Изпечатай

[gat3way]

Кауза пердута е това без умен суич с dhcp snooping или 802.1x автентикация. Човек ако го прави нарочно това, винаги може да слухти известно време трафика и да разбере колкото си иска двойки IP-MAC адреси и да се прави на когото си иска. Да, то може да си инсталираш arpwatch или нещо друго подобно, което на момента да те уведомява като се получат дуплицирани ARP отговори, ама какво от това - ще ходиш по суичовете и ще разкачаш кабели докато намериш гадината? Дори на всеки порт да имаш лепенка с MAC адреса отсреща, дори да си правиш тънки сметки с това през колко суича до теб е на база латентността, не можеш по цял ден да стоиш като сотаджия на повикване. То не е проблем само с малките доставчици - аз имах един казус с Мтел дето ми взеха едни пари уж за да ме вържат в мрежата и не дойдоха две седмици, а междувременно се оказа че аз винаги съм си имал L2 свързаност, при което ми изпуши главата и отидох и им заявих в съпорт форума че ако не ми дадат мрежови настройки и не ми върнат таксата, ще почна да се правя на който реша, понеже те и да са голяма компания, също нямат умни суичове при крайните клиенти, поне тук. То там дори стана по-къдраво, защото се появи един трол дето си мисли че е по-голям трол от мен, ама нещо не се получи, за това си трябва талант. Още на същият ден обаче се уреди проблема.

[10101]

Сменете технологията, микротик със хотспот или pptp/pppoe.Хотспот-а може и да е unlimited без пароли и потребители.Но няма шанс да има нет без да се логне ...статика не работи

[ddantgwyn]

Кауза пердута е това без умен суич с dhcp snooping или 802.1x автентикация. Човек ако го прави нарочно това, винаги може да слухти известно време трафика и да разбере колкото си иска двойки IP-MAC адреси и да се прави на когото си иска. Да, то може да си инсталираш arpwatch или нещо друго подобно, което на момента да те уведомява като се получат дуплицирани ARP отговори, ама какво от това - ще ходиш по суичовете и ще разкачаш кабели докато намериш гадината? Дори на всеки порт да имаш лепенка с MAC адреса отсреща, дори да си правиш тънки сметки с това през колко суича до теб е на база латентността, не можеш по цял ден да стоиш като сотаджия на повикване. То не е проблем само с малките доставчици - аз имах един казус с Мтел дето ми взеха едни пари уж за да ме вържат в мрежата и не дойдоха две седмици, а междувременно се оказа че аз винаги съм си имал L2 свързаност, при което ми изпуши главата и отидох и им заявих в съпорт форума че ако не ми дадат мрежови настройки и не ми върнат таксата, ще почна да се правя на който реша, понеже те и да са голяма компания, също нямат умни суичове при крайните клиенти, поне тук. То там дори стана по-къдраво, защото се появи един трол дето си мисли че е по-голям трол от мен, ама нещо не се получи, за това си трябва талант. Още на същият ден обаче се уреди проблема.

Съгласен съм, че е почти кауза пердута без умни комутатори, но потребителите при мен не са злонамерени. Просто някой си мисли, че е много наясно с мрежовите технологии и прави тези проблеми от глупост, а не защото иска.

Засега се спирам на идеята при откриване на дублирани адреси и/или при оплакване за IP конфликт да режа тотално достъпа на нарушителя по неговия mac адрес и да го чакам сам да дойде да пита какво става. Това предполага известна ръчна бродерия, но пък не ме притеснява чак толкова -- случаите не са драстично много, че да ми се схванат ръцете, но все пак ги има.

А за умни комутатори -- ще видим. Повече от 8 години разправям, че цялата мрежа е за подмяна, но шефовете нехаят. Едно, че наистина няма много пари, второ -- че нещата (с моя помощ) все още работят и трето -- просто не са наясно какво означава да останат без мрежа. Та при една нова мрежа се надявам да се преборя за умни комутатори. Ако не всички, поне по един такъв да има на етаж.

Благодаря още веднъж на всички отзовали се.

[Yasen6275]

Еми с arp-scan ама от там на сетне, как ще го локализираш идея си нямам
arp-scan -I ethX -l | grep DUP

Така или инак без умни суичове не виждам как ще стане... Дори и да хванеш, че има дублиран адрес, как ще го локализираш от коя стая идва без да дърпаш кабели? Освен всяка стая да влиза в отдедлен интерфейс

Идеята е не да го локализираме а да му резнем връзката със външния свят по мак адрес. Той сам ще се обади после.
Сканират се маковете в dhcp.leases файла.
Пуска се арп-скан и се вадят мак адресите
От двата списъка се вадят уникалните които са само в арп-скан
После какво се прави с тях още не е решено.

[edmon]

като ви кажат кой адрес е дублиран,
го закачате на машина преди мрежата, откачате клиентите физически за миг и после ги закачате, така на идиота ще му дава, че му е дублиран адреса )))


ПС а те играят игри и им трябват статични адреси 

[luda_glawa]

Сменете технологията, микротик със хотспот или pptp/pppoe.Хотспот-а може и да е unlimited без пароли и потребители.Но няма шанс да има нет без да се логне ...статика не работи

Мисля, че това е най-доброто решение - хотспот

[jet]

Или интернет прокси