[smk 0]

Суть в следующем. На работе завелся вредитель. Мотивы описывать не буду, уверяю низменные. Собственно прибор должен слать результаты измерений в ПЛК, который их обрабатывает. Что делает... со своего компьютера отсылает широковещательное сообщение с айпи ПЛК, но мак-адресом своего компьютера. Прибор спроектирован с применением библиотек от Keil. Вредитель используя IP-спуфинг перенаправляет данные на свой комп и вещает начальству что это прибор так плохо работает и данные не передает. Начальство в технике не особо разбирается. Вредителя я вычислил и опытным путем проверил, что если выдернуть разъем из его компа то ложные пакеты не идут и все работает нормально. Протокол передачи данных UDP. Это собственно и дает возможность пакостить. На компьютере вредителя две сетевые карточки. Одна имеет два айпи 192.168.99.203 и 192.168.1.35. Ее мак-адрес 30 85 A9 ED 5B EE. Другая имеет айпи 192.168.99.101. Ее мак-адрес 48 5B 39 AD 63 C8. Ложная посылка уходит от айпи 192.168.99.101 и мак-адресом 30 85 A9 ED 5B EE (мак первой карточки). Первая карточка подключена к локальной сети проводом в свитч. Вторая подключена к вайфай роутеру напрямую одна. 192.168.99.101 - айпи ПЛК. Если ПЛК отключить от локальной сети то его айпи не пингуется. Ложные посылки при этом идут как и раньше. Интервал посылок чуть больше 42 сек. Собственно стоит задача обличить вредителя и доказать что это не случайность, а сделано намерено. Прошу помочь разобраться каким способом вредитель это делает. Может для этого достаточно настроить карточки и роутер или работает какая-то программа? Как и что искать дальше чтоб уж точно наверняка? Вытрепал нервы мне и ряду других людей. Кучу времени зря убили ища ошибки которых нет. Спасибо.

[SWTRUS 0]

Суть в следующем. На работе завелся вредитель. Мотивы описывать не буду, уверяю низменные. Собственно прибор должен слать результаты измерений в ПЛК, который их обрабатывает. Что делает... со своего компьютера отсылает широковещательное сообщение с айпи ПЛК, но мак-адресом своего компьютера. Прибор спроектирован с применением библиотек от Keil. Вредитель используя IP-спуфинг перенаправляет данные на свой комп и вещает начальству что это прибор так плохо работает и данные не передает. Начальство в технике не особо разбирается. Вредителя я вычислил и опытным путем проверил, что если выдернуть разъем из его компа то ложные пакеты не идут и все работает нормально. Протокол передачи данных UDP. Это собственно и дает возможность пакостить. На компьютере вредителя две сетевые карточки. Одна имеет два айпи 192.168.99.203 и 192.168.1.35. Ее мак-адрес 30 85 A9 ED 5B EE. Другая имеет айпи 192.168.99.101. Ее мак-адрес 48 5B 39 AD 63 C8. Ложная посылка уходит от айпи 192.168.99.101 и мак-адресом 30 85 A9 ED 5B EE (мак первой карточки). Первая карточка подключена к локальной сети проводом в свитч. Вторая подключена к вайфай роутеру напрямую одна. 192.168.99.101 - айпи ПЛК. Если ПЛК отключить от локальной сети то его айпи не пингуется. Ложные посылки при этом идут как и раньше. Интервал посылок чуть больше 42 сек. Собственно стоит задача обличить вредителя и доказать что это не случайность, а сделано намерено. Прошу помочь разобраться каким способом вредитель это делает. Может для этого достаточно настроить карточки и роутер или работает какая-то программа? Как и что искать дальше чтоб уж точно наверняка? Вытрепал нервы мне и ряду других людей. Кучу времени зря убили ища ошибки которых нет. Спасибо.

 

может проще позвать начальство и при нем выдернуть шнурок?

[smk 0]

Это само собой. Заму уже показал. Но был задан вопрос как и что нужно найти или объяснить чтобы показать механизм действия.

[Dimidrol 0]

Поставить/одолжить управляемый свитч и отрубать негодяя в моменты разоблачения.

[smk 0]

Нужно выяснить каким конкретно способом это делается. Отбрешется же. Смысл в том чтоб не дать возможности навешать лапши директору. А вырубить и дубиной можно. Смысл не в том чтобы втихаря противодействовать, а чтобы конкретно доказательно разоблачить. иначе большой шанс что отбрешется.

[Beby 8]

1. Пакеты широковещательные - значить запротоколировать их на любой машине в сети, например при помощи Wireshark, настроив его именно на вредоносные пакеты.

2. Показывать, log начальству: вот пакеты - вот проблемы / нет пакетов - нет проблем.

3. При необходимости показать в живую: вот валятся вредоносные пакеты -> вот проблемы,.. прервать поток вредоносных пакетов - и нет проблем.

 

Log составить в любом случае - он как протокол вредительства и саботажа, поможет указать руководству, сколько рабочего времени и усилий (т.е. денег) было испоганено вредителем... тогда, глядишь, уже не фирма ему будет должна, а он ей (при увольнении).

[agregat 0]

Суть в следующем...

Получить доступ к компьютеру сотрудника, если это сеть предприятия, то админы со своего рабочего места могут зайти с правами админа и отследить любые телодвижения софта на компьютере. В том числе и программу которая отсыает вредоносные пакеты.

Да, и почему не изменить ip адрес ПЛК.

[RobFPGA 35]

Приветствую!

 

Скорее всего у этого товарища просто настроен доп ip адрес для первой сетевой карточки на компе который совпадает с адресом ПЛК. Причем это может было сделано и не специально - до того как этот ПЛК в сеть воткнули. Так как это стандартная практика если надо что-что протестировать. Ну а win наверное периодически шлет arp пакеты через этот ip

 

Делается это стандартными средствами Win. Так что доказать в этом случае что это специально сделано чтобы навредить сложно. Тем более зачем же при этом светить свой MAC. Тогда уж лучше бы подставлял бы MAC начальника :)

 

Удачи! Rob.

[Tanya 4]

Можно же поменять адрес устройства - создать новую подсеть. В ней и жить.

[smk 0]

Приветствую!

 

Скорее всего у этого товарища просто настроен доп ip адрес для первой сетевой карточки на компе который совпадает с адресом ПЛК. Причем это может было сделано и не специально - до того как этот ПЛК в сеть воткнули. Так как это стандартная практика если надо что-что протестировать. Ну а win наверное периодически шлет arp пакеты через этот ip

 

Делается это стандартными средствами Win. Так что доказать в этом случае что это специально сделано чтобы навредить сложно. Тем более зачем же при этом светить свой MAC. Тогда уж лучше бы подставлял бы MAC начальника :)

 

Удачи! Rob.

Тогда почему карточка с тем же айпи не зарегистрирована в сети?

[smk 0]

Можно же поменять адрес устройства - создать новую подсеть. В ней и жить.

Да это все игра в кошки-мышки. Короче написал докладную, все показал. Неделю - ноль реакции (я во всяком случае не знаю). Хакер тарабанит. Купил DGS-1100-05, надо настраивать теперь.

 

[agregat 0]

Ну раз реакции ноль, значит всем плевать, у него развязаны руки. Но и у Вас они не связаны :)

А switch настроить очень несложная процедура, по инструкции полчаса времени максимум.

Там обычно очень мало настроек.

[smk 0]

Ну раз реакции ноль, значит всем плевать, у него развязаны руки. Но и у Вас они не связаны :)

А switch настроить очень несложная процедура, по инструкции полчаса времени максимум.

Там обычно очень мало настроек.

Настрою как нибудь. Поживем - увидим. Напишу еще, может кому интересно как дальше будет.

 

Тогда уж лучше бы подставлял бы MAC начальника :)

 

Удачи! Rob.

кстати... ну тогда бы точно умысел засвидетельствовал. я всеравно бы нашел откуда ноги растут. да и так ясно что не случайно. чувак уже интриговал зама типа знает в чем проблема и это в программе. при этом самой программы в глаза не видел. экстрасенс эдакий?

[gosha-z 3]

Мне вот непонятно, как это

На компьютере вредителя две сетевые карточки. Одна имеет два айпи 192.168.99.203 и 192.168.1.35. Ее мак-адрес 30 85 A9 ED 5B EE. Другая имеет айпи 192.168.99.101. Ее мак-адрес 48 5B 39 AD 63 C8.

 

соотносится вот с этим:

192.168.99.101 - айпи ПЛК.

 

Похоже, сисадмина не звать на помощь надо, а увольнять нафиг.

 

[smk 0]

Мне вот непонятно, как это

 

 

соотносится вот с этим:

 

 

Похоже, сисадмина не звать на помощь надо, а увольнять нафиг.

да вроде бы к тому и идет. это Вы еще ответ вредителя на мою докладную не читали. это пипец товарищи. может скопипастить сюда?