Ja miałem takie wpisy, lecz rozbierając problem na częsci pierwsze dałem temu spokój
Częstotliwość występowania u mnie to około 7 wpisów na miesiąc 
Jednak głowy nie dam sobie uciąć za userów. Napaleni ssacze czego tylko popadnie 
| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Pytanie do użytkowników ip-sentinela http://forum.freesco.pl/viewtopic.php?f=22&t=16254 |
Strona 1 z 1 |
| Autor: | orion [ środa, 21 listopada 2007, 21:00 ] |
| Tytuł: | Pytanie do użytkowników ip-sentinela |
Ostatnio przyglądałem się logom ip-sentinela i w ip-sentinel.out mam masę bardzo dziwnych wpisów, np.: 2007-11-12 09:41:16: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.182/0:0:0:0:0:0 [1:80:c2:0:0:1] 2007-11-12 09:41:17: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.185/0:0:0:0:0:0 [1:80:c2:0:0:1] 2007-11-12 09:41:17: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.186/0:0:0:0:0:0 [1:80:c2:0:0:1] 2007-11-12 09:41:17: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.187/0:0:0:0:0:0 [1:80:c2:0:0:1] 2007-11-12 10:04:38: 192.168.0.132/0:6:5b:yy:yy:yy -> 192.168.0.4/0:0:0:0:0:0 [1:80:c2:0:0:1] 2007-11-12 10:04:38: 192.168.0.132/0:6:5b:yy:yy:yy -> 192.168.0.5/0:0:0:0:0:0 [1:80:c2:0:0:1] 2007-11-12 10:04:38: 192.168.0.132/0:6:5b:yy:yy:yy -> 192.168.0.6/0:0:0:0:0:0 [1:80:c2:0:0:1] 2007-11-12 10:04:38: 192.168.0.132/0:6:5b:yy:yy:yy -> 192.168.0.7/0:0:0:0:0:0 [1:80:c2:0:0:1] .......... 2007-11-12 10:04:39: 192.168.0.132/0:6:5b:yy:yy:yy -> 192.168.0.104/0:0:0:0:0:0 [1:80:c2:0:0:1] 2007-11-12 10:04:39: 192.168.0.132/0:6:5b:yy:yy:yy -> 192.168.0.113/0:0:0:0:0:0 [1:80:c2:0:0:1] 2007-11-12 10:04:39: 192.168.0.132/0:6:5b:yy:yy:yy -> 192.168.0.120/0:0:0:0:0:0 [1:80:c2:0:0:1] 2007-11-12 10:06:36: 192.168.0.52/0:b0:d0:zz:zz:zz -> 192.168.0.20/0:0:0:0:0:0 [1:80:c2:0:0:1] 2007-11-12 10:07:18: 192.168.0.52/0:b0:d0:zz:zz:zz -> 192.168.0.20/0:0:0:0:0:0 [1:80:c2:0:0:1] 2007-11-12 10:07:58: 192.168.0.52/0:b0:d0:zz:zz:zz -> 192.168.0.20/0:0:0:0:0:0 [1:80:c2:0:0:1] 2007-11-12 10:08:39: 192.168.0.52/0:b0:d0:zz:zz:zz -> 192.168.0.20/0:0:0:0:0:0 [1:80:c2:0:0:1] 2007-11-12 10:09:20: 192.168.0.52/0:b0:d0:zz:zz:zz -> 192.168.0.20/0:0:0:0:0:0 [1:80:c2:0:0:1] 2007-11-12 10:12:35: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.4/0:0:0:0:0:0 [1:80:c2:0:0:1] 2007-11-12 10:12:35: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.5/0:0:0:0:0:0 [1:80:c2:0:0:1] 2007-11-12 10:12:35: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.6/0:0:0:0:0:0 [1:80:c2:0:0:1] 2007-11-12 10:12:35: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.7/0:0:0:0:0:0 [1:80:c2:0:0:1] .......... 2007-11-12 10:12:45: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.102/0:0:0:0:0:0 [1:80:c2:0:0:1] 2007-11-12 10:12:46: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.106/0:0:0:0:0:0 [1:80:c2:0:0:1] 2007-11-12 10:12:46: 192.168.0.52/0:b0:d0:zz:zz:zz -> 192.168.0.20/0:0:0:0:0:0 [1:80:c2:0:0:1] 2007-11-12 10:12:46: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.108/0:0:0:0:0:0 [1:80:c2:0:0:1] .......... 2007-11-12 10:12:54: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.183/0:0:0:0:0:0 [1:80:c2:0:0:1] 2007-11-12 10:12:54: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.188/0:0:0:0:0:0 [1:80:c2:0:0:1] 2007-11-12 10:12:54: 192.168.0.71/0:8:74:xx:xx:xx -> 192.168.0.189/0:0:0:0:0:0 [1:80:c2:0:0:1] Generalnie wygląda jakby różne komputery zaczęły zmieniać adresy IP, które mam poustawiane na sztywno. Część szalejących kompów ma XP, część Win98. Występujące w logu komputery sprawdziłem dokładnie na obecność wirusów i spyware'u i nic nie znalazłem. Wygląda mi to na feler ip-sentinela, stąd pytanie: czy ktoś miał coś podobnego u siebie ?? |
|
| Autor: | pectosol [ czwartek, 22 listopada 2007, 02:48 ] |
| Tytuł: | |
nie nie miałem. ... miałem natomiast różne takie wpisy jak ktoś dodawał jakieś nieautoryzowane użądzenia do sieci. Np AP, bramkę voip, lub próbował uruchamiać serwer DHCP. Takie logi mogą również świadczyć jak ktoś próbuje snifować sieć... |
|
| Autor: | orion [ czwartek, 22 listopada 2007, 17:16 ] |
| Tytuł: | |
pectosol pisze: nie nie miałem. Czy miałeś wpisy tego typu, czy ogólnie jakieś anomalie w logach jak klienci wpinali do sieci jakieś urządzenia ?? Niektóre wpisy są co mniej niż sekundę, więc nie wygląda mi na ręczne zmienianie IP.... miałem natomiast różne takie wpisy jak ktoś dodawał jakieś nieautoryzowane użądzenia do sieci. Np AP, bramkę voip, lub próbował uruchamiać serwer DHCP. pectosol pisze: Takie logi mogą również świadczyć jak ktoś próbuje snifować sieć... Hmm, jeśli to któryś z tych adresów IP występujących w logach to szczerze wątpię bo szczytem możliwości użytkowników tych komputerów jest odpalenie przeglądarki internetowej. Poza tym gdzie się tylko dało poustawiałem w switchach limity MAC adresów na port.
|
|
| Autor: | tomek_n [ piątek, 23 listopada 2007, 00:54 ] |
| Tytuł: | |
Ja miałem takie wpisy, lecz rozbierając problem na częsci pierwsze dałem temu spokój Częstotliwość występowania u mnie to około 7 wpisów na miesiąc Jednak głowy nie dam sobie uciąć za userów. Napaleni ssacze czego tylko popadnie
|
|
| Autor: | orion [ poniedziałek, 31 marca 2008, 17:31 ] |
| Tytuł: | |
Odgrzewam, ale może komuś się przyda. Dziwne komunikaty w logach są spowodowane przez samego ip-sentinela. Problemem jest występowanie masek (nawiasy klamrowe z zakresem oktetu adresu IP) w pliku ips.cfg. Napisałem skrypt generujący plik ips.cfg w ten sposób, że w nieużywanych IP powpisywałem pseudolosowe (ale nieistniejące) MAC adresy, np.: 192.168.1.9@!AB:BA:00:01:AF:15 Po takiej akcji od pół roku w logach nie ma żadnego śmiecia. |
|
| Autor: | tomek_n [ wtorek, 1 kwietnia 2008, 11:11 ] |
| Tytuł: | |
dzięki orion przyda się 
|
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|