[14:51:21] | sunny1983: Ну если абстрактную задачу никто не понимает - вот вам к

1. [14:51:21] | sunny1983: Ну если абстрактную задачу никто не понимает - вот вам конкретика:
2. Пример 1: Есть железка, изветно что зайти на неё можно через admin-admin, но неизвестен ip. Подключаю железку к сетевой карте, смотрю на её MAC, через arp вычисляю IP, зная MAC, потом назначаю сетевой карте ip из той же подсети и успешно захожу на железку.
3. Пример 2. Есть сеть на неуправляемых свитчах, причём в сети не только компы, но и различное активное сетевое оборудование, каким-то хостам ip не назначен, работает на 2 уровне. Задача - обнаружить всех, в первую очередь нарушителей.
4. [14:51:43] | stanislavv: п.2 - arpwatch в помощь.
5. [14:52:12] | sunny1983: Одной командой, оп - и всех вижу.
6. [14:52:12] | stanislavv: п.1 - а хрен ты узнаешь ип, если железка не отвечает на броадкастовые пинги.
7. [14:52:27] | stanislavv: Одной командой... Ню-ню...
8. [14:53:06] | Civilian: stanislavv: ну всегда можно сделать скрипт на 100500 строк и вызывать его одной командой :)
9. [14:53:11] | Civilian: и оп может занимать до часа )
10. [14:53:15] | Civilian: напримре
11. [14:53:16] | stanislavv: Тут только следить за трафиком. И то хрен ты обнаружишь железку, если она не отвечает.
12. [14:54:47] | Civilian: именно
13. [14:58:30] | cat3: хм, полез в "компьютерные сети" таненбаума, чтоб посмотреть, что на этот счёт сказано, но не вижу даже упоминания ARP
14. [14:59:49] | Civilian: cat3: лучше лезть в Illustrated Network :)
15. [15:00:10] | cat3: прошёлся по книжной полке, нашёл ничего полезного. Откуда я знаю про arp?..
16. [15:00:47] | Civilian: очевидно - не из книг )
17. [15:01:12] | cat3: а, я же читал про это в лекциях цисок.
18. [15:01:49] | stanislavv: Хм... Нет под рукой электронной копии, но вроде в красном кирпиче было.
19. [15:02:32] | cat3: можно спросить бродкастом "у кого тут адрес %ип%", можно представиться самому (gratious arp, если прально помню)
20. [15:02:49] | cat3: другое - только подсматривать в проходящих/приходящих пакетах
21. [15:04:01] | cat3: ещё помню, коммутаторы пересылают фрейм на все порты (кроме порта, с которого фрейм получен) если в таблице ещё нет записи для нужного MAC'а
22. [15:04:17] | cat3: пока не представляю решения задачи sunny1983
23. [15:04:27] | cat3: stanislavv: что за кирпич?
24. [15:04:47] | stanislavv: Дык "Руководство системного администратора Unix"
25. [15:04:56] | cat3: эви немет которое?
26. [15:04:58] | stanislavv: оно
27. [15:05:07] | stanislavv: второе издание, если правильно помню
28. [15:05:12] | cat3: 4-е издание синенькое с:
29. [15:05:23] | stanislavv: Это уже извращения
30. [15:05:40] | cat3: и в содержании и предметном указателе нет ARP
31. [15:06:40] | stanislavv: Хм... Тады тоже не помню, откуда помню про арп...
32. [15:07:00] | stanislavv: cat3: а про ethernet и ip есть?
33. [15:07:28] | cat3: есть конечно
34. [15:07:58] | cat3: сказано, что ethernet настраивается автоматически (вроде ещё сказано, как помигать диодом на определённой карте, чтобы её узнать)
35. [15:08:06] | cat3: ethtool упомянут
36. [15:14:23] | sunny1983: Мне всегда казалось, что от админа спрятать ничего нельзя. Получается, что можно. Допустим шпионское устройство, которое работает на 2 уровне и настроено не отвечать на броакастовый пинг.
37. [15:15:04] | cat3: sunny1983: с этим тоже можно бороться
38. [15:15:39] | stanislavv: Если оно знает арп шлюза и при этом 1) ты слушаешь не на шлюзе, 2) у тебя тупой свитч, 3) посылает пакеты только через шлюз - хрен ты отыщешь.
39. [15:17:38] | sunny1983: Другой вариант, спрятать что-то не в сети, а на конкретном сервере. Админ1 ставил сервер на линуксе, потом уволился и сервер был передан админу2. У админа1 есть много способов спрятать шпионскую программу от админа2, чтобы он её месяц не мог найти.
40. [15:18:35] | cat3: ещё и бекдор пожно прошить в сетевое оборудование, и слушать всё
41. [15:21:44] | stanislavv: sunny1983: всё так. IDS на шлюзе может помочь, но тоже не панацея.