Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest piątek, 4 lipca 2025, 13:31

Posty bez odpowiedzi | Aktywne tematy


Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  Strona 1 z 1
  [ Posty: 6 ] 
  Podgląd wydruku Poprzedni temat | Następny temat 
Autor Wiadomość
orion
Post: środa, 21 listopada 2007, 21:00 
Offline

Rejestracja: środa, 28 marca 2007, 10:36
Posty: 93
Lokalizacja: Białystok
Ostatnio przyglądałem się logom ip-sentinela i w ip-sentinel.out mam masę bardzo dziwnych wpisów, np.:
: [/] [] ()
2007-11-12 09:41:16: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.182/0:0:0:0:0:0 [1:80:c2:0:0:1]
2007-11-12 09:41:17: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.185/0:0:0:0:0:0 [1:80:c2:0:0:1]
2007-11-12 09:41:17: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.186/0:0:0:0:0:0 [1:80:c2:0:0:1]
2007-11-12 09:41:17: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.187/0:0:0:0:0:0 [1:80:c2:0:0:1]
2007-11-12 10:04:38: 192.168.0.132/0:6:5b:yy:yy:yy -> 192.168.0.4/0:0:0:0:0:0 [1:80:c2:0:0:1]
2007-11-12 10:04:38: 192.168.0.132/0:6:5b:yy:yy:yy -> 192.168.0.5/0:0:0:0:0:0 [1:80:c2:0:0:1]
2007-11-12 10:04:38: 192.168.0.132/0:6:5b:yy:yy:yy -> 192.168.0.6/0:0:0:0:0:0 [1:80:c2:0:0:1]
2007-11-12 10:04:38: 192.168.0.132/0:6:5b:yy:yy:yy -> 192.168.0.7/0:0:0:0:0:0 [1:80:c2:0:0:1]
..........
2007-11-12 10:04:39: 192.168.0.132/0:6:5b:yy:yy:yy -> 192.168.0.104/0:0:0:0:0:0 [1:80:c2:0:0:1]
2007-11-12 10:04:39: 192.168.0.132/0:6:5b:yy:yy:yy -> 192.168.0.113/0:0:0:0:0:0 [1:80:c2:0:0:1]
2007-11-12 10:04:39: 192.168.0.132/0:6:5b:yy:yy:yy -> 192.168.0.120/0:0:0:0:0:0 [1:80:c2:0:0:1]
2007-11-12 10:06:36: 192.168.0.52/0:b0:d0:zz:zz:zz -> 192.168.0.20/0:0:0:0:0:0 [1:80:c2:0:0:1]
2007-11-12 10:07:18: 192.168.0.52/0:b0:d0:zz:zz:zz -> 192.168.0.20/0:0:0:0:0:0 [1:80:c2:0:0:1]
2007-11-12 10:07:58: 192.168.0.52/0:b0:d0:zz:zz:zz -> 192.168.0.20/0:0:0:0:0:0 [1:80:c2:0:0:1]
2007-11-12 10:08:39: 192.168.0.52/0:b0:d0:zz:zz:zz -> 192.168.0.20/0:0:0:0:0:0 [1:80:c2:0:0:1]
2007-11-12 10:09:20: 192.168.0.52/0:b0:d0:zz:zz:zz -> 192.168.0.20/0:0:0:0:0:0 [1:80:c2:0:0:1]
2007-11-12 10:12:35: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.4/0:0:0:0:0:0 [1:80:c2:0:0:1]
2007-11-12 10:12:35: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.5/0:0:0:0:0:0 [1:80:c2:0:0:1]
2007-11-12 10:12:35: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.6/0:0:0:0:0:0 [1:80:c2:0:0:1]
2007-11-12 10:12:35: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.7/0:0:0:0:0:0 [1:80:c2:0:0:1]
..........
2007-11-12 10:12:45: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.102/0:0:0:0:0:0 [1:80:c2:0:0:1]
2007-11-12 10:12:46: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.106/0:0:0:0:0:0 [1:80:c2:0:0:1]
2007-11-12 10:12:46: 192.168.0.52/0:b0:d0:zz:zz:zz -> 192.168.0.20/0:0:0:0:0:0 [1:80:c2:0:0:1]
2007-11-12 10:12:46: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.108/0:0:0:0:0:0 [1:80:c2:0:0:1]
..........
2007-11-12 10:12:54: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.183/0:0:0:0:0:0 [1:80:c2:0:0:1]
2007-11-12 10:12:54: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.188/0:0:0:0:0:0 [1:80:c2:0:0:1]
2007-11-12 10:12:54: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.189/0:0:0:0:0:0 [1:80:c2:0:0:1]
GeSHi © Codebox Plus

Generalnie wygląda jakby różne komputery zaczęły zmieniać adresy IP, które mam poustawiane na sztywno. Część szalejących kompów ma XP, część Win98. Występujące w logu komputery sprawdziłem dokładnie na obecność wirusów i spyware'u i nic nie znalazłem. Wygląda mi to na feler ip-sentinela, stąd pytanie: czy ktoś miał coś podobnego u siebie ??
Na górę
 Wyświetl profil  
 
pectosol
 Tytuł:
Post: czwartek, 22 listopada 2007, 02:48 
Offline
Użytkownik

Rejestracja: niedziela, 9 kwietnia 2006, 10:14
Posty: 316
nie nie miałem.
... miałem natomiast różne takie wpisy jak ktoś dodawał jakieś nieautoryzowane użądzenia do sieci.
Np AP, bramkę voip, lub próbował uruchamiać serwer DHCP.

Takie logi mogą również świadczyć jak ktoś próbuje snifować sieć...
Na górę
 Wyświetl profil  
 
orion
 Tytuł:
Post: czwartek, 22 listopada 2007, 17:16 
Offline

Rejestracja: środa, 28 marca 2007, 10:36
Posty: 93
Lokalizacja: Białystok
pectosol pisze:
nie nie miałem.
... miałem natomiast różne takie wpisy jak ktoś dodawał jakieś nieautoryzowane użądzenia do sieci.
Np AP, bramkę voip, lub próbował uruchamiać serwer DHCP.
Czy miałeś wpisy tego typu, czy ogólnie jakieś anomalie w logach jak klienci wpinali do sieci jakieś urządzenia ?? Niektóre wpisy są co mniej niż sekundę, więc nie wygląda mi na ręczne zmienianie IP.

pectosol pisze:
Takie logi mogą również świadczyć jak ktoś próbuje snifować sieć...
Hmm, jeśli to któryś z tych adresów IP występujących w logach to szczerze wątpię bo szczytem możliwości użytkowników tych komputerów jest odpalenie przeglądarki internetowej. Poza tym gdzie się tylko dało poustawiałem w switchach limity MAC adresów na port.
Na górę
 Wyświetl profil  
 
tomek_n
 Tytuł:
Post: piątek, 23 listopada 2007, 00:54 
Offline

Rejestracja: wtorek, 27 września 2005, 17:13
Posty: 13
Lokalizacja: Krotoszyn
Ja miałem takie wpisy, lecz rozbierając problem na częsci pierwsze dałem temu spokój :x Częstotliwość występowania u mnie to około 7 wpisów na miesiąc :oops: Jednak głowy nie dam sobie uciąć za userów. Napaleni ssacze czego tylko popadnie :lol:
Na górę
 Wyświetl profil  
 
orion
 Tytuł:
Post: poniedziałek, 31 marca 2008, 17:31 
Offline

Rejestracja: środa, 28 marca 2007, 10:36
Posty: 93
Lokalizacja: Białystok
Odgrzewam, ale może komuś się przyda. Dziwne komunikaty w logach są spowodowane przez samego ip-sentinela. Problemem jest występowanie masek (nawiasy klamrowe z zakresem oktetu adresu IP) w pliku ips.cfg. Napisałem skrypt generujący plik ips.cfg w ten sposób, że w nieużywanych IP powpisywałem pseudolosowe (ale nieistniejące) MAC adresy, np.:
192.168.1.9@!AB:BA:00:01:AF:15
Po takiej akcji od pół roku w logach nie ma żadnego śmiecia.
Na górę
 Wyświetl profil  
 
tomek_n
 Tytuł:
Post: wtorek, 1 kwietnia 2008, 11:11 
Offline

Rejestracja: wtorek, 27 września 2005, 17:13
Posty: 13
Lokalizacja: Krotoszyn
dzięki orion przyda się :)
Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  Strona 1 z 1
  [ Posty: 6 ] 

Indeks witryny » NND » Instalacja i konfiguracja (NND)

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 28 gości

Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl