Зонд для удаленного захвата трафика

Question

Зонд для удаленного захвата трафика

Справочная информация: я являюсь системным администратором в довольно крупном университете (около 15 000 пользователей в жилых помещениях /ResNet). В то время как моя группа отвечает за администрирование пространства ResNet (аутентификация, DHCP и т. Д.), Фактические сетевые устройства принадлежат и управляются другим отделом. Большинство общежитий находятся на своих собственных маршрутизаторах, и, согласно политике, VLAN не могут пересекать маршрутизаторы.

У нас возникают странные проблемы с DHCP, скорее всего, связанные с вирусами, которые работают на DHCP-серверах. Наш план отработки отказа DHCP основан на том, что наши DHCP-серверы не являются авторитетными, поэтому, когда в сети появляется ящик с DHCP-сервером (вирусом), все начинают получать свои предложения вместо предложений из действующего ящика DHCP.

Устранение неполадок значительно усложняется тем фактом, что, поскольку у нас нет устройств в подсети или в VLAN, наш единственный метод идентификации зараженного пользователя - это физически выйти на сайт, подключиться к порту и запустить захват трафика (затем связать MAC с портом коммутатора и отключить порт).

Итак, моя идея состоит в том, чтобы сделать несколько анализаторов / пробников трафика для установки в проблемных сетях (с одним интерфейсом в уязвимой сети и одним в известной исправной подсети для обратной связи с нами).

У меня есть две теории о том, как это сделать:

Настройте устройство с помощью vtund и (при необходимости) туннелируйте весь трафик от интерфейса в уязвимой сети обратно к одному из наших блоков.
Установите tcpdump и SShd на устройстве, напишите небольшой сценарий, который отправляет домой телефон с известным хорошим IP-адресом устройства, а затем SSH на устройство и выполните захват пакета при необходимости.

Есть альтернативные теории? Кто-нибудь должен был справиться с такой проблемой (в частности, захват трафика в сети, по которому вы можете проложить маршрут, но на самом деле не можете сесть на него). К сожалению, это должно быть решение с нулевым бюджетом (хотя у меня есть несколько плат Soekris с 3 интерфейсами каждая валяется).

Спасибо Джейсон

0

dhcp network-traffic

Источник

Jason Antman 08 окт '09 в 03:33

2 ответа

Другие вопросы по тегам dhcp network-traffic

wfaulk 08 окт '09 в 04:16 2009-10-08 04:16 · Answer 1 · 2009-10-08 04:16

Разве вы не можете просто установить в сети машину со статическим IP? Вы сказали, что управляете DHCP, поэтому просто зарезервируйте определенный IP-адрес для этой машины. Ему не нужно получать адрес от DHCP-сервера, если его никто не забирает. Конечно, у вас все еще есть возможность выдать этот адрес фиктивным DHCP-сервером.

Вы также можете регистрировать все предложения DHCP и пакеты подтверждения, поступающие из систем, отличных от ваших официальных серверов DHCP. Если у вас есть доступ к коммутатору (вы говорите, что им не владеете, но говорите, что можете "отключить порт"), вы можете даже автоматизировать отключение порта.

Jason Antman 13 окт '09 в 20:42 2009-10-13 20:42 · Answer 2 · 2009-10-13 20:42

Спасибо всем за вклад. В итоге я установил Debian на коробку Soekris. Он получает DHCP для eth0 через известную хорошую подсеть, а затем звонит домой со своим IP. Идея состоит в том, чтобы подключить два других интерфейса к плохим подсетям, а затем SSH в блок, на котором есть tcpdump, dhclient, nmap и т. Д.

Если кто-нибудь найдет это в архивах, я настрою небольшую страницу проекта по адресу http://lunchbox.jasonantman.com/ с информацией о том, как я ее построил, а также с архивами файловой системы и образом карты CF объемом 1 ГБ, готовым к использованию на Soekris net4801 (или, возможно, net4501).