez Dziadek dnia 08-09-2007 11:03
|
| |
|
|
| Rayden |
Dodano 08-09-2007 15:31
|
User
Posty: 45
Dołączył: 24/09/2006 18:28
|
ja bym sie tym za bardzo nie martwił ze koleś dubluje mac'ki.
wziolbym poprostu w skrypcie robsonna dodał jego mac i konkretna przepustowość down/up dla tego mac'a
nawet jeśli zdubluje mac 10 razy to i tak ponad przepustowość przydzielona na ten mac nie wyskoczy, no chyba że zmieni mac.
Netgear R7000 Tomato 122 K26ARM USB VPN-64K
|
| |
|
|
| suprnowa |
Dodano 09-09-2007 16:56
|
User
Posty: 145
Dołączył: 25/05/2006 18:19
|
Wszystkie kompy sa po Wifi.Tylko moj jako Administartor jest po LAN. |
| |
|
|
| Dziadek |
Dodano 09-09-2007 17:11
|
Super User
Posty: 476
Dołączył: 10/08/2006 19:43
|
Ale przecież ten komputer o numerze 192.168.1.107 też jest podpięty do Linksysa przez łącze br0, czyli przez LAN!
Czyżbyś miał pajęczarza u siebie w domu?
|
| |
|
|
| suprnowa |
Dodano 09-09-2007 22:49
|
User
Posty: 145
Dołączył: 25/05/2006 18:19
|
Nie ma takiej opcji.Mieszkam w domku jednorodzinnym i takie rzeczy nie wchodza w grę.
A jakby ten user sklonowal MAC i rozdzielił łacze z radiowłki odemnie na kompa LAN?
Może macie inne pomysły? |
| |
|
|
| Dziadek |
Dodano 09-09-2007 23:12
|
Super User
Posty: 476
Dołączył: 10/08/2006 19:43
|
To najwyraźniej Twój Linksys cierpi na rozdwojenie jaźni, bo gdyby ten user podzielił łącze po swojej stronie, to albo byś nie widział drugiego komputera, albo oba byś widział na złączu eth1.
EDIT:
W jakim trybie pracuje Twój Linksys? Jako AP, czy może AP+WDS?
Czy masz tylko jeden Access Point, czy jest ich więcej??
Edytowany przez Dziadek dnia 09-09-2007 23:26
|
| |
|
|
| suprnowa |
Dodano 10-09-2007 05:56
|
User
Posty: 145
Dołączył: 25/05/2006 18:19
|
Pracue jako AP,Wiecej urządzeń nie mam.Tylko jesdt podpięty do niego modem w trybie bridge i tyle. |
| |
|
|
| Dziadek |
Dodano 10-09-2007 10:23
|
Super User
Posty: 476
Dołączył: 10/08/2006 19:43
|
W takim razie nie pozostaje Ci nic innego, jak skombinować notebooka z kartą wifi, sklonować MAC-a jakiegoś aktywnego użytkownika, podłączyć sie do AP i sprawdzić, co sie wyświetla na liście urządzeń.
Niewykluczone, że Tomato głupieje w sytuacji gdy wykryje dwóch klientów z tym samym MAC-em i wtedy jednemu z nich przypisuje niewłaściwy port.
W każdym razie ja bym nie dał nawet 5 groszy za to, że to jest robota Chmurzyńskiego. Raczej stawiam, że to ktoś z sąsiadów podłącza się "na lewo".
Edytowany przez Dziadek dnia 10-09-2007 10:25
|
| |
|
|
| suprnowa |
Dodano 10-09-2007 10:25
|
User
Posty: 145
Dołączył: 25/05/2006 18:19
|
Może masz i racje,bo wcześniej ktos narzekał że MAC jest już w yzyciu i mi NEt nie działa.
jak się najlepeij zabezpieczyc,aby nie było mozliwosci podpiecia sie do sieci?Jaki tryb zabezpieczen?
Karty klienckie sa na Ralinku NWH |
| |
|
' target='_blank'>Link
