Как найти вредителя в локалке???
 

Есть такая проблема: в здании локальная сеть в ней 3 рабочих группы, каждая из них представляет отдельную компанию. Все сидят на 1 роутере, АйПи адреса присваиваются DHCP. Сегодня пришел счет за инет за прошлый месяц (более 70000 рублей :) )- кто-то упорно в день выкачивает от 600 до 1000 мБ. Руководство грешит на нас, но это точно не мы - у всех стоят считалки трафика, но это никак нас не смогло оправдать. Вообщем нам отказались предъявить логи с серверов. Вопрос: как втихую отловить этого паразита, который всех подставляет? Доступ к чужим компам, сервакам и т.п. закрыт, может какая либо прога может наблюдать за всеми подсетями и вычислить кто больше всех натаскал? :idontnow:

никак. ставьте счетчик на сервер, раздающий интернет.

а при таких условиях постановка вопроса аналогична "как выяснить сколько пива седня выпил Плейг, если я понятия не имею кто он, и где сейчас находится"

Mikka222 , ситуация совсем туманна, (потому что вообще непонятно, кто, как и каким образом продает вам трафик какова схема сети и исходя из чего вас обвиняют и вообще какую часть фирмы вы представляете) вам нужен ваш сисадмин, а дальше к нему применяйте метод пряника :)

сильно подозреваю, что раз логи не дают, то он (админ) этот трафик и просадил на самом деле :p

А зачем тебе это нужно? Морду пойдешь бить? Если у вас стоит считалка трафика на каждой машине и вам не верят, то когда вы его "вычислите", тоже не поверят.

Если есть логи то нефига "грешить на вас", можно все посмотреть и доказать. Если у вас совесть чиста, требуйте разбирательства и наказания виновного (в том числе и финансового) или прекращения "подозревания".

можно попытаться поснифить, но тут желательно всетаки иметь доступ к свитчам, хотя если у вас нет нормальной системмы учета траффика то и пароли там скорее всего заводские оставлены, по захваченному трафику можно попытаться понять что и кто делает, можно поснифить аски и посмотреть может кто-то хвастается кому-то за пределами конторы как он всех имеет, вобще выявить злоумышленника не так и сложно, даже не имея прав админа. Железо как обычно бывает более надежно чем люди :)

снифер если мне не изменяет память работоспособен только в пределах общего хаба. в варианте со свитчами он как раз бесполезен

Не совсем так. На некоторых свитчах можно включить режим прослушки (когда на один из портов зеркалится весь траффик свитча).
Но это именно специально включаемый режим, и есть он не везде.
Точно есть на Cisco Cat. 4000, Cat. 6000 - видел, как его включали (для оценки загрузки свитча по портам).

Borland, опять же: при учете, что ты - тот, кто в состоянии (в плане соответствующих прав) его включить.

Mikka222, кто отказался предъявлять логи? Тот, кто админит роутер? :) Или провайдер?
Если провайдер, то локальному человеку, отвечающему за настройки интернета (должен быть такой) нужно прописать статические айпи и поставить, например, ISA server, или, скажем, squid с прибамбасами - для чёткой картины использования трафика.

имхо, при отсутствии доступа к свитчу - нереально.

Что именно не реально?
И вообще, раз автор темы молчит, значит тема уже не актуальна.

если кроме работы заняться нечем, можно реализовать чтото на подобие Man-in-the-middle attack :)

но ответом на вопрос я бы считал :