Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
ale to nie przeszkodzi w dzieleniu lacza :) tylko w podszywaniu sie...
Offline
mam pytanko, w jaki sposob mozna sprawdzic czy ktos przypadkiem nie porzyczyl (lekko mowiac) mojego maca i ip ??
Offline
no na pewno Ci net bedzie wolniej chodzil, jesli kozystasz z linuxa to moze w logach Ci sie cos bedzie pojawialo ale nie testowalam nie wiem
w sumie ciekawa sprawa :]
Offline
no z tego co mi wiadomo to net i siec WOGOLE nie dziala w tym rzecz, ze mialem juz taki przypadek, ze po kilka godzin wogole nie mialem neta ani pod syfem bila ani po Pingwinem. mam radiowke i co za tym poszlo...
zmienialem nawet anteny i lipa tez byla. a co najleprze to pod netstumblerem pakiety odbiorcze z AP mialem na jednej anteni i na drugiej. myslalem ze karta poszla, wytargalem ja za bebechy i poszedlem do qmpla i co ... lipa, no sobie pomyslalem no to pieknie karta ma niecale 4miechy i juz sie poszla pasc. no ale nie dalem za wygrana. wsadzilem ja spowrotem uruchjamiam Linuxa i o dziwo zaczela dzialac. pozniej musialem lina ponownie uruchomic i znowu niespodziewanka, ZONK nie dziala i tak mialem. wiec jestem ciekaw czy jest jakis sposob na wykrycie delikwenta i ewentualne pewne potraktownie go z pewnym rozmachem :]
P.S
wow, ale sie rozpisalem :]
Offline
Witam.
jezoo--ja miałem ciekawą rzecz:tez myślałęm że ktos coś odwala jakąs manianę.ale opiszę:wiesz pięknego wieczorka gadam z kumpela z sieci na gg.umawiamy sie na zakupy do kraka.umówiliśmy sie i nagle ona zniknęła.pomyślałem ze sie rozłaczyła.rano sie z nią spotykam a ona do mnie ze nie ma neta(u mnie na sieci wszystkie urządzenia działały).ale spox.powiedziałem że moze stery poszły lub cos.ale wracam z kraka a tu jeden tel drugi tel. że nie ma neta.ja już podkur.... co jest do brata dzwonie jest net??i tu o dziwo działa.przyjechałem zaraz laptopka i pod sieć.odpalam netstubler i oki.jest sygnał.prubuję sie łaczyc ---beret.nie moze sie połączyć.no to dawaj pod sam nadajnik i tu o dziwo sie łączy.no to spox.anetny poszły.wymieniłem anteny.i dalej to samo.raz net jest a za godzinę znów beret.no to kable.to samo.wkońcu miałem gdzieś starego wapa ale działającego.wymieniłem.no i poszło.wróciłem do starych anten i ok.wiec dawaj wapy na servis.i sie okazzło ze padłyyyy.sam nie wiem jakim cudem.i co najgorsze na servisie tez sa w szoku.bo bardzo blisko wapa sie łaczy w sumie normalnie.ale zauważyłem pewną rzecz że jak sie połaczyłem to synał skakał jak porąbany.a na dobrym wapie sygnał jest w miarę stabilny.wiec oki.pozatym jak te zepsute wapy połaczyłem w bidge to sie łączyły ale pigni to tragedia.
Wiec sprawdź sobie wapy.ja ten przypadek miałem na WAP-4000 v2 PLANET'a.
Pozdrawiam
Offline
13. Jak wykryć udostępnianie łącza przez któregoś z użytkowników?
Po pierwsze zastanów się nad podzieleniem przepustowości łącza równo pomiędzy wszystkich użytkowników. Wtedy nie będzie Cię martwić jeśli któryś z nich oddaje część łącza sąsiadowi, ponieważ nie będzie to miało wpływu na jakość działania sieci. Może wprowadzić opłaty zależne od dostępnej przepustowości?
Po drugie: zainteresuj się wartościami TTL pakietów pochodzących z "podejrzanej" końcówki. Linux daje standardowo ttl=64, Windows 98 ttl=128. Nie zdziw się jednak jeśli zobaczysz, że końcówka wysyła pakiety o rosnących TTLach, poczynając od 1(2?). Oznacza to, że z tej końcówki został uruchomiony traceroute/tracert. Można również w Linuksie zmienić wartość ttl w wychodzących pakietach. Czy w Windows też się da, nie wiem.
Hint 1: aby sprawdzić wartości TTL pakietów zainteresuj się programem tcpdump, oraz jego dokumentacją, żeby być w stanie zbudować odpowiedni filtr. Jeśli dana końcówka rozdziela łącze, (i nie robił tego człowiek zbyt światły) są szanse, że TTLe będą o 1 niższe od wartości standardowych, np. ttl=63 dla Linuksa. Uwaga: dziwny ttl, nie jest żadnym dowodem, jedynie może wzbudzać "uzasadnione podejrzenia".
Hint 2: możesz nieco utrudnić (ale nie myśl, że uniemożliwić!) dzielenie łącza przez userów, ustawiając TTL pakietów wychodzących do LAN na 1. Lameria stawiająca router linuksowy step-by-step wg. jakiegos poradnika, się na tym wyłoży, nie będzie to stanowiło jednak żadnego problemu dla ludzi wiedzących co to tcpdump.
Hint 3: Istnieje program p0f, służący do pasywnej identyfikacji systemu operacyjnego, przy czym radzi sobie również z hostami za routerem (maskaradą). Jeżeli odpalony na kilka minut na bramie wskazuje różne systemy operacyjne wychodzące spod jednego IP, to mamy podejrzanego.
Hint 4: Powstał kolejny program do wykrywania NATu: natdet, do pobrania ze strony autora.
Po trzecie: Popatrz z jakich portów wychodzą połączenia z "podejrzanej" końcówki. Jeśli są to porty bardzo wysokie (61000 - 65096), to możesz podejrzewać maskaradę zrobioną na Linuksie z jądrem serii 2.2.x. Jądra 2.4.x używają dla maskarady tych samych portów co do normalnych transmisji, więc tak ich nie wykryjesz. W 2.2.x daje się przestawić maskaradę na niższe porty. [FIXME: czy jest prawdą, że 2.2.x traktują przedział portów dla maskarady w jakiś dziwaczny sposób, w związku z czym, przeniesienie ich w dół do 1024 powoduje problemy? A może się mi coś ubzdurało? - Tomek]
Po czwarte: Możesz sprawdzić, czy z tej końcówki nie są generowane na przemiennie zapytania HTTP z różnymi wartościami User-Agent. UWAGA: Wykonując poniższe czynności łamiesz zasadę prywatności użytkowników. [FIXME: czy to prawda co teraz napiszę?] Możesz być za to ciągany po sądach. Dobra, do rzeczy: uruchom sniffera http [nie podaję jakiego, jeśli nie jesteś w stanie sobie znaleźć, nie jesteś również kompetenty by go używać!] i sprawdzaj zawartość pola odpowiadającego za User-Agent. Jeśli zauważysz, że użytkownik używa NARAZ dwóch systemów operacyjnych to masz "podejrzanego". Uwaga: Niektóre kiepsko napisane programy np. Gadu-Gadu źle ustawiają typ systemu w polu User-Agent. Widziałem już taki przypadek, że GG uruchomione na W98 ustawiało User-Agent na MSIE odpalone spod Win-NT!
Po piąte: sprawdź, czy komputer podejrzanego ma włączony ip_forwarding. U siebie:
# route add -net 1.2.3.0/24 gw podejrzany_ip eth0
# ping 1.2.3.4
A na drugiej konsoli:
# tcpdump -n -i eth0
00:59:47:270862 > v.w.y.z > 1.2.3.4: icmp: echo reqest
00:59:47:271276 < v.w.y.z > 1.2.3.4: icmp: echo request
No proszę... podejrzany przekazał pakiet na swoją trasę domyślną, czyli do Ciebie ;> Jeśli już wiesz, że ma ip_forwarding, możesz spróbować dowiedzieć się jaki wybrał adres podsieci. Można to zrobić podobnie jak poprzednio, np.:
# route add -net 10.1.1.0/24 gw podejrzany eth0
# ping 10.1.1.1
albo lepiej 10.1.1.255. [FIXME: jakoś nie zauważyłem, żeby windows odpowiadał na ping wysłany na adres rozgłoszeniowy, ale może coś źle robie... - Tomek]
Jeśli 10.1.1.0/24 nie jest jego siecią, stanie się to samo co poprzednio, jeśli jest, dostaniesz albo icmp echo reply (jeśli trafiłeś w działającego hosta) albo icmp host unreachable. (jeśli nie ma takiego hosta).
[FIXME: Jeśli ktoś ma doświadczenie co do działania udostępniania pod Windowsem i przede wszystkim wykrywania tego, to proszę o kontakt. Jak to działa: proxy czy nat?? jakie to ma cechy charakterystyczne? - Tomek]
[/quote]
Pozdrawiam
Offline
Jeszce dopisze takie pytanie:
Na routerze mozna postawić jakiś filtr aby sprawdzał jak to gdzies wyczytalem "ramke rozpoznawczą" tzn jezeli pakiet nie pochodzi z routera tylko z kompa ktoremu sie udostepnielo net i i jezlei mu nie pasi ta ramka to netu brak(nie hcodzi tu o ttl'a)
1) Co dokładnie sprawdza ten filtr
2)Jak sie nazywa taki filtr lub coś podobnego a moze jest to net filterze?
3)Jak to ominąć?:D:D:D:D
Offline
Time (s) | Query |
---|---|
0.00010 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00122 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.221.27.56' WHERE u.id=1 |
0.00066 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.221.27.56', 1733047872) |
0.00040 | SELECT * FROM punbb_online WHERE logged<1733047572 |
0.00066 | DELETE FROM punbb_online WHERE ident='18.221.192.248' |
0.00055 | DELETE FROM punbb_online WHERE ident='54.36.148.183' |
0.00062 | SELECT topic_id FROM punbb_posts WHERE id=13423 |
0.00301 | SELECT id FROM punbb_posts WHERE topic_id=586 ORDER BY posted |
0.00075 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=586 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00100 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=586 ORDER BY p.id LIMIT 25,25 |
0.00082 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=586 |
Total query time: 0.00988 s |