-
команда: arp -a
Есть в сети один человек, который, видимо лазает в чужие компьютеры сети. На его попытки входа срабатывает файрволл:"входящее соединение в процесс system". Провайдер вроде предпринимает какие-то действия. Он сказал, чтоб при очередной попытке я воспользовался данной командой и показал им скрин. Мне очень интересно, что именно показывает эта команда(внутрисетевые прямые подключения(запросы) к моему компу), чем может помочь, какие есть альтернативы этой команде?
Ну и примерчик команды каждые 50 минут, не могли бы вы пояснить, что именно я вижу на скрине(в это время не было срабатываний файрволла)
P.S.: Я читал некоторые материалы с упоминанием этой команды, но мне непонятны некоторые вещи. Может есть несложное пояснение, для моего ламер-мозга?
Mors certa, vita incerta!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-a Отображает текущие ARP-записи, опрашивая текущие данные 20
протокола. Если задан inet_addr, то будут отображены IP и
и физический адреса только для заданного компьютера.
Если более одного сетевого интерфейса используют ARP,
то будут отображаться записи для каждой таблицы.
грубо говоря, таблица сопоставления ип адреса и физического мак адреса, ну а далее отследить, в теории нарушителя, по шлюзам (маршрутизаторы хранять таблици соответствия мак адресов и портов назначения, что дает очь легкия способ найти шнурок злыдня ;_) и наказать кого не попадя.
PS в двух словах: админ провайдера прав. как только обнаружится теоритическая атака, тут-же снять таблицу сопоставления адресов (arp -a) и звонить им. по IP-MAC нарушителя, администратор, просмотрит таблици коммутаторов, и однозначно узнает на каком порту он сидит. главное максимально быстро все проделать, дабы поймать злыдня. если он в сети вашего провайдера, ему ничего не поможет скрытся .
Последний раз редактировалось Virtual; 09.11.2009 в 19:05.
-
здесь понятно, а что именно показывает, то что подключено? ведь когда я осуществлял разрешённый вход на комп через HFS у меня входящие ипы и, соответственно маки, не отображены. Какие ИПы и МАКи я вижу после выполнения команды? какие-то запросы с тех адресов, непосредственные подключения? Соединения с сервером авторизации я вижу и понимаю, а другие? Например в скрине есть внешний ип, каким образом он оказался в списке отображения? откуда мог взяться недопустимый? Откуда может появиться внешний ИП адрес не характерный для моей сети, и почему он отображается(его нет в скрине). Я увижу адреса только из внутренней сетки, или могут отобразиться и внешние(физические адреса принадлежат моей сети?).
Mors certa, vita incerta!
-
-a Отображает текущие ARP-записи
тоесть текущую таблицу (с небольшим кэшированием.)
будут видны только адреса твоей физической подсети,
Например в скрине есть внешний ип
как как ты опр. что он внешний? он в твоей подсети, т.к. МАС адрес недействует дальше твоего шлюза .
учи матчасть думаю вопросов меньше будет
ну хоть это
http://ru.wikipedia.org/wiki/ARP
http://ru.wikipedia.org/wiki/Сетевой_шлюз
http://ru.wikipedia.org/wiki/MAC-адрес
-
вот и ответ в двух словах, СПС так вот сразу всё стало на много понятнее
Только вот следом такой вопросик, если ипа такого в сети официально не имеется, может ли значить, что это тот кого ищут? тот самый переборщик?, или это подтвердится если тот мак окажется опять с новым ипом?
Mors certa, vita incerta!
-
PORSHEvchik, в трех словах
1. ты обнаруживаеш "атаку" с опр IP
2. тут-же получаеш соответствие IP-MAC
3. и тут же, Админ провайдера, Получает сопоставление маршрутизатор_порт по MAC адресу (ибо именно MAC запоминается в таблицах маршрутизатора)
и пофиг какой ип и мак будет у нарушителя завтра, ибо уже известен "хвост" на котором он сидит, а так же его учетные и соответственно паспортные данные .
-
Невероятно, огромное спасибо, я считаю, что получил исчерпывающий ответ. Особо в точку с маршрутизатором и необычным ИП, как пояснил пров, это был клиентский маршрутизатор.
Mors certa, vita incerta!