Author Topic: Помогите вычислить нарушителя  (Read 3888 times)

0 Members and 1 Guest are viewing this topic.

Offline ZEN

  • Jr. Member
  • **
  • Posts: 53
  • Karma: +0/-0
Помогите вычислить нарушителя
« on: September 09, 2008, 10:33:39 »
Сетевой принтер со статическим IP, логи самостоятельно не ведет. Кто то переодически отправляет на него разного рода тексты и не приходит за ними. Подскажите как его можно вычислить?

Offline fredina

  • Sr. Member
  • ****
  • Posts: 367
  • Karma: +0/-0
Помогите вычислить нарушителя
« Reply #1 on: September 09, 2008, 11:15:22 »
а что за тексты печатает "злоумышленник"?

пройтись по компам, найти левого у кого в сети установлен данный принтер?
подлючить принтер через хаб, и на одном из портов хаба снифать (хз, сам так не делал)

Offline ZEN

  • Jr. Member
  • **
  • Posts: 53
  • Karma: +0/-0
Помогите вычислить нарушителя
« Reply #2 on: September 09, 2008, 11:52:53 »
Quote from: fredina
а что за тексты печатает "злоумышленник"?

пройтись по компам, найти левого у кого в сети установлен данный принтер?
подлючить принтер через хаб, и на одном из портов хаба снифать (хз, сам так не делал)
Тексты самые разные к работе отношения не имеют(например: гороскопы). у меня более 150 компов, по всем пройтись не реально. Снифить порт это конечно выход тока я неумею  может спец программой снифить этот IP ?

Offline vkv

  • Newbie
  • *
  • Posts: 17
  • Karma: +0/-0
    • http://
Помогите вычислить нарушителя
« Reply #3 on: September 10, 2008, 13:32:44 »
Quote from: ZEN
Тексты самые разные к работе отношения не имеют(например: гороскопы). у меня более 150 компов, по всем пройтись не реально. Снифить порт это конечно выход тока я неумею  может спец программой снифить этот IP ?
посмотри на секлабе, там есть, что тебе нужно

Offline never hood

  • Hero Member
  • *****
  • Posts: 845
  • Karma: +16/-10
  • www.4job.co
    • Работа, которую ты искал
Помогите вычислить нарушителя
« Reply #4 on: September 10, 2008, 15:49:49 »
Quote from: ZEN
Сетевой принтер со статическим IP, логи самостоятельно не ведет. Кто то переодически отправляет на него разного рода тексты и не приходит за ними. Подскажите как его можно вычислить?
Использовать сниффер (SwitchSniffer, Wireshark, например). Для этого желательно, чтобы использовались хабы, но некоторые коммутаторы, например 3Com, позволяют наблюдать за некоторыми портами. Для этого есть специальный режим "Port monitoring", при котором на коммутаторе назначаются порты "наблюдающий" и "наблюдаемый". Порт к которому подключен принтер, есессно, д.б. "наблюдаемым", а тот, к которому подключен комп со сниффером (например, ваш), "наблюдающим".
Все пакеты, идущие на принтер будут вам видны и, возможно, вы сможете обнаружить "злоумышленника".
Некоторые снифферы используют ARP-poisoning для перехвата пакетов на коммутаторах, но не все коммутаторы бывают уязвимы для этого вида атаки (а это именно атака).

Offline .05

  • Full Member
  • ***
  • Posts: 225
  • Karma: +2/-1
Помогите вычислить нарушителя
« Reply #5 on: September 10, 2008, 16:57:07 »
насоветуете  млин
Пара вопросов
Серверы есть? AD?
Какой у Вас принтер?

Если есть сервер есть, а я уверен что не один, то опубликуйте принтер на сервере через ipp или http и сделайте его общесетевым (или по русски - shared), в АД воткните, если есть, и печать с него пусть пускают, а далее просто в евентлоге записи фильтруйте и усе

пысы смените IP принтера перед этим, чтобы юзеры как раньше не пускали на печать
пысы2 потом проверьте аудит
« Last Edit: September 10, 2008, 17:06:11 by .05 »
Ведь я только всего и хочу, чтобы всё всегда было по-моему

Offline ZEN

  • Jr. Member
  • **
  • Posts: 53
  • Karma: +0/-0
Помогите вычислить нарушителя
« Reply #6 on: September 11, 2008, 09:10:18 »
Quote from: .05
насоветуете  млин
Пара вопросов
Серверы есть? AD?
Какой у Вас принтер?

Если есть сервер есть, а я уверен что не один, то опубликуйте принтер на сервере через ipp или http и сделайте его общесетевым (или по русски - shared), в АД воткните, если есть, и печать с него пусть пускают, а далее просто в евентлоге записи фильтруйте и усе

пысы смените IP принтера перед этим, чтобы юзеры как раньше не пускали на печать
пысы2 потом проверьте аудит

Серверы есть, АД - конечно, принтер HP 4000. Сделал принт-сервер на одном из серверов где расшарил этот принтер....с аудитом не совсем понятно...видать что то неправильно делаю...

Offline .05

  • Full Member
  • ***
  • Posts: 225
  • Karma: +2/-1
Помогите вычислить нарушителя
« Reply #7 on: September 11, 2008, 14:07:11 »
Quote from: ZEN
Серверы есть, АД - конечно, принтер HP 4000. Сделал принт-сервер на одном из серверов где расшарил этот принтер....с аудитом не совсем понятно...видать что то неправильно делаю...
При комнатной температуре, т.е. по умолчанию, события падают в журнал "система" (system) - вот это проверить надо )
В АД, в событиях, указывается имя пользователя, принтер, название документа, кол-во страниц и чегото  там еще
« Last Edit: September 11, 2008, 14:09:07 by .05 »
Ведь я только всего и хочу, чтобы всё всегда было по-моему

Offline ZEN

  • Jr. Member
  • **
  • Posts: 53
  • Karma: +0/-0
Помогите вычислить нарушителя
« Reply #8 on: September 12, 2008, 08:21:58 »
Quote from: .05
При комнатной температуре, т.е. по умолчанию, события падают в журнал "система" (system) - вот это проверить надо )
В АД, в событиях, указывается имя пользователя, принтер, название документа, кол-во страниц и чегото  там еще

открываю АД менеджер, ищу что либо напоминающее события - нету....принтер могу найти только ч\з поиск.... событий там так же нету.  я там смотрю?
нашел в групповых политиках "Log directory pruning retry events", возможно теперь в Событиях появится инфо о печати....?

ПЫСЫ: да я ламер, но я быстро учусь!
« Last Edit: September 12, 2008, 08:52:24 by ZEN »

Offline .05

  • Full Member
  • ***
  • Posts: 225
  • Karma: +2/-1
Помогите вычислить нарушителя
« Reply #9 on: September 12, 2008, 20:28:53 »
Quote from: ZEN
открываю АД менеджер, ищу что либо напоминающее события - нету....принтер могу найти только ч\з поиск.... событий там так же нету.  я там смотрю?
нашел в групповых политиках "Log directory pruning retry events", возможно теперь в Событиях появится инфо о печати....?

ПЫСЫ: да я ламер, но я быстро учусь!

панель управления-> администрирование -> просмотр событий -> (журнал система)-> фильтр по событию print

у меня вот так работает )
Ведь я только всего и хочу, чтобы всё всегда было по-моему

Offline ZEN

  • Jr. Member
  • **
  • Posts: 53
  • Karma: +0/-0
Помогите вычислить нарушителя
« Reply #10 on: September 15, 2008, 08:50:24 »
по какой то причине у меня там отображается печать только одного принтера, а их около 20.....