Назад | Перейти на главную страницу

Зонд удаленного захвата трафика

Предыстория: я системный администратор в относительно большом университете (около 15 000 пользователей в жилых помещениях / ResNet). Хотя моя группа отвечает за администрирование пространства ResNet (аутентификация, DHCP и т. Д.), Фактические сетевые устройства принадлежат другому отделу и управляются им. Большинство общежитий имеют собственный маршрутизатор и, согласно правилам, VLAN не могут пересекать маршрутизаторы.

У нас возникают странные проблемы с DHCP, скорее всего, связанные с вирусами, которые запускают DHCP-серверы. Наш план аварийного переключения DHCP основан на том, что наши DHCP-серверы не являются авторитетными, поэтому, когда в сети появляется ящик с DHCP-сервером (вирусом), все начинают принимать его предложения вместо предложений из фактического DHCP-сервера.

Устранение неполадок значительно усложняется тем фактом, что, поскольку у нас нет никаких устройств в подсети или в VLAN, наш единственный способ идентифицировать зараженного пользователя - это физически выехать на сайт, подключиться к порту и запустить захват трафика (затем свяжите MAC с портом коммутатора и выключите порт).

Итак, моя идея состоит в том, чтобы сделать несколько анализаторов трафика / зондов для установки в проблемных сетях (с одним интерфейсом в уязвимой сети и одним в заведомо исправной подсети, чтобы связаться с нами).

У меня есть две теории, как это сделать:

  1. Настройте устройство с помощью vtund и (при необходимости) туннелируйте весь трафик с интерфейса в затронутой сети обратно в один из наших устройств.
  2. Установите tcpdump и SShd на устройство, напишите небольшой сценарий, который звонит домой с заведомо исправным IP-адресом устройства, а затем подключитесь к устройству по SSH и при необходимости выполните захват пакетов.

Есть альтернативные теории? Кому-нибудь приходилось решать такую ​​проблему (в частности, захват трафика в сети, к которой вы можете получить маршрут, но на самом деле не можете подключиться). К сожалению, это должно быть решение с нулевым бюджетом (хотя у меня есть несколько плат Soekris с 3 интерфейсами на каждой).

Спасибо, Джейсон

А нельзя просто установить в сети машину со статическим IP? Вы сказали, что контролируете DHCP, поэтому просто зарезервируйте определенный IP-адрес для этой машины. Ему не нужно получать адрес от DHCP-сервера, если его никто не берет. Конечно, у вас все еще есть вероятность того, что поддельный DHCP-сервер выдаст этот адрес.

Вы также можете регистрировать все предложения DHCP и пакеты подтверждения, которые поступают из систем, отличных от ваших официальных серверов DHCP. Если у вас есть доступ к коммутатору для входа в систему (вы говорите, что не владеете им, но вы говорите, что можете «отключить порт»), вы даже можете автоматизировать отключение порта.

Спасибо всем за вклад. В итоге я установил Debian на ящик Soekris. Он получает DHCP для eth0 через заведомо исправную подсеть, а затем звонит домой со своим IP. Идея состоит в том, чтобы подключить два других интерфейса к плохим подсетям, а затем по SSH к ящику, на котором есть tcpdump, dhclient, nmap и т. Д.

Если кто-нибудь найдет это в архивах, я установил небольшую страницу проекта по адресу http://lunchbox.jasonantman.com/ с информацией о том, как я его собрал, а также с архивами файловой системы и образом CF-карты объемом 1 ГБ, готовым для использования на Soekris net4801 (или, возможно, net4501).