beccare un deficiente in una rete

[djinnZ]

Stamattina stavo lavorando presso un cliente quando qualcuno nella sua rete ha preso possesso di uno dei due indirizzi ip che mi sono stati assegnati (che tra le tante cose può connettersi direttamente ad internet).
Il cosiddetto amministratore di rete ha verificato con ping (risparmiatemi i commenti) e mi ha liquidato (e non so se lo ha fatto per idiozia o perché era proprio lui a scocciare) dicendo che sarà capitato per errore.
Vorrei trovare un modo per lasciare il mio portatile a guardia del computer dove lavoro e localizzarlo o fargli qualcosa che gli faccia capire che non è il caso di fare ancora lo spiritoso. Ovviamente niente di illegale o che possa compromettere la sicurezza della rete o intasarla.
Il livello è molto inferiore allo script kiddie medio ma non si sa mai.

Già che mi trovo, mi chiedo, a titolo di curiosità se esiste un modo per localizzare fisicamente un computer connesso a scrocco ad una rete e quanto potrebbe costare se è necessario hw dedicato.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist

[Peach]

ehm... che tipo di rete?
per la wifi, si. c'è modo.. . almeno teoricamente
per quanto riguarda "lasciare il portatile a guardia del fisso" mi è un attimo oscura come frase
_________________
Gentoo user since 2004.
"It's all fun and games, until someone loses an eye" - mom

[canduc17]

Conosci wireshark?
_________________
A cow enters a supermarket, does an handstand and dies. (Public toilet graffito)

[djinnZ]

Non è una rete wifi (magari, devo portarmi dietro un cavo rj45 per collegarmi), è una rete ethernet, basata su una serie di switch ed estesa in alcuni punti con degli hub da poco.
Purtroppo c'e ancora win98 e non sanno configurare gli account limitati su winxp quindi tutti possono cambiare l'indirizzo ip delle loro macchina. L'idea sarebbe presentarmi dal responsabile se ci riprova e dirgli tizio mi ha fatto lo scherzetto, anche solo individuando il nome windozz del pc.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist

[koma]

ISS Sistema dell'ibm ha delle sonde immerse nella rete identifica i rami di rete e il posizionamento delle macchine non ti dice esattamente dove si trova ma lo switch a cui si è agganciato.
_________________
http://www.youtube.com/watch?v=_yoJI-Tl94g GLORY GLORY HYPNOTOAD

[CarloJekko]

[HoX]

Se riesci ( non so come ) a risalire al MAC Address fai un grande passo avanti. Dopo che hai trovato quello, devi solo piu' capire a quale pc corrisponde, ma sei sicuro che sia esclusivamente quello visto che non puo' essere cambiato come l'indirizzo IP.
_________________
"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live." -- Damian Conway

Proudly member of the Torino Linux Task Force

[riverdragon]

[ProT-0-TypE]

installa arpwatch, così tieni traccia se un indirizzo ip viene utilizzato da più postazioni differenti (in quanto il mac address cambia).
ovviamente tiene traccia dei cambiamenti di ip/mac solo della tua stessa sottorete
_________________
[Vuoi guadagnare navigando?]

[Kernel78]

[HoX]

[Kernel78]

[crisandbea]

[federico]

[djinnZ]

poichè i mac sono assegnati per intervalli ai vari produttori sono già esauriti da un pezzo ed è possibile che ci si ritrovi con indirizzi identici, quindi è da un pezzo che lo si può cambiare (su win9x e linux 2.0 sono sicuro che si poteva).

In ogni caso la mia domanda era se c'era un modo per configurare senza sforzo arpwatch per rilevare tutte le informazioni possibili sull'identità di un pc windozziano che usurpa gli ip altrui.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist

[otaku]

Cosi su due piedi quello che posso consigliarti è EtherApe.


Che cosa han combinato una volta impostati questi indirizzi IP?
_________________
Ventiquattr'ore al giorno in preda a una follia contorta...

[elegos]

Scusa ma...

... il furbo può esserlo quanto gli pare, ma non puoi contattare l'amministratore della rete e fargli bindare l'IP al tuo MAC address? In questo modo l'IP è autoassegnato soltanto al tuo MAC address. Metti caso che il furbacchiotto cambi MAC address per fregarti l'IP (cosa banale a farsi, non banale a pensarla), basta che fai un controllo sui MAC connessi alla rete e patapim! Lo sgami subito, no?

[Kernel78]

[djinnZ]

[dynamite]

A parte ricavarsi un elenco dei mac address e ip (a patto che questo personaggio non modifichi il suo mac) non ci sono molte altre strade, a meno di non minacciare ognuno con un ascia bipenne (soluzione rudimentale, ma porta grande soddisfazione)

[mrfree]

Per localizzarlo c'è poco da fare, innanzi tutto devi poter amministrare gli switch (ipotizzo sia una rete interamente switch-ata) nel senso che devi avere accesso al suo sistema operativo. Dipende molto dal produttore degli apparati stessi e dalle funzionalità messe a disposizione dal firmware, in generale comunque io inizierei dal root-bridge (anche qui ipotizzo che tu conosca il root-bridge per la tua VLAN, potrebbero esserci più alberi o uno solo... dipende ma non è così importate in questo caso) spulcia la MAC-address table e individua da quale porta proviene il MAC address dell'imbecille (senza offesa, è solo a scopo identificativo). A questo punto dovresti capire qual è il prossimo switch: se sono switch Cisco puoi usare il CDP e individuare il neighbor altrimenti devi ricorrere all'ispezione fisica o meglio alla consultazione della mappa topologica della rete. Percorrendo la rete in questa maniera alla fine arrivi al PC (se è un PC) incriminato.

Note
. è importante che il PC bersaglio generi traffico, le entry nelle MAC-address table scadono (es. TTL 5 min)
. il mac-address del PC bersaglio è noto, a prescindere che sia vero o falso a te interessa l'associazione IP-MACaddr in un certo lasso di tempo... se il tipo è un po' smaliziato potrebbe anche cambiare indirizzo MAC periodicamente (ogni tot minuti) facendoti girovagare inutilmente per la rete, questo potrebbe essere un problema Per individuare l'indirizzo MAC da seguire sulla rete ti basta pingare l'indirizzo IP che ti è stato "sottratto" e consultare la tua ARP table (potresti anche semplicemente ascoltare la rete ma potrebbe volerci più tempo... tanto hai detto di avere 2 IP)
. l'amico amministratore di rete potrebbe attivare il port-security (il nome cambia a seconda dei produttori degli apparati) in modo da limitare l'accesso ad una porta dello switch ad un singolo indirizzo MAC o ad un pool di indirizzi
_________________
Please EU, pimp my country!

ICE: /etc/init.d/iptables panic

[uzz75]

esegui un ping sul broadcast, poi con arp visualizzi le tabelle arp (ip-mac)

nmap dovrebbe avere un db su web mac-produttore.

con nmap riesci comunque ad avere informazioni sufficienti...

se poi l'utente usa windows non proprio aggiornato, e password banali con dei comandi RPC di samba ti puoi davvero divvertire...

P.S. il 95% degli utenti windows non ha mai impostato la password di administrator....
_________________
Michele

[elegos]

al PS:
questo perché windows non ti obbliga a farlo lol