Мы с шефом терпели терпели, голову ломали ломали, не смогли сломать. Мне "знающие" люди говорят:"мля чувак, да чё ты паришь, в это обеденое время юзеров до...., вот скорость и падает (следующий аргумент вообще в учебники занести нужно) америкосы просыпаются и в нет лезут, вот тебя на comовские сайты и не пускает. Короче помощи я не дождался. Провайдеру ясно звонили, но он, будучи существом ленивым, помогать отказался:" У Вас всё работает(это он сидя у себя в конуре попалил, что у меня всё в поряде), ищите проблему в своюм компьютере.
Нас это заи... мы всё же этому наглому существу на уши сели конкретно, просили помочь, в случае удачного разрешения проблемы, сулили барыши.
Приехал крендель, покапался, подумал, поматерился, сделал вывод: "Вас подсиживают". А мы мать перемать, заи... гадать, куда нах по 100 мегов трафика в день уходит. "Чё делать?" говорим. А он: " сейчас ничего поделать не реально. Мы сейчас устанавливаем у себя спец оборудование, которое поможет вам и вам подобным избежать подобных проблем, но до тех пор терпите, крепитесь, платите. А ща я вам IP адресок и мак адреса поменяю, какое-то время всё будет путём, пока он вас снова не вычислит". "Спасибо!" говорим, "Как ах.... та нам помог! иди на ....!!!"
Ну реально 3 месяца проблем не было. Вчера опять началось. Время 13.00 инет начал подглучивать. в 15.00 отказался работать вообще. Я пошёл в магаз, покурили, думал заработает. Прихожу - нет! Звоню провайдеру, объясняю ситуацию, напоминаю ему эпизод трёхмесячной давности. А барышня мне:"Вы за последние 40 мин. в NETе сидели?". "Нет" говорю, "курил я". А она:"за сорок минут - сорок мегов накачали!"
Потом были звонки, скандалы, слюной весь офис забрызгали:"Найду! Убью! Сцука!" А реально помочь нам наш провайдер не может. А ведь это его обязаность, обеспечить бесперебойный доступ в интернет. А мы не то, что работать не можем (нет нужен как воздух - постоянная переписка), мы ещё и платим за пид.... всяких! НАХ!!! Они конечно пообещали, что в ближайшем будущем, то самое волшебное оборудование запустят в эксплуатацию, но всё равно, этого гадкого крота, оно поймать не поможет, а лишь не допустит вмешательства хакеров. А нам с шефом очень хочется найти это ... и объяснить ему всю ситуацию.
Есть специалисты? Как? Самое главное: как раз и на всегда отучить пи.... воровать наши деньги, наше время и нервы?!
Тогда сразу много встречных вопросов...
Какой провайдер? Каким образом осущетсвляется доступ в интерент, то есть ADSL, радиоканал, спутник или еще как-то?
А то получается, что вы спрашиваете, как пойти морду набить? Или какую гадость заслать ворам, предварительно их вычислив? А вы не задумались, что кто-то просто из вашей конторы сидите в инете и все? Сколько человек пользуется интернетом в конторе? Каким образом раздаете входящий инет по пользователям конторы? Какие ограничения делаете...?
А то у вас какая-то претензия в форме "за жизнь поговорить охота, но не с кем"...
Дальше, допускает другой вариант: Кабель от прова идет на управляемый хаб, через который подключено все здание. Значит от хаба к вам идет ОДИН шнур к Вам - тут врубиться никак не получиться, следовательно - кто-то имеет доступ к самому хабу прова. Это может быть даже сам системщик, который сидит в конторе :) - Или же, любой другой человек, который находиться в ВАШЕМ здании, взломавший пароль этого хаба и имеет соответсвенно к нему доступ. Через некоторое время уме ествественно удается отследить ВАШ Мак и Айпи адрес и перебить его на себя.
Что самое интересное - Поймать этого засранца по любому можно.
Первое: Он точно в Вашем Здании.
Второе: Сидит в конторе у Прова.
На счет Вашего здания: Обходите все конторы и запишите их Ай-Пи адреса - это касается всего здания и всех организаций, который сидят через ВАШ хаб, от которого идет кабель в Вашу котору. После этого, звоните прову и выясняйте - какие Айпи сидят в данный момент. Если все сошлось, то ОК - дальше останеться только найти лишний кабель, который и идет к компу обидчика.
.......Самый последний вариант - Это Ваш Сотрудник.
ЗЫ. ADSL - интернет к этому не относиться.
Если да, проверье телефонный шнур :) ну и сотрудников, которые включены в Вашу сеть.
Ну и мои коллеги уже сказали тебе о фаерволлах ...
| QUOTE |
| Чего-то не совсем понятно, чего именно вы хотите? |
Человек хочет найти ответ на 2 вопроса: как и кто.
| QUOTE |
| Ва подсказать с помощью какого программного или аппаратного обеспечения можно контроллировать ваш траффик? |
в том то и дело, что его трафик разнится с трафиком провайдера. никакое программное обеспечение со стороны клиента не поможет.
| QUOTE |
| Какой провайдер? |
вы знаете полный список провайдеров которые не умеют сопоставлять mac и ip адреса?
| QUOTE |
| Каким образом осущетсвляется доступ в интерент, то есть ADSL, радиоканал, спутник или еще как-то? |
в любом из перечисленных Вами способов подключения такая ситуация возможна.
| QUOTE |
| А то получается, что вы спрашиваете, как пойти морду набить? Или какую гадость заслать ворам, предварительно их вычислив? |
возместить ущерб. а почему бы и не поговорить с гаденышем? мне, например, приятно когда мне кто-то должен:))
| QUOTE |
| А вы не задумались, что кто-то просто из вашей конторы сидите в инете и все? |
у меня в конторе 50 человек и все сидят в инете. нагрузка, не спорю, за сутки перераспределяется, но не на столько как с его "тройкой" компьютеров.
| QUOTE |
| Каким образом раздаете входящий инет по пользователям конторы? |
по локальной сети. или есть другие варианты?
| QUOTE |
| Какие ограничения делаете...? |
хоть делай хоть не делай - порноресурсы в трафике доминируют и будут доминировать. (70% - моя статистика кстати сходится с общественной)
| QUOTE |
| А то у вас какая-то претензия в форме "за жизнь поговорить охота, но не с кем"... |
а то у вас желание - ответить надо, но некому...
Велла, это не наезд, а простое желание, чтобы люди не гнули пальцы, а подходили к проблемам других с пониманием.
Золотой МедвеД
тебе остается ждать когда твой провайдер установит у себя новое оборудование. способы найти урода конечно есть (технически со стороны провайдера), но думаю лучше ими не пользоваться. здоровее будешь. или меняй провайдера. в моей практике были аналогичные ситуации и провайдер всё это решил. а претензию прову ты вставить вправе только основываясь на твой договор с ним. но это уже другая история.
удачи
Это сообщение отредактировал ForesterAD - 21-04-2006 - 12:42
| QUOTE (ForesterAD @ 21.04.2006 - время: 02:19) |
| вы администратор этой фирмы? если да то: купите реальный ip адрес, поставте линукс и через не распределяйте интернет. пока ваш пров удасжится поставить защиту вы на траике потеряете больше денег чем стоит машина под линукс. можно пойти ещ более сложно, но надёжней+ плюс сами смжете рулить доступом на сайты (по поводу того что сайтов к которым надо заприщать доступ милионы... существуют форумы на которых списки выкладывают, плюс ко всему, порно сайты как правило хостятя у определённых ппровайдеров. вообщем это не сложно на самом деле, практика показала что через месяц поток новы поро и прочих левых сайтов скатывается к одному десятку) линукс+ машина под програму сурфкнтрол (или подоный софт, который без клиента свег оне пускает в инет) хотя такое можно сделать и а линуксвовй машине. PS это всё личный опыт (в офисе было 120 машин и проблема была поожая воровство+недобросовстнось сотрудников) |
Уважаемый! Попрошу Вас впредь писать обычным языком, без грамматических ошибок! Уважайте себя и тех, кто читает Ваши посты!
да мне пофиг уважаемый. и пишу я как хочу, а вернее как позволяет клавиатура при быстрой печати.
а по поводу уважения или нет.. так вы сами не уважаете себя, когда публично делаете замечания на манер взрочлого дядюки.
пис
| QUOTE (softself @ 20.04.2006 - время: 14:53) | ||
в любом из перечисленных Вами способов подключения такая ситуация возможна. |
А ссылочку можно на технические подробности на врезку в ADSL?
2. Настройте на маршрутизаторе (Windows или Unix один фиг) роутить только свою подсетку. Лимитируйте размер сети установкой маски и контролируйте через обычную консоль наличие "посторонних" адресов.
3. С провайдером решите проблему методом установки подключения через PPPoE, это решит все проблемы "врезки" и сторонних подключений вне офиса.
3. Если радиоканал, то поможет обращение в милицию и последующее проведение оперативно-розыскных мероприятий, кстати требующих нефигового оборудования. Вылечить это можно только так, так как все существующее шифрование взламывается на ура. Милиция, по собственному опыту, за такие дела берется с воодушевлением, у нас последнее время модно хакеров ловить и сажать. И ущерб возместите. Меня тоже тут хакают постоянно дети всякие. Ловим. :) Одна проблема от таких уродов - резкое возрастание количества левых пакетов. Впрочем моему маршрутизатору это пофиг, но малой сети это может стать надгробным памятником.
Все остальные проблемы решаются с помощью визуального контроля витой пары в сети.
На телефонные сопли повесить трафик можно или имея доступ к локальной сети, или у провайдера, или через открытый прокси.
На самом деле не заморачивайтесь, тут как никогда милиция вам поможет. И провайдера проверят, благо черные ящики у всех стоят, и вам помогут.
Схема применяемая провами для биллинга обычно основана на параметрах аутентификации и не привязывается к конкретным IP. Таким образом, если пароль украден, то под вашим именем могут войти и из соседнего подъезда и из другого квартала с равным успехом.
Вопрос только в том, каким образо крадется пароль. Тут возможны варианты:
1. Перебором.
2. Злоумышленник имеет доступ к БД прова. Например работает у него.
3. Злоумышленник каким-то образом получил доступ к паролю на прокси-сервере и украл его.
В первых двух случаях однозначно поможет "Управление Р" ФСБ.
В третьем случае надо разобраться со своими проблемами. Либо вам подсадили червячка, который ломает пароли и передает их на внешние адреса (был у меня такой случай - на 5 Гигов попали). Либо кто-то крысятничает из своих.
Поэтому нужно тщательно запереть все неиспользуемые порты по TCP и UDP на внешнем интерфейсе. Особенно это касается TCP-139 (NetBIOS) - любимая лазейка хакеров. Ну и провести некоторую работу среди своих. Только следует учесть, что сам этот человек может во время использования чужаком вашего логина спокойно сидеть в конторе, а юзать доступ будет совсем другой человек, которому пароль он подарил или продал.
| QUOTE (GrAnd @ 26.04.2006 - время: 15:31) |
| Схема применяемая провами для биллинга обычно основана на параметрах аутентификации и не привязывается к конкретным IP. |
Есть такая фраза, что "реально помочь нам наш провайдер не может" и "ссылочку можно на технические подробности на врезку в ADSL". Сильно сомневаюсь, что ради халявной сотни вечнозеленых люди используют для врезки комплекс оборудования с мультиплексором и прочей белибердой. Так что исключаю возможность врезки в линию как фантастическую. Покупать оборудование за кубометры вечнозеленых, чтобы тырить трафик на сотню??? Гыгы. Как вариант, можно купить себе ADSL модем, благо копейки стоит, и врезаться в телефонную линию для идентификации по номеру телефона, или же там персонал провайдера сплошные лохи, что не могут клиентскую точку определить. Вообще технология ADSL подразумевает, что на АТС ТОЧНО знают, кто на второй стороне. Имхо врезка. Или провайдер - чудак на букву м. Или как я описал выше.
| QUOTE (GrAnd @ 26.04.2006 - время: 15:31) |
| однозначно поможет "Управление Р" ФСБ. |
При чем тут ФСБ? Это зона ответственности милиции.
2) если PPPoE и у инет провайдера тупое оборудование, а у взломщика стоит умный роутер, то он спокойно сможет заглушить сигнал вашего компа. И конфликта мак и ип адресса не вылезет.
3) у админа кривые руки, какое соединение не было бы можно легко посмотреть по сессиям, при помощи той же самой путти, если они (админы), не умеют пользоваться линуксом.
4) меняйте провайдера.
5) оператор колл центра это не админ =) и ненадо их так сильно завышать. и мантажников тоже админами называть не стоит. )))
Это сообщение отредактировал erm1k - 26-04-2006 - 16:31
| QUOTE (GrAnd @ 26.04.2006 - время: 15:31) |
| Таким образом, если пароль украден, то под вашим именем могут войти и из соседнего подъезда и из другого квартала с равным успехом. Вопрос только в том, каким образо крадется пароль. |
Я бы очень сильно хотел бы посмотреть как при жесткой привязке Логина к ип адрессу и с привязкой по маку, кто-либо смог бы войти, хотя бы, из другого сигмента.
| QUOTE (erm1k @ 26.04.2006 - время: 17:38) |
| Я бы очень сильно хотел бы посмотреть как при жесткой привязке Логина к ип адрессу и с привязкой по маку, кто-либо смог бы войти, хотя бы, из другого сигмента. |
А кто сказал, что обязана существовать привязка логина к IP и к MAC? Это две очень большие разницы и делаются они совершенно разными серверами, которые могут и не знать друг о друге.
Рассмотрим следующие возможные случаи распределения IP:
- Простое динамическое распределение IP.
Обычно применяется при Dial-Up. В этом случае никакой привязки к MAC-адресу модема не производится. Этот MAC-адрес пров и знать не хочет, потому что модемы каждый покупает для себя сам. Разумеется, прокся тоже не знает MAC и привязки по нему сделать не может. IP ей тоже не известен, т.к. он динамический и переменный. - Динамическое распределение с резервированием.
Наиболее часто применяемый сейчас способ. В этом случае DHCP производит резервирование IP за конкретными MAC. Самый простой способ исключить подключение к сетям чайников слева. Но ведь ROM-BIOS некоторых сетевух можно перепрограммировать вместе с изменением их MAC.
По идее, при резервировании можно в проксе указать, что такой-то логин может входить исключительно с определенного MAC, либо с конкретного IP, который к нему привязан. И то, если прокся обладает такими возможностями. Но многие ли админы провов заморачиваются этим? - Статические IP.
Если DHCP имеет область исключенную из динамического распределения, то в этом случае можно просто забить на компе некий статический адрес из этой области. При этом одним IP можно пользоваться и из различных физически разнесенных участков сети (не одновременно, конечно). Правда, такое не всегда приветствуется, ибо может негативно сказаться на своевременном обновлении таблиц динамической маршрутизации на магистральных маршрутизаторах. Тем не менее, в небольших сетях без динамической маршрутизации такой подход возможен.
В этом случае даже привязка на проксе логина к IP не поможет. А MAC, как я уже писал, можно и подделать.
Так вот ... Из этой второй сети приполз червячок (не закрыл я TCP#139 - понадеялся на авось) и перезаражал все компы под Win2K/XP в сетке. Кроме расползания, он взламывал пароли доступа к VPN и куда-то их передавал. Причем, в черте города - в сфере деятельности сетей второго прова. Я его и обнаружил в основном потому, что канал на первого прова сел. Он же не разбирался, через какой шлюз слать данные и слал через первичный. Забил канал так, что пробиться было невозможно. Червячка я задавил, порты прикрыл, но через месяц заметил что в счете по второму прову фигурирует несколько высокая сумма. Сначала я не придал этому значения, но в следующие 2 месяца сумма за внешний трафик еще выросла многократно, хотя внешним Инетом с этого шлюза как раз и не пользовались уже.
Сообщили прову, он определил, что логином и паролем пользуются с другого IP. Но так как сам оперативных мероприятий выполнять не может, то обратился в ФСБ. Но немного поздно. Этот гад просек фишку и затаился. Так что уже полгода ждут, как бы поймать его на горячем. А иначе что-либо доказать проблематично.
Как мне объяснили ребята второго прова, аутентификация доступа к VPN у них производится только по логину/паролю и привязать ее к IP возможности нет. Тем более к MAC, т.к. прокся находится вообще в другом сегменте. Пришлось просить их вообще заблокировать для этого логина доступ к внешнему Инету.
Меняй провайдера и своего админа.
| QUOTE (ForesterAD @ 21.04.2006 - время: 13:43) |
| а больше сказать нечего? да мне пофиг уважаемый. и пишу я как хочу, а вернее как позволяет клавиатура при быстрой печати. а по поводу уважения или нет.. так вы сами не уважаете себя, когда публично делаете замечания на манер взрочлого дядюки. пис |
За нарушение правил форума и пререкания с модератором обявляю вам предупреждение
| QUOTE (Золотой МедвеД @ 11.05.2006 - время: 23:02) |
| Это точно не свои, ибо в нашей конторе кроме меня и шефа нет никого (в офисе). Всем огромное спасибо за советы. Скорее всего сменим провайдера, если данная ситуация повтиорится снова, пока затишье, уже недели 3 наверно. |
Уважаемый, не могли бы подробнее описать проблему (софт, оборудование etc). А то советов накидали... общих. Мне самому интересно стало, как в таких объемах траф можно тырить
| QUOTE |
| (софт, оборудование etc) |
я не специалист. что конкретно интересует. какое оборудование? Вы скажите, я выясню.
| QUOTE (Золотой МедвеД @ 31.05.2006 - время: 10:11) | ||
я не специалист. что конкретно интересует. какое оборудование? Вы скажите, я выясню. |
Ну, грубо говоря, каким макаром в тырнет вылезаете? Тройка компов подключена к выделенному серверу? Сервер через какую железяку в сеть лезет? Какая операционка на сервере стоит (линухи, фря, а может виндузы)? В таком роде. А то тут рассуждаем, а потом окажется модемный пул на старой четверке с 98 окошками (смайл)
2. Celeron 2.4
3. XP
4. "Procenter" провайдер
| QUOTE (Золотой МедвеД @ 02.06.2006 - время: 10:44) |
| 1. 3 компа - выделенка 2. Celeron 2.4 3. XP 4. "Procenter" провайдер |
То есть есть комп с установленной WindowsXP (надеюсь, про), подключенный к выделенной линии. Этот комп выполняет роль сервера. К нему подключены три рабочих станции.
Еще нужно уточнить:
1. Кабель от провайдера воткнут прямо в сервер или в какой-то девайс, а уже от него в сервер?
2. В сервере две сетевых карты или одна? Если одна, то какой хаб/свич и т.д. используется?
| QUOTE |
| Меняй провайдера и своего админа |
Эм... а сколько получает админ у вас ? А то может и я сгожуся ^^
Сорр за офф топ =)
А самый оптимальный вариант - посадит за комп нормального человека, на сутки и пусть по следит за потоком трафика. А сходу сказать ни чего не возможно, т.к. тут понадовали советов, а действительность может оказаться совсем в другом - Вечером домой пришел человек, врубил кмоп, а он у него начинает флудить, и соответственно, в лудшем случае падает скорость ....
Это сообщение отредактировал erm1k - 05-06-2006 - 19:33
| QUOTE (erm1k @ 05.06.2006 - время: 19:29) | ||
Эм... а сколько получает админ у вас ? А то может и я сгожуся ^^ |
Кстати, да.
Насколько я понял, админ в данном случае отсутствует как класс. И здесь в первую очередь я бы вызвал хоть студента какого с мозгами, проверить и настроить тот комп под ХР, что роль сервера выполняет. А то возможны самые интересные варианты. Ну, например, прокси-сервер из него чья-то добрая душа организовала :) И лучше будет, если тот студент на "сервере" вместо ХР линукс или фрюБСД развернет. Заодно и исключит вариант "своего" (внутри контоы) траффожора.
И по мозгам прову настучать тоже не мешает, ибо вполне возможно, его проблемы.
В общем, ждем уточнений
| QUOTE (GrAnd @ 26.04.2006 - время: 15:31) |
| Прежде всего обращает на себя внимание тот факт, что после смены пароля траблы на какое-то время притухли. Значит, злоумышленник находится не в вашей конторе. Если бы он находился в ней, то ему все эти замены были-бы безразличны. Кроме того, раз трафик, засеченный провом и конторой разнятся, то однозначно это кто-то посторонний. Схема применяемая провами для биллинга обычно основана на параметрах аутентификации и не привязывается к конкретным IP. Таким образом, если пароль украден, то под вашим именем могут войти и из соседнего подъезда и из другого квартала с равным успехом. Вопрос только в том, каким образо крадется пароль. Тут возможны варианты: 1. Перебором. 2. Злоумышленник имеет доступ к БД прова. Например работает у него. 3. Злоумышленник каким-то образом получил доступ к паролю на прокси-сервере и украл его. В первых двух случаях однозначно поможет "Управление Р" ФСБ. В третьем случае надо разобраться со своими проблемами. Либо вам подсадили червячка, который ломает пароли и передает их на внешние адреса (был у меня такой случай - на 5 Гигов попали). Либо кто-то крысятничает из своих. Поэтому нужно тщательно запереть все неиспользуемые порты по TCP и UDP на внешнем интерфейсе. Особенно это касается TCP-139 (NetBIOS) - любимая лазейка хакеров. Ну и провести некоторую работу среди своих. Только следует учесть, что сам этот человек может во время использования чужаком вашего логина спокойно сидеть в конторе, а юзать доступ будет совсем другой человек, которому пароль он подарил или продал. |
Полностю согласен.Добаветь могу только одно ставте файрвал на уровне железа...
Похоже, что у автора уже либо все выпили и съели, либо все нормально. Так что закрываю.