locatie gebruiker vinden op basis van mac adres - Netwerken

woensdag 29 oktober 2003 14:07

Acties:

Verwijderd

Topicstarter

Situatie:
In dit gebouw bevinden zich 300 Internetaansluitingen. Meerdere kleine bedrijven zijn hier gevestigd en deze maken gebruik van dezelfde infrastructuur en serveroplossing(Internet).

Op iedere etage van het kantoor bevind zich een "domme"

(zonder management mogelijkheid) hub. Beneden in de serverruimte bevind zich een HP switch (procurve 2524) waar elke domme hub op aangesloten zit. 20 etages en dus 20 poortjes bezet op de switch(etage1 op poort 1, etage 2 op poort 2 etc.).

De Switch (procurve 2524)

stelt ons in staat af te lezen waar een bepaalde illegale actie vandaan komt (delen van een film via service op de PC). Vorige week hebben we een melding van het CERT ontvangen dat iemand een aantal films aan het delen is. Nu hebben we echter niet de mogelijkheid om iedere keer het desbetreffende IP adres af te sluiten(ivm rechten die we niet krijgen). We hebben toegang tot het gehele pand en dus ook tot de switch en de domme hubs waarvan er op iedere etage zich 1 bevindt.

Probleem:
De persoon die we dus voor geen mogelijkheid kunnen achterhalen heeft een firewall draaien.

Zodoende kunnen we hem niet pingen. Het heeft dus ook geen zin 1 voor 1 de Patchkabels uit de hub trekken om zodoende van het desbetreffende IP adres (dmv een ping 192.168.0.150) de LOKATIE te kunnen vinden.

Door middel van een sniffer

zijn we wel achter het Macadres gekomen. We hebben dit al op de switch opgezocht en we krijgen er een etagenummer(poortnummer) uit. We weten dus welke etage we moeten zijn.

Nu is het probleem dat er op iedere hub 24 personen zitten.
We kunnen niet "zomaar" de hub uitzetten totdat iemand de films niet meer shared.
Pingen gaat niet.
Patchkabels er om de beurten uit te halen en blijven sniffen met een packetsniffer werkt ook niet gezien het geringe verkeer dat de PC veroorzaakt.
We kunnen niet bij de server.

Wie weet hier een oplossing voor?
Is er een mogelijkheid om een Mac adres net zoals een pingcommando op activiteit te checken(als we de patchkabel er even uit de hub halen dat we dan zien dat er geen activiteit is bijvoorbeeld).

Ik hoor graag wie het verlossende antwoord weet!
Bedankt voor het meedenken. $_/-\o_$

woensdag 29 oktober 2003 14:13

Acties:

Krypt

Logt die persoon in op een domain?
Dan kun je met nbtstat de gebruikersnaam achterhalen. nbtstat -a <ip>
Bij netbios type 3 krijg je de gebruikersnaam te zien..

Denk dat je aan de hand van het mac adres ook wel het ip kunt achterhalen..
[edit]
Lees net dat ie 'n firewall heeft.. maar als ie via NTshares films zit te sharen dat moet netbios openstaan..
Weet je anders hoe hij die films shared? Portscan anders ofzo?

[ Voor 29% gewijzigd door Krypt op 29-10-2003 14:14 ]

Pvouput live

woensdag 29 oktober 2003 14:13

Acties:

Master__R

Loop gewoon 's avonds even langs alle 24 pc's op die etage en controleer bij welke pc dat mac adres hoort? Uiteraard met je chef erbij.

Dit kan gewoon als je de systeembeheerder bent lijkt me.

En trouwens, als alle pc's via DHCP een ip krijgen dan kun je daarin ook het macadres terugvinden.

[ Voor 24% gewijzigd door Master__R op 29-10-2003 14:14 ]

woensdag 29 oktober 2003 14:14

Acties:

hendrikjan

VOORMALIG STUNTMAN

hmm ik kan eerlijk gezegd niks nuttigs toevoegen .. ik ben alleen wel nieuwsgierig.. waarom is dit jouw probleem? Ik bedoel als het allemaal losse bedrijfjes zijn .. zijn dan niet die losse bedrijven verantwoordelijk voor wat ze zelf doen? Je hoeft toch geen politie agentje te spelen?

woensdag 29 oktober 2003 14:17

Acties:

Verwijderd

Topicstarter

Niemand logt hier in onder een domein. Althans, niet onder een gezamelijk controleerbaar domein. Het klinkt inderdaad als een ongeorganiseerde zaak maar het is tot nu toe altijd goedgegaan.

Binnenkort zal men dmv. een gebruikersnaam en wachtwoord dit beter kunnen controleren.

woensdag 29 oktober 2003 14:18

Acties:

igmar

ISO20022

Krypt schreef op 29 October 2003 @ 14:13:
Denk dat je aan de hand van het mac adres ook wel het ip kunt achterhalen..

Dmv het arp commando, even vooropgesteld dat d'r geen routers tussen hangen.

woensdag 29 oktober 2003 14:20

Acties:

Krypt

Blijf eens voor de gein wat langer op het werk en stuur een magicpacket naar dat ipadres; misschien staat toevallig WOL aan in de BIOS...

Wat voor machines zijn het eigenlijk? en weet je hoe ie ze shared?

Pvouput live

woensdag 29 oktober 2003 14:21

Acties:

igmar

ISO20022

[b]Verwijderd schreef op 29 October 2003 @ 14:07:[/b
Is er een mogelijkheid om een Mac adres net zoals een pingcommando op activiteit te checken(als we de patchkabel er even uit de hub halen dat we dan zien dat er geen activiteit is bijvoorbeeld).

Ik hoor graag wie het verlossende antwoord weet!

Waarom block je dat mac adres niet in de firewall ? Veranderen zal dat niet, en degene die komt klagen dat z'n internet het met geen mogelijk het meer doet is hoofdwaarschijnlijk de schuldige

Op die manier kun je dan ook op z'n PC kijken wat het MAC adres is, en kijken of dat overeenkomt.

woensdag 29 oktober 2003 14:21

Acties:

raoulduke

Get in!

Als je een MAC adres hebt en je snifft verkeer, dan heb je toch meestal wel een heel packet of stream te pakken? Daar kan je toch de TCP/IP header uithalen en dan het IP adres achterhalen?

Daarna kan je hem ping-flooden om te kijken welk lampje er op het hubje gaat branden en dan die kabel eruit halen.

Remember, if you have any trouble you can always send a telegram to the Right People.

woensdag 29 oktober 2003 14:22

Acties:

DDX

hoe shared die persoon/computer die films dan ?
lijkt me op het internet ? (maar via ftp/http?)

ik weet niet wat voor firewall/router je hebt staan richting het internet, maar kan je daar niet mac adres blocken ? (ok mac adres kan die persoon ook weer aanpassen natuurlijk)

maarja waarom kan je niet even alle pc's afgaan die op die hub zitten ?

https://www.strava.com/athletes/2323035

woensdag 29 oktober 2003 14:22

Acties:

Icey

Vraagje, wellicht heel stom..

Kan jij niet bij die film/ftp/share komen? dan kopier je hem naar je eigen pc, dan zie je snel genoeg aan de lampjes welke het hardst knipperd... of gebruik op dat moment je sniffer ?

woensdag 29 oktober 2003 14:23

Acties:

Verwijderd

Topicstarter

Over waarom we willen weten wie de persoon in kwestie is:
Alle adressen die de DHCP server vrijgeeft zijn Internetadressen. Deze adressen zijn in bezit van de organisatie waarvoor oa. ik wat werkzaamheden verricht. Deelt iemand een film dan klopt het CERT bij de organisatie aan de deur en krijgen wij een melding of we dit willen uitzoeken.

Het Mac adres weten we. Hier zijn we dmv de packetsniffer al achter gekomen.

woensdag 29 oktober 2003 14:26

Acties:

Pantagruel

Mijn 80486 was snel,....was!

Misschien een open deur intrappen, maar kun je op die HP Procurve managed hub het MAC adress van de 'overtreding zijnde pc' niet gewoon blocken en zo verkeer van en naar deze machine plat leggen?
Het mega netwerk van mijn werkgever doet IP verdeling op MAC basis, MAC niet aangemeldt dan geen IP = geen internet., werkt erg goed.

[ Voor 3% gewijzigd door Pantagruel op 29-10-2003 14:28 ]

Asrock Z77 Extreme6, Intel i7-3770K, Corsair H100i, 32 GB DDR-3, 256 GB Samsung SSD + 2 x 3TB SATA, GeForce GTX 660 Ti, Onboard NIC and sound, SyncMaster 24"&22" Wide, Samsung DVD fikkertje, Corsair 500R

woensdag 29 oktober 2003 14:26

Acties:

raoulduke

Get in!

Ja maar met die packet sniffer krijg je toch ook de IP header te zien! Als je een heel frame hebt, dan kan je toch gewoon even de source en dest bitjes bekijken zodat je het IP adres hebt. Dan kan je actie ondernemen. Ik schreef dat hierboven ook al dus misschien moet ik vragen:

wat voor sniffer?

Bij ethereal of ettercap kan je echt wel de ruwe data in HEX bekijken en aan de hand daarvan de IP header uitlezen.

Remember, if you have any trouble you can always send a telegram to the Right People.

woensdag 29 oktober 2003 14:26

Acties:

Verwijderd

Topicstarter

We weten door de melding van het CERT ook hoe dit het shared.

> ------------------------------
> Infringement Detail:
> Infringing Work: Freddy Vs. Jason
> Filename: Freddy.Vs.Jason.TCR.SVCD_XviD-Full.avi
> First Found: 21 Oct 2003 03:19:35 EDT (GMT -0400) Last Found: 24 Oct
> 2003 03:16:13 EDT (GMT -0400)
> Filesize: 715,688k
> IP Address: XXX.XXX.XXX.XXX (IS PRIVE SORRY!)
> IP Port: 23393
> Network: Morpheus
> Protocol: Gnutella

woensdag 29 oktober 2003 14:26

Acties:

StevenK

Verwijderd schreef op 29 October 2003 @ 14:23:
Over waarom we willen weten wie de persoon in kwestie is:
Alle adressen die de DHCP server vrijgeeft zijn Internetadressen. Deze adressen zijn in bezit van de organisatie waarvoor oa. ik wat werkzaamheden verricht. Deelt iemand een film dan klopt het CERT bij de organisatie aan de deur en krijgen wij een melding of we dit willen uitzoeken.

Het Mac adres weten we. Hier zijn we dmv de packetsniffer al achter gekomen.

Als het een Windows-achtige PC is, kun je via NBTSTAT -A <IP-adres> de NetBIOS namen van de machine opvragen.

Telnetten naar poort 25 wil ook nog wel eens info opleveren.

Daarnaast kun je toch lekker zijn ip blokken in de firewall ?

Was advocaat maar vindt het juridische nog steeds leuk

woensdag 29 oktober 2003 14:34

Acties:

Verwijderd

Topicstarter

StevenK schreef op 29 October 2003 @ 14:26:
[...]
Als het een Windows-achtige PC is, kun je via NBTSTAT -A <IP-adres> de NetBIOS namen van de machine opvragen.

Telnetten naar poort 25 wil ook nog wel eens info opleveren.

Daarnaast kun je toch lekker zijn ip blokken in de firewall ?

-----------------
We hebben geen toegang tot de firewall. Dat is het probleem. We weten zowel het IP adres als het MC adres. De persoon heeft een firewall dus een ping werkt NIET. Maar we kunnen NIET blocken mits we hier een aanvraag voor doen. Aangezien we wel het aanspreekpunt zijn maar niet 123 bij de switch kunnen (ja alleen met operator rechten via een telnetsessie dus READONLY) is dit lastig.

Indien ze iemand dus laten afsluiten(macadres)... dan kan de persoon gewoon erg lang niet werken en voordat ze het macadres weer activeren dan zijn er wel wat uurtjes verstreken.

woensdag 29 oktober 2003 14:34

Acties:

Richie Boy

not SUBed

verkeerde post

[ Voor 90% gewijzigd door Richie Boy op 29-10-2003 14:35 ]

woensdag 29 oktober 2003 14:36

Acties:

DukeBox

loves wheat smoothies

StevenK schreef op 29 October 2003 @ 14:26:
[...]
Als het een Windows-achtige PC is, kun je via NBTSTAT -A <IP-adres> de NetBIOS namen van de machine opvragen.

Telnetten naar poort 25 wil ook nog wel eens info opleveren.

Daarnaast kun je toch lekker zijn ip blokken in de firewall ?

Het is altijd handig de mac's in een inventory op te nemen.. misschien er es een middag voor uittrekken, alle pc's langs en mac opschrijven + lokatie + ??

Als je niet kan pingen wil dat niet zeggen dat je geen dataverkeer kan veroorzaken.. desnoods een nmap -P0-Ss

[ Voor 13% gewijzigd door DukeBox op 29-10-2003 14:38 ]

Duct tape can't fix stupid, but it can muffle the sound.

woensdag 29 oktober 2003 14:43

Acties:

Verwijderd

Topicstarter

raoulduke schreef op 29 October 2003 @ 14:21:
Als je een MAC adres hebt en je snifft verkeer, dan heb je toch meestal wel een heel packet of stream te pakken? Daar kan je toch de TCP/IP header uithalen en dan het IP adres achterhalen?

Daarna kan je hem ping-flooden om te kijken welk lampje er op het hubje gaat branden en dan die kabel eruit halen.

----
Het IP adres kan ik gewoon achterhalen. Geen probleem.
Het idee om te kijken welk lampje er gaat branden als ik hem dus met extra packets bestook is een goed idee.
Weet alleen niet of ping-flooden wel werkt omdat de PC door de firewall geen antwoord geeft.
Heeft er hier iemand ervaring mee? Ik ga het straks proberen. bedankt!

woensdag 29 oktober 2003 14:45

Acties:

Verwijderd

DukeBox schreef op 29 oktober 2003 @ 14:36:
[...]

Het is altijd handig de mac's in een inventory op te nemen.. misschien er es een middag voor uittrekken, alle pc's langs en mac opschrijven + lokatie + ??

amen to that.

tipje nog: neem je eigen bootflop/cd mee. je moest eens weten hoeveel mensen een ander mac emuleren.

en kijk natuurlijk of er niet ergens stiekum een router if ander apparaat met eigen mac ligt.

woensdag 29 oktober 2003 14:48

Acties:

Verwijderd

Topicstarter

DukeBox schreef op 29 October 2003 @ 14:36:
[...]

Het is altijd handig de mac's in een inventory op te nemen.. misschien er es een middag voor uittrekken, alle pc's langs en mac opschrijven + lokatie + ??

Als je niet kan pingen wil dat niet zeggen dat je geen dataverkeer kan veroorzaken.. desnoods een nmap -P0-Ss

Ik weet vrij veel van netwerken af maar een nmap?.....Nmap

even opgezocht.... lijkt op een poortscan dus.

("Network Mapper") is a free open source utility for network exploration or security auditing. It was designed to rapidly scan large networks, although it works fine against single hosts. Nmap uses raw IP packets in novel ways to determine what hosts are available on the network, what services (application name and version) they are offering, what operating system (and OS version) they are running, what type of packet filters/firewalls are in use, and dozens of other characteristics. Nmap runs on most types of computers and both console and graphical versions are available. Nmap is free software, available with full source code under the terms of the GNU GPL.

woensdag 29 oktober 2003 14:56

Acties:

Mr_Gee

Ik Heb Gesproken

Weet alleen niet of ping-flooden wel werkt omdat de PC door de firewall geen antwoord geeft.

Maar hij gebruikt dus wel gnutella...
dan heeft hij lijkt mij wel die poorten open staan, anders valt er volgens mij niets te sharen...

Proffesioneel Platzak

woensdag 29 oktober 2003 15:01

Acties:

Verwijderd

Waarom zo gecompliceerd doen als het makkelijker kan.... (volgens mij....)
a) Er is ergens een DHCP-server... die DHCP-server heeft een bepaalde lease-time (1 dag? 1 week? 1 maand???).
b) je weet z'n MAC-adres..... dan heb je ook z'n IP-adres....
c) Block zijn IP-adres... en wacht ff tot iemand begint te piepen!

rebooten van zijn machine heeft niet veel zin, omdat de DHCP zegt.... je lease is toch nog niet voorbij... hier heb je je oude IP-adres.... wat dus vervolgens door de firewall weer wordt geblocked!
en anders als die lease te klein staat.... pas dan de lease-time op de DHCP-server aan....
Block zijn IP-adres.... en die reboot-stunt haalt ie dan vervolgens nog maar 1 keer uit omdat ie dan een nieuwe IP heeft maar dan ook met de nieuwe lease-time

Dan zal ie vanaf dat moment dus OF zijn IP-adres moeten wijzigen OF bij iemand gaan piepen dat ie niet het internet op kan...

woensdag 29 oktober 2003 15:21

Acties:

SPee

Wat je ook kunt doen:
-snif alle pakketjes van die verdieping totdat je alle IP en MAC adressen hebt.
-Ping ze allemaal en zorg dat je hun hostnaam krijgt en als het kan ook de usernaam.
-Ga dan al de mensen af en degene die je niet hebt is het slachtoffer.

Je kunt ook alle mensen op die verdieping een mail/brief sturen met de mededeling dat er illegale activiteiten plaats vinden op een (of meerdere) PC. Dan vragen of diegene zich wil melden of het wil verwijderen of anderen verklikkertje laten spelen. En als ze dat binnen een week ofzo niet hebben opgelost jullie harde maatregelen gaan nemen. Dus internet blokkeren.
Als dit te erg is, is die filesharing waarschijnlijk niet erg en nutteloos om nog achter aan te gaan.

Of op de HUB elke keer een kabeltje loslaten en alle bekende IP-adressen pingen (met laptop). Dan kun je met een beetje bijhouden er achter komen welke IP op welke poort zit.

Hier wordt wel rekening mee gehouden dat de andere gebruikers niet hun firewall aan hebben staan.

let the past be the past.

woensdag 29 oktober 2003 15:32

Acties:

Koffie

Koffiebierbrouwer

Braaimeneer

* Koffie ziet het hele probleem ook niet

- Je weet het IP adres, en zelfs de verdieping.
Trek die hele huib uit de switch en laad de verantwoordelijke (van die afdeling/toko/whatever) naar je toekomen en leg uit dat er niet eerder weer een verbinding is totdat de 'dader' stopt.

- Je hamet op een IP adres, en dan

Als je een IP adres weet, weet je net zo veel/weinig als nu.
Hooguit dat je idd in ee DHCP of wat dan ook iets meer kan, maar toch.

Nogmaals, ik snap je hele probleem niet:

* Je weet MAC adres
* Je weet IP adres
* Je weet verdieping
* Je weet welke share tool

Ik zu als BOFH de hele teringzooi eruit rammen, laat ze maar komen en leg uit dat ze niet eerder toegang krijgen totdat ze nokken.

Mag je dit niet

Mooi, dan ben je ook niet de verantwoordelijke.
Ben je wel verantwoordelijk ? Dan mag je je tot deze acties wenden.

Move PNS > NT

p.s. Als het idd een Windows machine is kun je eens proberen om idd een "nbtstat -a" te doen.
Zie je iig een workgroup en local username (en nu maar hopen dat dat geen administrator is

).

Tijd voor een nieuwe sig..

woensdag 29 oktober 2003 16:13

Acties:

Verwijderd

Ik snap niet waarom het CERT bij jullie komt klagen dat iemand een bestandje shared... heeft het CERT niks beters te doen? M.a.w. wat heeft het CERT hiermee te maken?

Als je gewoon een andere PC in het netwerk hetzelfde IP adres geeft, dan kan je vervolgens bij de helpdesk-telefoon gaan zitten wachten tot hij belt...

woensdag 29 oktober 2003 18:10

Acties:

Brahiewahiewa

boelkloedig

Verwijderd schreef op 29 October 2003 @ 14:26:
We weten door de melding van het CERT ook hoe dit het shared.

> ------------------------------
> Infringement Detail:
> Infringing Work: Freddy Vs. Jason
> Filename: Freddy.Vs.Jason.TCR.SVCD_XviD-Full.avi
> First Found: 21 Oct 2003 03:19:35 EDT (GMT -0400) Last Found: 24 Oct
> 2003 03:16:13 EDT (GMT -0400)
> Filesize: 715,688k
> IP Address: XXX.XXX.XXX.XXX (IS PRIVE SORRY!)
> IP Port: 23393
> Network: Morpheus
> Protocol: Gnutella

Je pakt het helemaal verkeerd aan: je focust op die ene persoon, maar wat ga je doen als het CERT je morgen een e-mail stuurt dat een andere persoon iets shared via Kazaa o.i.d? Je beheert een bedrijfsnetwerk en daar is het niet de bedoeling dat eindgebruikers naar internet files aanbieden. Je gaat dus gewoon met de mensen van de firewall praten en zegt dat je die dicht wil hebben voor alle file sharing protocollen.

QnJhaGlld2FoaWV3YQ==