Показано с 1 по 15 из 15.

Вопрос по DHCP в локалке

  1. #1
    Junior Member Репутация
    Регистрация
    14.03.2009
    Сообщений
    7
    Вес репутации
    33

    Вопрос по DHCP в локалке

    Доброго времени суток!

    Мож кто подскажет по проблеме:

    корпоративная сеть: есть готовое решение - сервак DHCP, DNS и он же VPN в инет. В DHCP регистрация без привязки к маку, при этом одному и тому же имени выдаётся однажды зарегенный ip (преимущественно).

    Складывается ощущение, что в сети есть машина, которая рерулярно регится с чужим именем в DNS... Т.е. работает внутренний сайт по имени... потом раз - и уже не работает... открываешь по ip - всё ок. Делаешь трассер до имени - а имя (специально выбиралось непопулярное/особое, чтоб случайно кто не сделал себе такое же) разрешается в другой ip.

    Бывают ли такие вирусы, если да, то киньте линк почитать... Заранее спс!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    14.03.2009
    Сообщений
    7
    Вес репутации
    33
    Если бы знал, какая машина так делает - уже бы проверили/полечили... как-никак есть каспер лицензионный 6й на всех машинах... (если где что не пропустили или ключ/базы не забыли обновить).

    т.е. мне надо принципиально знать:
    1) бывает ли такое
    2) посмотреть описания реальных примеров, чтоб быть готовым)

    отдельную тему не хотел создавать...
    Последний раз редактировалось Bonusfrag; 14.03.2009 в 22:06.

  4. #3
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MedvedD
    Регистрация
    13.09.2005
    Адрес
    Минск
    Сообщений
    388
    Вес репутации
    92
    Бывает, и даже не вирус - просто излишне любопытный пользователь.
    Проверьте, с какого сервера ДНС берётся имя - "nslookup имя_сайта".

    И как это ДХЦП без привязки к МАКу?

  5. #4
    Junior Member Репутация
    Регистрация
    14.03.2009
    Сообщений
    7
    Вес репутации
    33
    MedvedD? а можете привести примеры/описания таких виров? Судя по скорости подмены - это не пользователь любопытный... после перерегистрации сайта в DNS оч.быстро происходит подмена.
    Без привязки - знач.без привязки. т.е. один ПК сломался, дали другой, поставили на нём имя старого - получили ip старого ПК по DHCP.
    а какой именно DNS работает - гляну, но думаю, что наш один единственный, т.к. косяк проявляется на машинах с регулярно по инету обновляемым лиц.Каспером 6, причем на части адрес по DHCP, а на части адрес и DNS, полученные по DHCP, были пробиты вручную. Одним словом, вероятность подмены DNS оч.мала. А вот зарегить в нём всякую ерунду, как вы понимаете, не является сложным в нашей сетке...

    NRA, OpenDNS в локальной сети)))? повторюсь - это локалка и инет не на всех ПК есть. Ну и как говорится - не стоит удаляться от темы.
    Меня интересуют вирусы с такими возможностями - надо убедиться, что такое действительно есть и посмотреть, что ещё идет в букете, кроме таких левых регистраций...

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1814
    Цитата Сообщение от Bonusfrag Посмотреть сообщение
    Без привязки - знач.без привязки. т.е. один ПК сломался, дали другой, поставили на нём имя старого - получили ip старого ПК по DHCP.
    А выдать машине с сайтом статический IP (и исключить его из диапазона, раздаваемого DHCP).
    В случае "ПК сломался" все равно приходится на новом править настройки
    The worst foe lies within the self...

  7. #6
    Junior Member Репутация
    Регистрация
    14.03.2009
    Сообщений
    7
    Вес репутации
    33
    да ясно это всё... но я кучу времени буду ждать, пока те, кто отвечает за сервак, сделают исключение и проч.) Дело то не в исключении... мой ip никто не захватывает... а лишь регит в DNS паразитную запись..., т.е. исключение бы тут не помогло.

    Ну нету реги по маку, нету. а ДНСу вообще плевать на МАК. Т.к. нет объявления о конфликте нетбиос-имен, то делаю вывод, что комп, добавляющий паразинтую запись, имеет одно нитбиос-имя, в ДНС регит абсолютно другое.

    ЗЫ: не нуб я... топик в этой теме - т.к. перенесён сюда модератором из другой темы.
    прав на настройку этого dhcp-dns'a у меня нет, да и не будут его трогать.
    Самое реальное, что возможно - найти эту машину. Но искать её тож особо не будут, пока не покажу, что это вирус...
    поэтому мне надо всего лишь пару линков на описания вирей, а не советы по настройке...

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    А не факт, что вирус. На машине с сайтом сколько сетевых подключений в системе?

  9. #8
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    16
    Вес репутации
    33
    Как один из вариантов - не верные настройки DHCP. К примеру, каке параметры вы им раздаете (ip, маска, адрес днс сервера)?
    Потом, это происходит на одной машине или на многих?
    Последний раз редактировалось Eosfor; 16.03.2009 в 14:47.

  10. #9
    Junior Member Репутация
    Регистрация
    14.03.2009
    Сообщений
    7
    Вес репутации
    33
    Цитата Сообщение от pig Посмотреть сообщение
    А не факт, что вирус. На машине с сайтом сколько сетевых подключений в системе?
    два. Одно смотрит в одну сеть, другое - в другую. (разные диапазоны ip).
    для одной сети (1) - это просто ПК с сайтом (в этой сети и происходит подмена в DNS), для другой (2) - это DNS, шлюз, контроллер домена.

    Да хватит уже про DHCP... нормально он работает, нормально...
    Подмена проявляется на многих (на всех, на которых проверял) машинах 1й сети, причем машины эти защищены каспером 6.0, обновляемым автоматом через инет.

    Если никто такого вируса конкретно не знает, и как поискать - тоже не знает, так и скажите.
    Если бы мне надо было DHCP настроить, я бы не в конференции про вирусы регился...

  11. #10
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    16
    Вес репутации
    33
    О. Про контроллер домена всплыло . Че ж вы раньше то молчали.
    И потом, вы дали слишком мало информации. Пока все выглядит как, например, неверно настроеный клиент. Или ДНС сервер. Поскольку чтобы перерегить ДНС ия в домене, надо пользовательский комп переименовать, а чтобы это сделать - нужно иметь права доменного админа. И после переименования - перезагрузка. Вы бы это обязательно заметили.
    Посему, нужно обратить внимание, происходит ли это на одной машине или на нескольких.
    желательно привести ipconfig /all на проблемной машине а так же адрес днс сервера, и, все таки что раздает dhcp

  12. #11
    Junior Member Репутация
    Регистрация
    14.03.2009
    Сообщений
    7
    Вес репутации
    33
    Eosfor, ну есть домен. В нем нет Dhcp, есть статика и DNS с отключенной регистрацией ПК, и ни одного сайта нет в этом сегменте. Этот сегмент(2) для сети (1), в которой проблема есть, - это процент от всех ПК. И там (в 1) как раз нет домена - там набор рабочих групп (но есть DNS и DHCP). И каждый там сам себе админ (т.е. многие под админами сидят)... И для (1) сеть (2) не существует вовсе.... для (1) сеть (2) - это всего лишь ПК с сайтом.

    И не в настройках дело - несколько лет всё ОК работало (большая корпоративная сеть(1)). Ну и отвечал - на нескольких это происходит.

    Короче, гораздо ближе к теме вот эта ссылка: http://bugtraq.ru/library/books/atta...pter04/03.html
    Есть ли такие вирусы? (которые, например, вторую схему реализуют?)
    Ну и вопрос: может ли хост зарегить имя без перезагрузки (просто путем отправки "левого" регистрационного запроса на DNS) ?

    //давайте тему неверных настроек уже закроем, а? надоело объяснять, что не в них дело.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Цитата Сообщение от Bonusfrag Посмотреть сообщение
    два. Одно смотрит в одну сеть, другое - в другую. (разные диапазоны ip).
    для одной сети (1) - это просто ПК с сайтом (в этой сети и происходит подмена в DNS), для другой (2) - это DNS, шлюз, контроллер домена.
    Неверный IP-адрес, который вылезает, - он случайно не от второй сетевой карты?

  14. #13
    Junior Member Репутация
    Регистрация
    06.02.2009
    Сообщений
    16
    Вес репутации
    33
    Я о таких вирусах не слышал. Но думается мне для них нет особого смысла это делать, поскольку процесс этот довольно громоздкий. Есть способы проще.

    Для начала на хостах стоит проверить файл "%windir%\system32\drivers\etc\hosts" - нет ли там чего ненужного. кроме того можно посмотреть в "ipconfig /displaydns" на предмет записей относительного вашего имени сайта.
    если некий компьютер не входит в домен, то его имя не будет регистрироваться в днс автоматически, поскольку для этого необходима авторизация. если входит - то сможет. однако для этого нужно менять имя машины, что позвоено только domain admins. это по умолчанию.

  15. #14
    Junior Member Репутация
    Регистрация
    14.03.2009
    Сообщений
    7
    Вес репутации
    33
    pig, да (точнее не совсем)...
    Сегодня разбирался с совсем другой проблемой, и на сервере заметил, что ip, который периодически вылезает вместо нужного - это ip интерфейса с именем ''внутренний'' в RAS (под словом Шлюз в цитате подразумевается NAT через VPN). Только ''внутренний'' - это не сетевуха...
    Т.е. в RAS интерфейсы ''замыкание на себя'' ''внутренний'' ''VPN'' ''внешняя сеть-сетевуха1'' ''внутренняя сеть-сетевуха2''...
    Как так получается, что именно адрес интерфейса ''внутренний'' регится в DNS того сервера (сети 1)...? хз... Точнее, походу, они регятся там поочереди, то ip интерфейса ''внутренний'', то ip интерфейса ''внешняя сеть-сетевуха1''

    Перед всеми извиняюсь...дело действительно оказалось в настройке.... (
    Последний раз редактировалось Bonusfrag; 17.03.2009 в 13:08.

  16. #15
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MedvedD
    Регистрация
    13.09.2005
    Адрес
    Минск
    Сообщений
    388
    Вес репутации
    92
    Case closed

Похожие темы

  1. Лаги в играх по локалке
    От ATM в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 07.05.2010, 14:06
  2. Вирусная эпидемия в локалке
    От Тарасов Сергей в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 15.04.2010, 14:22
  3. Как вычислить злоумышленника в локалке.
    От PORSHEvchik в разделе Сетевые атаки
    Ответов: 1
    Последнее сообщение: 08.02.2010, 17:54
  4. Подозрение на вирус в локалке
    От KateAlf в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 14.08.2009, 21:14
  5. Распределение в локалке
    От Толик в разделе Общая сетевая безопасность
    Ответов: 4
    Последнее сообщение: 29.07.2008, 17:11

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00610 seconds with 16 queries