Как найти вредителя в локалке??? - Безопасность

Mikka222 · 12.12.2007, 21:14

Есть такая проблема: в здании локальная сеть в ней 3 рабочих группы, каждая из них представляет отдельную компанию. Все сидят на 1 роутере, АйПи адреса присваиваются DHCP. Сегодня пришел счет за инет за прошлый месяц (более 70000 рублей

)- кто-то упорно в день выкачивает от 600 до 1000 мБ. Руководство грешит на нас, но это точно не мы - у всех стоят считалки трафика, но это никак нас не смогло оправдать. Вообщем нам отказались предъявить логи с серверов. Вопрос: как втихую отловить этого паразита, который всех подставляет? Доступ к чужим компам, сервакам и т.п. закрыт, может какая либо прога может наблюдать за всеми подсетями и вычислить кто больше всех натаскал?

*Plague* · 12.12.2007, 21:23

Цитата:

Сообщение от Mikka222

как втихую отловить этого паразита

никак. ставьте счетчик на сервер, раздающий интернет.

а при таких условиях постановка вопроса аналогична "как выяснить сколько пива седня выпил Плейг, если я понятия не имею кто он, и где сейчас находится"

werwulf · 14.12.2007, 15:02

Mikka222 , ситуация совсем туманна, (потому что вообще непонятно, кто, как и каким образом продает вам трафик какова схема сети и исходя из чего вас обвиняют и вообще какую часть фирмы вы представляете) вам нужен ваш сисадмин, а дальше к нему применяйте метод пряника

*Plague* · 14.12.2007, 15:22

сильно подозреваю, что раз логи не дают, то он (админ) этот трафик и просадил на самом деле

nalapapam · 14.12.2007, 15:55

Цитата:

Сообщение от Mikka222

может какая либо прога может наблюдать за всеми подсетями и вычислить кто больше всех натаскал?

А зачем тебе это нужно? Морду пойдешь бить? Если у вас стоит считалка трафика на каждой машине и вам не верят, то когда вы его "вычислите", тоже не поверят.

Цитата:

Сообщение от Mikka222

Руководство грешит на нас, но это точно не мы

Если есть логи то нефига "грешить на вас", можно все посмотреть и доказать. Если у вас совесть чиста, требуйте разбирательства и наказания виновного (в том числе и финансового) или прекращения "подозревания".

Kofr · 19.12.2007, 21:57

можно попытаться поснифить, но тут желательно всетаки иметь доступ к свитчам, хотя если у вас нет нормальной системмы учета траффика то и пароли там скорее всего заводские оставлены, по захваченному трафику можно попытаться понять что и кто делает, можно поснифить аски и посмотреть может кто-то хвастается кому-то за пределами конторы как он всех имеет, вобще выявить злоумышленника не так и сложно, даже не имея прав админа. Железо как обычно бывает более надежно чем люди

*Plague* · 19.12.2007, 22:04

снифер если мне не изменяет память работоспособен только в пределах общего хаба. в варианте со свитчами он как раз бесполезен

Borland · 19.12.2007, 22:12

Цитата:

Сообщение от Plague

в варианте со свитчами он как раз бесполезен

Не совсем так. На некоторых свитчах можно включить режим прослушки (когда на один из портов зеркалится весь траффик свитча).
Но это именно специально включаемый режим, и есть он не везде.
Точно есть на Cisco Cat. 4000, Cat. 6000 - видел, как его включали (для оценки загрузки свитча по портам).

*Plague* · 19.12.2007, 22:19

Borland, опять же: при учете, что ты - тот, кто в состоянии (в плане соответствующих прав) его включить.

Rob · 19.12.2007, 22:33

Mikka222, кто отказался предъявлять логи? Тот, кто админит роутер?

Или провайдер?
Если провайдер, то локальному человеку, отвечающему за настройки интернета (должен быть такой) нужно прописать статические айпи и поставить, например, ISA server, или, скажем, squid с прибамбасами - для чёткой картины использования трафика.

Stanly · 02.01.2008, 20:38

Цитата:

Сообщение от Rob

Mikka222, кто отказался предъявлять логи? Тот, кто админит роутер?

Или провайдер?
Если провайдер, то локальному человеку, отвечающему за настройки интернета (должен быть такой) нужно прописать статические айпи и поставить, например, ISA server, или, скажем, squid с прибамбасами - для чёткой картины использования трафика.

имхо, при отсутствии доступа к свитчу - нереально.

Rob · 03.01.2008, 14:26

Цитата:

Сообщение от Stanly

нереально

Что именно не реально?
И вообще, раз автор темы молчит, значит тема уже не актуальна.

TURNSKIN · 14.03.2008, 23:42

если кроме работы заняться нечем, можно реализовать чтото на подобие Man-in-the-middle attack

но ответом на вопрос я бы считал :

Цитата:

а при таких условиях постановка вопроса аналогична "как выяснить сколько пива седня выпил Плейг, если я понятия не имею кто он, и где сейчас находится"

12.12.2007, 21:14	# 1
Mikka222 Newbie Регистрация: 25.02.2004 Адрес: Москва Пол: Male Сообщения: 48	Как найти вредителя в локалке??? Есть такая проблема: в здании локальная сеть в ней 3 рабочих группы, каждая из них представляет отдельную компанию. Все сидят на 1 роутере, АйПи адреса присваиваются DHCP. Сегодня пришел счет за инет за прошлый месяц (более 70000 рублей )- кто-то упорно в день выкачивает от 600 до 1000 мБ. Руководство грешит на нас, но это точно не мы - у всех стоят считалки трафика, но это никак нас не смогло оправдать. Вообщем нам отказались предъявить логи с серверов. Вопрос: как втихую отловить этого паразита, который всех подставляет? Доступ к чужим компам, сервакам и т.п. закрыт, может какая либо прога может наблюдать за всеми подсетями и вычислить кто больше всех натаскал?

14.12.2007, 15:22	# 4
Plague Administrator Регистрация: 06.05.2003 Адрес: Московская Подводная Лодка Пол: Male Сообщения: 12 062	сильно подозреваю, что раз логи не дают, то он (админ) этот трафик и просадил на самом деле __________________ все "спасибы" - в приват и в репутацию! не засоряйте форум!!!! ~~~~~~~~~~~~~~~~~~~~~~ The time has come it is quite clear, our antichrist is ~~almost~~ already here. M.M.

19.12.2007, 22:04	# 7
Plague Administrator Регистрация: 06.05.2003 Адрес: Московская Подводная Лодка Пол: Male Сообщения: 12 062	снифер если мне не изменяет память работоспособен только в пределах общего хаба. в варианте со свитчами он как раз бесполезен __________________ все "спасибы" - в приват и в репутацию! не засоряйте форум!!!! ~~~~~~~~~~~~~~~~~~~~~~ The time has come it is quite clear, our antichrist is ~~almost~~ already here. M.M.

19.12.2007, 22:19	# 9
Plague Administrator Регистрация: 06.05.2003 Адрес: Московская Подводная Лодка Пол: Male Сообщения: 12 062	Borland, опять же: при учете, что ты - тот, кто в состоянии (в плане соответствующих прав) его включить. __________________ все "спасибы" - в приват и в репутацию! не засоряйте форум!!!! ~~~~~~~~~~~~~~~~~~~~~~ The time has come it is quite clear, our antichrist is ~~almost~~ already here. M.M.

19.12.2007, 22:33	# 10
Rob Счастливый папаша Регистрация: 22.07.2003 Адрес: Мюнск Пол: Male Сообщения: 848	Mikka222, кто отказался предъявлять логи? Тот, кто админит роутер? Или провайдер? Если провайдер, то локальному человеку, отвечающему за настройки интернета (должен быть такой) нужно прописать статические айпи и поставить, например, ISA server, или, скажем, squid с прибамбасами - для чёткой картины использования трафика. __________________ Поддержи важную инициативу IMHO.WS: http://imho.ws/showthread.php?t=128894

14.12.2007, 15:02	# 3
werwulf Member Регистрация: 12.09.2007 Сообщения: 213	Mikka222 , ситуация совсем туманна, (потому что вообще непонятно, кто, как и каким образом продает вам трафик какова схема сети и исходя из чего вас обвиняют и вообще какую часть фирмы вы представляете) вам нужен ваш сисадмин, а дальше к нему применяйте метод пряника

19.12.2007, 21:57	# 6
Kofr Newbie Регистрация: 26.10.2004 Сообщения: 47	можно попытаться поснифить, но тут желательно всетаки иметь доступ к свитчам, хотя если у вас нет нормальной системмы учета траффика то и пароли там скорее всего заводские оставлены, по захваченному трафику можно попытаться понять что и кто делает, можно поснифить аски и посмотреть может кто-то хвастается кому-то за пределами конторы как он всех имеет, вобще выявить злоумышленника не так и сложно, даже не имея прав админа. Железо как обычно бывает более надежно чем люди