Uitzoeken welke pc een bepaald IP adres heeft - Netwerken

woensdag 16 november 2005 13:21

Acties:

Verwijderd

Topicstarter

Hallo,

Sorry voor de vage titel, maar ik zal het nu wat beter uitleggen.

Gisteren draaiden we Kaspersky op een computer (normaal draait er symantec), en toen kregen we na enige tijd scannen een melding van Kaspersky dan hij een network attack heeft voorkomen. De network attack kwam van een pc in het netwerk. Vandaag gebeurde hetzelfde op een andere pc. De aanval kwam van hetzelfde ip adres

Nu willen we uitzoeken welke PC dat is. We hebben tracert geprobeert om te kijken waar hij ongeveer staat, maar dat werkt niet omdat er alleen maar hubs in het netwerk staan. Dus hij geeft maar 1 hop, en dat is die pc zelf. We kunnen hem wel pingen, maar je krijgt de naam van de pc niet te zien omdat er geen WINS wordt gebruikt. Het netwerk draait overigens op novell, dus er staat geen lijst met uitgedeelde ipadressen met de naam van de pc erbij.

Het netwerk bestaat uit 680 pc's dus een beetje aan de grote kant om elke pc af te gaan om te kijken welke pc het juiste ip adres heeft.

Heeft iemand een goed idee om uit te kunnen vinden welke pc het is?

Alvast bedankt!

Rick

woensdag 16 november 2005 13:26

Acties:

Fish

How much is the fish

tracert [insert ip adres]

ping -a [insert ip adress]

[ Voor 40% gewijzigd door Fish op 16-11-2005 13:28 ]

Iperf

woensdag 16 november 2005 13:28

Acties:

SinergyX

____(>^^(>0o)>____

fish schreef op woensdag 16 november 2005 @ 13:26:
tracert [insert ip adres]

hij zegt:
We hebben tracert geprobeert om te kijken waar hij ongeveer staat

gaat niet op

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

woensdag 16 november 2005 13:28

Acties:

Verwijderd

fish schreef op woensdag 16 november 2005 @ 13:26:
tracert [insert ip adres]

Nu willen we uitzoeken welke PC dat is. We hebben tracert geprobeert om te kijken waar hij ongeveer staat, maar dat werkt niet omdat er alleen maar hubs in het netwerk staan.

nslookup ip

woensdag 16 november 2005 13:28

Acties:

Fish

How much is the fish

maar hij resolveld het adres toch ?

nslookup werkt niet bij mij thuis

C:\Documents and Settings\manta1>nslookup 192.168.1.100
*** Can't find server name for address 192.168.1.100: Non-existent domain
*** Default servers are not available
Server: UnKnown
Address: 192.168.1.100

*** UnKnown can't find 192.168.1.100: Non-existent domain

de andere 2 opties wel

C:\Documents and Settings\manta1>ping -a 192.168.1.100

Pinging GATEKEEPER [192.168.1.100] with 32 bytes of data:

Reply from 192.168.1.100: bytes=32 time=2ms TTL=128
Reply from 192.168.1.100: bytes=32 time=2ms TTL=128
Reply from 192.168.1.100: bytes=32 time=2ms TTL=128
Reply from 192.168.1.100: bytes=32 time=1ms TTL=128

Ping statistics for 192.168.1.100:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 2ms, Average = 1ms

C:\Documents and Settings\manta1>tracert 192.168.1.100

Tracing route to GATEKEEPER [192.168.1.100]
over a maximum of 30 hops:

1 1 ms 1 ms 1 ms GATEKEEPER [192.168.1.100]

Trace complete.

[ Voor 142% gewijzigd door Fish op 16-11-2005 13:34 ]

Iperf

woensdag 16 november 2005 13:33

Acties:

Krypt

Nslookup werkt dus alleen als je client zich dynamisch registreerd in je DNS.

Wat je kunt doen, is met arp -a kijken wat het MAC adres is, en in een MAC db kijken of daar een bepaalde merk netwerkkaart aan gekoppeld is. Bij hardware fabrikanten zoals Dell en HP willen ze nog wel eens 't MAC Vendor ID aanpassen naar Dell/HP

Misschien nog een nmap er overheen om te kijken of bepaalde poorten open staan en welk os er draait

[ Voor 18% gewijzigd door Krypt op 16-11-2005 13:34 ]

Pvouput live

woensdag 16 november 2005 13:34

Acties:

j-a-s-p-e-r

>>nslookup [ipadres] [dnshostip]

Dan zou je het wel moeten kunnen vinden
Dns server kan natuurlijk ook je gateway zijn.

woensdag 16 november 2005 13:37

Acties:

Nitroglycerine

Autisme: belemmering en kracht

Is het windows? Dan zou je als domain admin verbinding kunnen maken met \\<ipadres>\c$
en dan kijken wie er voor het laatst heeft ingelogd (c:\document and settings\<userid>).

Hier kon uw advertentie staan

woensdag 16 november 2005 13:38

Acties:

gertjanvdheuvel

Magento 2 / WebOptimalisatie

Pardon, maar is 192.168.1.100 niet het standaard gateway adres van bijvoorbeeld de hele E-tech router reeks en van nog een paar geloof ik ... Canyon volgens mij ook ... Jouw router kijkt gewoon of je pc er nog aanhangt vrees ik

Gewoon even in Kaspersky bij Settings zeggen dat je je netwerk-detectie op Stealth wilt draaien, of uitzetten.

CBD olie kopen , Gezonder Leven , Bumper Beschermer

woensdag 16 november 2005 13:39

Acties:

Verwijderd

Nitroglycerine schreef op woensdag 16 november 2005 @ 13:37:
Is het windows? Dan zou je als domain admin verbinding kunnen maken met \\<ipadres>\c$
en dan kijken wie er voor het laatst heeft ingelogd (c:\document and settings\<userid>).

Nee het is novell...
Kan me niet voorstellen dat de pc's niet genummerd zijn met 680 pc's in het netwerk....
is het toevallig windesheim:P?

woensdag 16 november 2005 13:41

Acties:

Nitroglycerine

Autisme: belemmering en kracht

Verwijderd schreef op woensdag 16 november 2005 @ 13:39:
[...]

Nee het is novell...
Kan me niet voorstellen dat de pc's niet genummerd zijn met 680 pc's in het netwerk....
is het toevallig windesheim:P?

Je kunt novell servers hebben met windows werkstations geloof ik...
Maar binnen novell zou je geloof ik op een vergelijkbare manier met de betreffende computer contact moeten kunnen krijgen........

Hier kon uw advertentie staan

woensdag 16 november 2005 13:42

Acties:

AtomicWing

Probeer het programma look@lan eens.... die doet een netwerkscan en laat alles zien wat je wilt weten..... en nee, geen reclame, gewoon hulp....

"Als je concurrentievoordeel afhankelijk is van mensen die iets waardevols of unieks moeten maken, dan mag je geen normaal personeel hebben" (Daniel M. Cable)

woensdag 16 november 2005 13:43

Acties:

Fish

How much is the fish

Gert-Jan_NB schreef op woensdag 16 november 2005 @ 13:38:
Pardon, maar is 192.168.1.100 niet het standaard gateway adres van bijvoorbeeld de hele E-tech router reeks en van nog een paar geloof ik ... Canyon volgens mij ook ... Jouw router kijkt gewoon of je pc er nog aanhangt vrees ik

Gewoon even in Kaspersky bij Settings zeggen dat je je netwerk-detectie op Stealth wilt draaien, of uitzetten.

ho ff dat is een voorbeeld op mijn netwerk ik ben niet de TS !!!!

Iperf

woensdag 16 november 2005 14:17

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op woensdag 16 november 2005 @ 13:39:
[...]

Nee het is novell...
Kan me niet voorstellen dat de pc's niet genummerd zijn met 680 pc's in het netwerk....
is het toevallig windesheim:P?

De pc's zijn wel genummerd, maar welk ip adres bij welke pc hoort kunnen we niet zien

woensdag 16 november 2005 14:19

Acties:

Verwijderd

Topicstarter

Nitroglycerine schreef op woensdag 16 november 2005 @ 13:41:
[...]

Je kunt novell servers hebben met windows werkstations geloof ik...
Maar binnen novell zou je geloof ik op een vergelijkbare manier met de betreffende computer contact moeten kunnen krijgen........

inderdaad, we hebben novell servers met windows workstations, gewoon een novell client erop....

lijkt mij ook... maar we krijgen het niet voor elkaar

woensdag 16 november 2005 14:20

Acties:

Verwijderd

Topicstarter

Winkelhaak2002 schreef op woensdag 16 november 2005 @ 13:42:
Probeer het programma look@lan eens.... die doet een netwerkscan en laat alles zien wat je wilt weten..... en nee, geen reclame, gewoon hulp....

kijk.. hier heb ik wat aan... hij geeft precies wat ik moet weten!! bedankt!

woensdag 16 november 2005 14:22

Acties:

Verwijderd

Topicstarter

Het is opgelost! Iedereen bedankt voor de hulp!

Rick

woensdag 16 november 2005 14:29

Acties:

Verwijderd

Verwijderd schreef op woensdag 16 november 2005 @ 14:22:
Het is opgelost! Iedereen bedankt voor de hulp!

Rick

toch nog ff een opmerking:

Het netwerk bestaat uit 680 pc's dus een beetje aan de grote kant om elke pc af te gaan om te kijken welke pc het juiste ip adres heeft.

krijg je dan niet een onoverzichtelijke tering bende die lastig te managen is als je dat met alleen hubjes doet?

abuse is ook makkelijk aangezien je gewoon packey sniffers kan gebruiken.

het lijkt me voor jou bedrijf een strak plan om wat geld uit te trekken voor switches/routers. hier los je dit soort problemen ook sneller mee op aangezien je gewoon een traceroute doet (dan weet je op welke router hij zit), en dan in een access-list gewoon al het verkeer van en naar die PC blocken

woensdag 16 november 2005 14:35

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op woensdag 16 november 2005 @ 14:29:
[...]

toch nog ff een opmerking:

[...]

krijg je dan niet een onoverzichtelijke tering bende die lastig te managen is als je dat met alleen hubjes doet? abuse is ook makkelijk aangezien je gewoon packey sniffers kan gebruiken.

het lijkt me voor jou bedrijf een strak plan om wat geld uit te trekken voor switches/routers. hier los je dit soort problemen ook sneller mee op aangezien je gewoon een traceroute doet (dan weet je op welke router hij zit), en dan in een access-list gewoon al het verkeer van en naar die PC blocken

ik weet het, het is nu ook niet bepaald goed geregeld in het netwerk.
ik loop hier stage bij systeembeheer, maar ik zie wel dat het netwerk niet lekker is opgezet.

maar dat komt voornamelijk omdat het netwerk langzaam steeds groter is geworden, de beginselen van dit netwerk zijn 20 jaar geleden al gemaakt, dus vandaar.

Maar er is nu net een nieuwe netwerkbeheerder die de hele zooi gaat omgooien, en we gaan ook overstappen op windows servers, dus er gaat hier heel wat veranderen.

woensdag 16 november 2005 14:35

Acties:

Verwijderd

Verwijderd schreef op woensdag 16 november 2005 @ 14:22:
Het is opgelost! Iedereen bedankt voor de hulp!

Rick

Wat was het nou/wat heb je gedaan?? Dat willen we nu graag weten....

woensdag 16 november 2005 14:55

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op woensdag 16 november 2005 @ 14:35:
[...]

Wat was het nou/wat heb je gedaan?? Dat willen we nu graag weten....

Ik denk dat snapt iedereen wel door te kijken naar het berichtje boven dit berichtje, daarin staat een quote van degene met de oplossing waar ik bij heb gezegt dat hij precies geeft wat ik moet weten.

Maar goed.

Ik heb Look@LAN gedownload naar aanleiding van de tip van winkelhaak2002. Daar heb ik het IP adres ingevoerd. Toen gaf het programma de naam van de PC en wie er op ingelogd is (+ nog meer informatie). En aan de hand daarvan zijn we te weten gekomen welke pc het is.

En aan de hand van d

woensdag 16 november 2005 15:23

Acties:

Verwijderd

Dat je aan de hand van look@lan de pc zou achterhalen was ik ook wel van overtuigd, maar wat draait er op die PC wat die attack veroorzaakt??

woensdag 16 november 2005 18:49

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op woensdag 16 november 2005 @ 15:23:
Dat je aan de hand van look@lan de pc zou achterhalen was ik ook wel van overtuigd, maar wat draait er op die PC wat die attack veroorzaakt??

een worm, lovesan heet deze worm. de virusscanner die op de pc draaide was op een of andere manier uitgeschakeld. gewoon even scannen met kaspersky en hij was weer OK

Pagina: 1

Reageer