Доброго времени суток! У меня возникла проблема - в сети вылезло чудо. Имя этому чуду D-link Dir-400. Само по себе оно мне побоку, но эта тварь раздает в сеть левый DHCP. Сеть довольно большая, и бегать искать - не вариант. Собственно вопрос: Как узнать какой адрес висит у него на PPP соединении (snmp нету) тогда я буду знать кто это, и проблема решится. Либо как завалить его, чтобы оно перестало маячить?
а включить снифер и отфильтровать пакеты по портам 67,68? снифер советую commview - http://torrents.ru/forum/viewtopic.php?t=730365
Полностью согласен. А таких мною известных вариантов не известно. У меня сеть малая, на 200 машин... не приходилось встречаться с такими проблемами.
Эээ.. немного не понял смыла сниффера... я знаю его ип... соответственно мак... на железяке из портов открыта тока вебморда, из которой я знаю что за железяка... что еще я могу взять из пакета? оО З.ы. OS: Gentoo Linux. сниффер узаю wireshark...
По идее в той же самой веб морде ты можешь и ppp ip посмотреть и dhcp отключить (если я правильно понял суть траблы)
Понял. Тогда поищи тут на форуме статейку лебедя по взлому адсл модемов, возможно это поможет тебе найти пасс к веб морде или попробуй тупо сбрутить его. SNMP и Telnet точно отключены?
угу, ни снмп ни телнета нету, в вышеозначенной статье добывается пасс к инету, при условии что в веб морду он попал... мне нать узнать или логин или ip, зная эту инфу мне будет известен и пасс, и адрес, и телефон, и все остальное. или попав в енту вебморду я смогу отключить эту дхцпу... я на 90% уверен что это какой-то неумный человек по незнанию пихнул кабель невту дырку...
Попробуй зайти в веб под акком user\user или guest\guest, или как я уже говорил качни словарик и попробуй пробрутить акк admin. По поводу ип или логина чела, который заходит на эту железку, и если структура сетки позволяет снифать трафф, то врубай снифер и лови Http запросы к этой железке, возможно кеш браузера этого чела захочет обновиться или он сам на нее полезет))) и еще: если в сетке какая-то железка раздает верные данные то не проще ли просто у себя на фаере резануть входящий траф с длинка?
Дефолтные акки ессно перепробовал. На тему брута - мне реально прощще убить полдня пролазив по крышам с ноутом, и отследить его по маку... снифать не получится, через мну гуляет тока то-что наружу (в инет) идет... остоальное по свичам... а на тему фаервола - трабл не у меня, а у других криворуких узверей.. мне енто дхцп побоку...
свичи управляемые, и на них даже можно маки посмотреть... даже по портам... но енто все вручную... и при учете что с ентой точки лазали на локальные какие-то сайты\фтпшнеги\еще_куда-то ентот мак запалился на половине свичей... теоретически отследить все енто можно но опять-же перелопачивать вручную две сотни свичей нехоцца... плюс потом переписывать с какова на какой порт, и вычислять что откуда пришло Я ненастолько люблю графы =)
если свитчи управляемые мак этот будет в arp таблице только одного свитча. Мак этого клиента дальше своего свитча не уйдет ибо дальше пакет летит с ип клиента и маком свитча. Если все свитчи одинаковые то вычислить где мак можно при помощи snmp+perl (могу помочь если что). 200 коммутеров опросит за 3-5 минут (если без многопоточности)
а вот и нет =) во первых енти свичи арп таблицы по снмп не раздают, во вторых енто хитровые*анные оптические свичи (swh 2109f) которые ентот мак палят на оптическом порту... т.е. почти на всех свичах мак висит на 9-м порту (оптика) и тока у одного на эзернете (собсно где оно подключено) если интересно, я дам вывод snmpwalk, но ниче похожего на арп таблицы я не нашел...
не вопрос ))))) мона заюзать вместо snmp telnet в связке с тем же перлом ))))) мона и по snmp тока игнорировать оптические порты. А snmpwalk может и не все показать, надо гуглить MIB на это железо, уверен что можно и по snmp выгрузить arp таблицу. А потом резануть на свитче этого чела аксесс-листом подобного рода трафф (dhcp) или если есть врубить защиту от dhcp-spoofing ??? Кстати тут такая дикая идея )))) а не получиться ли для определения ip заюзать RARP например организовав бродкаст запросик????
гм.. енто уже интересно... седня вечером загуглю на тему МИБ"ов... с перлом не дружу, но привык обходится связкой grep\sed\awk с обработкой я думаю проблем не будет... с устранением впринципе тоже - тупо вырубается порт на свиче... На тему RARP тоже интересно, обязательно попробую, но имхо не прокатит, ибо wan\lan физически разные интерфейсы... он скорее всего вернет 192.168.0.1... который собсно и раздает... дело еще осложняется десятком "потерянных" свичей которые наши, но ащще х\з где, и х\з каки на них логопассы, темнеменее ип у них дефолтный =) тот-же гребанный 192.168.0.1 =)