Author Topic: Помогите вычислить нарушителя (Read 3927 times)

ZEN · « **on:** September 09, 2008, 10:33:39 »

Сетевой принтер со статическим IP, логи самостоятельно не ведет. Кто то переодически отправляет на него разного рода тексты и не приходит за ними. Подскажите как его можно вычислить?

fredina · « **Reply #1 on:** September 09, 2008, 11:15:22 »

а что за тексты печатает "злоумышленник"?

пройтись по компам, найти левого у кого в сети установлен данный принтер?
подлючить принтер через хаб, и на одном из портов хаба снифать (хз, сам так не делал)

ZEN · « **Reply #2 on:** September 09, 2008, 11:52:53 »

Quote from: fredina

а что за тексты печатает "злоумышленник"?

пройтись по компам, найти левого у кого в сети установлен данный принтер?
подлючить принтер через хаб, и на одном из портов хаба снифать (хз, сам так не делал)

Тексты самые разные к работе отношения не имеют(например: гороскопы). у меня более 150 компов, по всем пройтись не реально. Снифить порт это конечно выход тока я неумею может спец программой снифить этот IP ?

vkv · « **Reply #3 on:** September 10, 2008, 13:32:44 »

Quote from: ZEN

Тексты самые разные к работе отношения не имеют(например: гороскопы). у меня более 150 компов, по всем пройтись не реально. Снифить порт это конечно выход тока я неумею может спец программой снифить этот IP ?

посмотри на секлабе, там есть, что тебе нужно

never hood · « **Reply #4 on:** September 10, 2008, 15:49:49 »

Quote from: ZEN

Сетевой принтер со статическим IP, логи самостоятельно не ведет. Кто то переодически отправляет на него разного рода тексты и не приходит за ними. Подскажите как его можно вычислить?

Использовать сниффер (SwitchSniffer, Wireshark, например). Для этого желательно, чтобы использовались хабы, но некоторые коммутаторы, например 3Com, позволяют наблюдать за некоторыми портами. Для этого есть специальный режим "Port monitoring", при котором на коммутаторе назначаются порты "наблюдающий" и "наблюдаемый". Порт к которому подключен принтер, есессно, д.б. "наблюдаемым", а тот, к которому подключен комп со сниффером (например, ваш), "наблюдающим".
Все пакеты, идущие на принтер будут вам видны и, возможно, вы сможете обнаружить "злоумышленника".
Некоторые снифферы используют ARP-poisoning для перехвата пакетов на коммутаторах, но не все коммутаторы бывают уязвимы для этого вида атаки (а это именно атака).

.05 · « **Reply #5 on:** September 10, 2008, 16:57:07 »

насоветуете млин
Пара вопросов
Серверы есть? AD?
Какой у Вас принтер?

Если есть сервер есть, а я уверен что не один, то опубликуйте принтер на сервере через ipp или http и сделайте его общесетевым (или по русски - shared), в АД воткните, если есть, и печать с него пусть пускают, а далее просто в евентлоге записи фильтруйте и усе

пысы смените IP принтера перед этим, чтобы юзеры как раньше не пускали на печать
пысы2 потом проверьте аудит

ZEN · « **Reply #6 on:** September 11, 2008, 09:10:18 »

Quote from: .05

насоветуете млин
Пара вопросов
Серверы есть? AD?
Какой у Вас принтер?

Если есть сервер есть, а я уверен что не один, то опубликуйте принтер на сервере через ipp или http и сделайте его общесетевым (или по русски - shared), в АД воткните, если есть, и печать с него пусть пускают, а далее просто в евентлоге записи фильтруйте и усе

пысы смените IP принтера перед этим, чтобы юзеры как раньше не пускали на печать
пысы2 потом проверьте аудит

Серверы есть, АД - конечно, принтер HP 4000. Сделал принт-сервер на одном из серверов где расшарил этот принтер....с аудитом не совсем понятно...видать что то неправильно делаю...

.05 · « **Reply #7 on:** September 11, 2008, 14:07:11 »

Quote from: ZEN

Серверы есть, АД - конечно, принтер HP 4000. Сделал принт-сервер на одном из серверов где расшарил этот принтер....с аудитом не совсем понятно...видать что то неправильно делаю...

При комнатной температуре, т.е. по умолчанию, события падают в журнал "система" (system) - вот это проверить надо )
В АД, в событиях, указывается имя пользователя, принтер, название документа, кол-во страниц и чегото там еще

ZEN · « **Reply #8 on:** September 12, 2008, 08:21:58 »

Quote from: .05

При комнатной температуре, т.е. по умолчанию, события падают в журнал "система" (system) - вот это проверить надо )
В АД, в событиях, указывается имя пользователя, принтер, название документа, кол-во страниц и чегото там еще

открываю АД менеджер, ищу что либо напоминающее события - нету....принтер могу найти только ч\з поиск.... событий там так же нету. я там смотрю?
нашел в групповых политиках "Log directory pruning retry events", возможно теперь в Событиях появится инфо о печати....?

ПЫСЫ: да я ламер, но я быстро учусь!

.05 · « **Reply #9 on:** September 12, 2008, 20:28:53 »

Quote from: ZEN

открываю АД менеджер, ищу что либо напоминающее события - нету....принтер могу найти только ч\з поиск.... событий там так же нету. я там смотрю?
нашел в групповых политиках "Log directory pruning retry events", возможно теперь в Событиях появится инфо о печати....?

ПЫСЫ: да я ламер, но я быстро учусь!

панель управления-> администрирование -> просмотр событий -> (журнал система)-> фильтр по событию print

у меня вот так работает )

ZEN · « **Reply #10 on:** September 15, 2008, 08:50:24 »

по какой то причине у меня там отображается печать только одного принтера, а их около 20.....

Tomsk Sysadmins Forum

News:

Author Topic: Помогите вычислить нарушителя (Read 3927 times)

ZEN

Помогите вычислить нарушителя

fredina

Помогите вычислить нарушителя

ZEN

Помогите вычислить нарушителя

vkv

Помогите вычислить нарушителя

never hood

Помогите вычислить нарушителя

.05

Помогите вычислить нарушителя

ZEN

Помогите вычислить нарушителя

.05

Помогите вычислить нарушителя

ZEN

Помогите вычислить нарушителя

.05

Помогите вычислить нарушителя

ZEN

Помогите вычислить нарушителя