Перейти к содержанию
    

Помогите понять как это сделано

Суть в следующем. На работе завелся вредитель. Мотивы описывать не буду, уверяю низменные. Собственно прибор должен слать результаты измерений в ПЛК, который их обрабатывает. Что делает... со своего компьютера отсылает широковещательное сообщение с айпи ПЛК, но мак-адресом своего компьютера. Прибор спроектирован с применением библиотек от Keil. Вредитель используя IP-спуфинг перенаправляет данные на свой комп и вещает начальству что это прибор так плохо работает и данные не передает. Начальство в технике не особо разбирается. Вредителя я вычислил и опытным путем проверил, что если выдернуть разъем из его компа то ложные пакеты не идут и все работает нормально. Протокол передачи данных UDP. Это собственно и дает возможность пакостить. На компьютере вредителя две сетевые карточки. Одна имеет два айпи 192.168.99.203 и 192.168.1.35. Ее мак-адрес 30 85 A9 ED 5B EE. Другая имеет айпи 192.168.99.101. Ее мак-адрес 48 5B 39 AD 63 C8. Ложная посылка уходит от айпи 192.168.99.101 и мак-адресом 30 85 A9 ED 5B EE (мак первой карточки). Первая карточка подключена к локальной сети проводом в свитч. Вторая подключена к вайфай роутеру напрямую одна. 192.168.99.101 - айпи ПЛК. Если ПЛК отключить от локальной сети то его айпи не пингуется. Ложные посылки при этом идут как и раньше. Интервал посылок чуть больше 42 сек. Собственно стоит задача обличить вредителя и доказать что это не случайность, а сделано намерено. Прошу помочь разобраться каким способом вредитель это делает. Может для этого достаточно настроить карточки и роутер или работает какая-то программа? Как и что искать дальше чтоб уж точно наверняка? Вытрепал нервы мне и ряду других людей. Кучу времени зря убили ища ошибки которых нет. Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Суть в следующем. На работе завелся вредитель. Мотивы описывать не буду, уверяю низменные. Собственно прибор должен слать результаты измерений в ПЛК, который их обрабатывает. Что делает... со своего компьютера отсылает широковещательное сообщение с айпи ПЛК, но мак-адресом своего компьютера. Прибор спроектирован с применением библиотек от Keil. Вредитель используя IP-спуфинг перенаправляет данные на свой комп и вещает начальству что это прибор так плохо работает и данные не передает. Начальство в технике не особо разбирается. Вредителя я вычислил и опытным путем проверил, что если выдернуть разъем из его компа то ложные пакеты не идут и все работает нормально. Протокол передачи данных UDP. Это собственно и дает возможность пакостить. На компьютере вредителя две сетевые карточки. Одна имеет два айпи 192.168.99.203 и 192.168.1.35. Ее мак-адрес 30 85 A9 ED 5B EE. Другая имеет айпи 192.168.99.101. Ее мак-адрес 48 5B 39 AD 63 C8. Ложная посылка уходит от айпи 192.168.99.101 и мак-адресом 30 85 A9 ED 5B EE (мак первой карточки). Первая карточка подключена к локальной сети проводом в свитч. Вторая подключена к вайфай роутеру напрямую одна. 192.168.99.101 - айпи ПЛК. Если ПЛК отключить от локальной сети то его айпи не пингуется. Ложные посылки при этом идут как и раньше. Интервал посылок чуть больше 42 сек. Собственно стоит задача обличить вредителя и доказать что это не случайность, а сделано намерено. Прошу помочь разобраться каким способом вредитель это делает. Может для этого достаточно настроить карточки и роутер или работает какая-то программа? Как и что искать дальше чтоб уж точно наверняка? Вытрепал нервы мне и ряду других людей. Кучу времени зря убили ища ошибки которых нет. Спасибо.

 

может проще позвать начальство и при нем выдернуть шнурок?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Это само собой. Заму уже показал. Но был задан вопрос как и что нужно найти или объяснить чтобы показать механизм действия.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Поставить/одолжить управляемый свитч и отрубать негодяя в моменты разоблачения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нужно выяснить каким конкретно способом это делается. Отбрешется же. Смысл в том чтоб не дать возможности навешать лапши директору. А вырубить и дубиной можно. Смысл не в том чтобы втихаря противодействовать, а чтобы конкретно доказательно разоблачить. иначе большой шанс что отбрешется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1. Пакеты широковещательные - значить запротоколировать их на любой машине в сети, например при помощи Wireshark, настроив его именно на вредоносные пакеты.

2. Показывать, log начальству: вот пакеты - вот проблемы / нет пакетов - нет проблем.

3. При необходимости показать в живую: вот валятся вредоносные пакеты -> вот проблемы,.. прервать поток вредоносных пакетов - и нет проблем.

 

Log составить в любом случае - он как протокол вредительства и саботажа, поможет указать руководству, сколько рабочего времени и усилий (т.е. денег) было испоганено вредителем... тогда, глядишь, уже не фирма ему будет должна, а он ей (при увольнении).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Суть в следующем...

Получить доступ к компьютеру сотрудника, если это сеть предприятия, то админы со своего рабочего места могут зайти с правами админа и отследить любые телодвижения софта на компьютере. В том числе и программу которая отсыает вредоносные пакеты.

Да, и почему не изменить ip адрес ПЛК.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Приветствую!

 

Скорее всего у этого товарища просто настроен доп ip адрес для первой сетевой карточки на компе который совпадает с адресом ПЛК. Причем это может было сделано и не специально - до того как этот ПЛК в сеть воткнули. Так как это стандартная практика если надо что-что протестировать. Ну а win наверное периодически шлет arp пакеты через этот ip

 

Делается это стандартными средствами Win. Так что доказать в этом случае что это специально сделано чтобы навредить сложно. Тем более зачем же при этом светить свой MAC. Тогда уж лучше бы подставлял бы MAC начальника :)

 

Удачи! Rob.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Приветствую!

 

Скорее всего у этого товарища просто настроен доп ip адрес для первой сетевой карточки на компе который совпадает с адресом ПЛК. Причем это может было сделано и не специально - до того как этот ПЛК в сеть воткнули. Так как это стандартная практика если надо что-что протестировать. Ну а win наверное периодически шлет arp пакеты через этот ip

 

Делается это стандартными средствами Win. Так что доказать в этом случае что это специально сделано чтобы навредить сложно. Тем более зачем же при этом светить свой MAC. Тогда уж лучше бы подставлял бы MAC начальника :)

 

Удачи! Rob.

Тогда почему карточка с тем же айпи не зарегистрирована в сети?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Можно же поменять адрес устройства - создать новую подсеть. В ней и жить.

Да это все игра в кошки-мышки. Короче написал докладную, все показал. Неделю - ноль реакции (я во всяком случае не знаю). Хакер тарабанит. Купил DGS-1100-05, надо настраивать теперь.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну раз реакции ноль, значит всем плевать, у него развязаны руки. Но и у Вас они не связаны :)

А switch настроить очень несложная процедура, по инструкции полчаса времени максимум.

Там обычно очень мало настроек.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну раз реакции ноль, значит всем плевать, у него развязаны руки. Но и у Вас они не связаны :)

А switch настроить очень несложная процедура, по инструкции полчаса времени максимум.

Там обычно очень мало настроек.

Настрою как нибудь. Поживем - увидим. Напишу еще, может кому интересно как дальше будет.

 

Тогда уж лучше бы подставлял бы MAC начальника :)

 

Удачи! Rob.

кстати... ну тогда бы точно умысел засвидетельствовал. я всеравно бы нашел откуда ноги растут. да и так ясно что не случайно. чувак уже интриговал зама типа знает в чем проблема и это в программе. при этом самой программы в глаза не видел. экстрасенс эдакий?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мне вот непонятно, как это

На компьютере вредителя две сетевые карточки. Одна имеет два айпи 192.168.99.203 и 192.168.1.35. Ее мак-адрес 30 85 A9 ED 5B EE. Другая имеет айпи 192.168.99.101. Ее мак-адрес 48 5B 39 AD 63 C8.

 

соотносится вот с этим:

192.168.99.101 - айпи ПЛК.

 

Похоже, сисадмина не звать на помощь надо, а увольнять нафиг.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мне вот непонятно, как это

 

 

соотносится вот с этим:

 

 

Похоже, сисадмина не звать на помощь надо, а увольнять нафиг.

да вроде бы к тому и идет. это Вы еще ответ вредителя на мою докладную не читали. это пипец товарищи. может скопипастить сюда?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...