5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

IP不正使用の発見方法は?

1 :名無しさん:2000/06/14(水) 08:28
施設内のLAN(イントラネットを含め100台以上のPC&unix&NT接続)を
管理しています。
PCやunix、NTでサーバ機能でないものはDHCPでIPを取得することを
お約束としています。
ところが時々IP決め打ち、しかもサーバやルーターのアドレスで
networkにマシン(内容不明)を接続してくるバカがいるようで、
networkが不安定(実被害DNS落ちる、mail serverがリセットする)に
なることがあります。

首根っこ捕まえる良い方法ありませんか?

ちなみにWindowsマシンの雰囲気でpingは反応しますが、telnetとか
弾かれます。
連日では無く、時々昼間の数時間、ちょっと接続して外すような雰囲気です。
※たぶんノートPCで臨時にnetwork printerかfileの共有のため
その時だけ接続している様です。イントラネットに「注意と警告」は出したのですが、
たぶん理解できてい半端な知識をお持ちの素人さんの雰囲気です


2 :さえぞう:2000/06/14(水) 09:36
MacアドレスでFilterかけちゃうのはどうでしょうか?

 

3 :こまさん:2000/06/14(水) 10:30
@スニファーかまして地道に張り込み
Aメール等で不正使用禁止、設定確認依頼の通達を出す

って所かね・・・・。


4 :そうですねえ:2000/06/14(水) 10:47
ping を打ってチェックできるマシンがあるのならばarpで
MACアドレスを抑えましょう。後はこっそり各所をまわっ
てMACをチェックして捕まえるのはどうですか?

5 :名無しさん:2000/06/14(水) 11:07
ちょっと補足しときます。

MACアドレスさえわかってしまえば、ベンダーコードがわかり
ますからノートPCのメーカか、NICのメーカをある程度、あた
りをつけられますよね、で、怪しいヤツを絞りこんで、あと
はMACを確認するとか。ただノートPCの場合には、裏にMACア
ドレスとか書いてあるのかなぁ。PCカードのNICだとシールが
貼ってあったりしますけどね。


6 :名無しさん:2000/06/14(水) 11:17
うちでも頭の痛い問題です。Windows9xで4000台近い端末が接続されて
いるのですが、IPアドレスを不正に割り当てて使っている輩が見受けられる
のですが、MACアドレスのベンダコードからおおよその目処をたてて後は
しらみつぶしにあたる位しか出来ません。
勝手にホスト名を変えていたりコメントに露骨に正体を書いている端末の
場合は分かりやすいんですけれど・・・。
IPアドレスの重複とかはいつも大仕事になります。

7 :理解できてい半端な知識をお持ちの素人です:2000/06/14(水) 11:20
わからん。まったく理解できん。。。

8 :本よりも:2000/06/14(水) 11:29
ただいま確認しましたら、
MACアドレスが書いてありましたね。
PCカードの裏面に。
Laneedですが。

9 :1です。:2000/06/14(水) 12:45
>MACアドレスを抑えましょう。後はこっそり各所をまわっ
>てMACをチェックして捕まえるのはどうですか?

常時接続されれば尻尾は掴めるのですが、1で書いたように
時々なんです。
Windowsの秘穴を突いて落として差し上げようかとも思うのですが、
他のServerとIPが重複している様なのでServerに無用な
負荷を掛けそうです。
※Serverはunix系なのでWinの極悪toolで落ちはしないでしょうが、
無用な負荷と、嫌らしいlogが残り気分が悪くなりそうで・・・



10 :便乗くん:2000/06/14(水) 13:02
MACアドレスとベンダーコードの対応表みたいなモンって、
どこかにないですか?



11 :>10:2000/06/14(水) 13:08
TCP/IPプロトコル徹底解析という本に載ってるよ〜ん
日経BP社


12 :名無しさん:2000/06/14(水) 13:25
サーバーやルーターのアドレスで接続してくる人って
もろ初心者でしょう。IPを*.*.*.1とか254とか
に意味わかんないから、切りよく振ってくるパターンが
多いですね。0振ってくる人もいるけど。
1.サーバー・ルーターのMACアドレスを列挙
2.ルーターにMACアドレスのフィルターを仕込む
3.重複を確認した時に、どのルーターで排除されたか特定する
4.ダッシュで犯人を特定する
うーんでもスイッチとか入ってたらややこしいか〜


13 :>6:2000/06/14(水) 13:32
そもそも4000台近くも端末が接続されているなら、
ルーターもいくつも設置されているでしょうし、
部署ごとにセグメントで切られていると思うから
そんなに困難な作業じゃない気もするのですが・・・。

14 :>10:2000/06/14(水) 14:13
http://standards.ieee.org/regauth/oui/index.shtml

15 :>9:2000/06/14(水) 15:23
秘穴をつこう、というくらいなら、その瞬間のセッションは
わかってるわけですよね?その時点でMACを押さえてしまえば
あとはゆっくりと燻り出せばOKではないでしょうか?


16 :さえぞう:2000/06/14(水) 15:31
犯人特定することとサービスが落ちないことどちらを重視するかで対策がかわるとおもいます
が、犯人を捕まえることが先決だったらスイッチのMacアドレスのテーブル追いかけたらある
程度どこで不正使用が行われているかはわかりますのでそれをくりかえせば特定できるととお
もいます。ただし不正使用されるごとに被害がでます。
サービス維持が目的だったらMacアドレスベースでFilterを掛けておけばよいとおもいます。


17 :名無しさん:2000/06/14(水) 16:01
不正使用されているIPアドレスからホスト名を拾っては?

ping -a IPアドレス でホスト名が判るのである程度
不正使用者の目星がつくのではないでしょうか。
Win系に限りますが・・・・


18 :さえぞう:2000/06/14(水) 17:43
nbtstat -a IP でもみれるね。

19 :>17,18:2000/06/14(水) 18:20
DHCPで割り当てているレンジの中からぶんどられているので
IPアドレスやホスト名から拾ってもダメじゃないですか?

20 :>18:2000/06/14(水) 18:23
ホスト名の場合は勝手につけられるので、どうかなぁとも
思いますが、あんまり頭のよろしくない犯人だと、自分の
名前か趣味系で付けている可能性大ですよねえ。


21 :名無しさん:2000/06/14(水) 19:51
IPわかってんだったら、nmapで、OS特定して、DoS attackかまして落ちた奴がそうじゃないの?
乱暴すぎるかな?

winnuke@`ssping@`jolt@`teardrop...いろいろあるがな

22 :1です:2000/06/14(水) 21:02
この問題、真面目に考えています。氏ねは無しにお願いします。
一気にレスします。お答えいただいた方々、本当にありがとうございます。

21さんの様にIPはその時には限定出来ますが、どうも敵(?)は目的が
終わったら切ってしまうので、気がついたときには「時すでに遅し」になって
しまうのです。
実際には12番さんのレスの様なことにぶち当たっています。
本当は15番さんのレスにあるその瞬間のMACアドレスを記録しておいて
次に接続したときに「教育的指導」で、落としてあげたいくらいの
気持ちがあるのですが・・・・
σ(^^;)は修行がたりないので16番さんの様なfilterの設定がわかりません。
※ちなみにBSD/OSです。教えてください。
17〜20番さん、参考にさせていただきます。
21番さん、個人的にはそれをやりたいのですが、重複しているIPには
本当のServerがいるのです。つぶすだけなら方法はありそうなんですけど
厨房にマジで「教育的指導」をしてあげたいのです。
※σ(^^;)も冗談が通じるぐらいの管理者だと思って頑張っています。
※落とすのが「冗談」なのかは別として<<すみませんσ(^^;)も厨房?

他の方々、1つ1つしっかりご意見参考にさせていただきます。
本当にありがとうございます。

・・・更にありましたら、是非お願いします。


23 :Five:2000/06/15(木) 01:58
諸悪の根源は、Ethernet に認証の仕組みがないことにあります。
従って、根本的な解決(許可を得ない接続を禁止)を得るには、どうにかして
認証類似の仕組みを作りこむ必要があります。ですが、現状ではこれといった
解決策はないように思います。

arpwatch を動かして、問題のホストの IP Address/MAC Address だけでも
把握しましょう。arpwatch については以下のリンクを参照してください。
http://www.freebsd.org/cgi/url.cgi?ftp://ftp.freebsd.org/pub/FreeBSD/branches/-current/ports/net/arpwatch/pkg/DESCR
arp が流れるたびにそれをファイルに残してくれますし、新しいノードが付け加わった
ときにそれをメールで通知する機能も持っています。

> 16番さんの様なfilterの設定
MAC Address ベースのフィルタって *BSD で可能でしたっけ?
Catalyst といったあるランク以上の Switching Hub では、機種によって MAC Address による
Filtering が可能です。
http://www.cisco.com/univercd/cc/td/doc/product/lan/cat5000/rel_5_5/sw_cfg/sec_port.htm#xtocid140854


24 :名無しさん:2000/06/15(木) 04:54
age


25 :さえぞう:2000/06/15(木) 10:57
>1
すいません、サーバ側ではなくてSwitingHub側でのFilterのつもりでした。
その規模のNWだったらある程度(Filter等のできる)機械が入っていると
想定してました

>Five氏
いつもROMして勉強させていただいてます。すごい知識です、敬服します
で、私の解答はある程度より上のレベルのSwithingHUBを想定してます。

DHCPの仕組みとしてはMacアドレスでけれますね。(けれるものもありま
すね)
だから今わかってるMacアドレスはとりあえず拒否リストに登録しておく
っていうのはどうでしょう?
そうすると設定DHCPにかえてもつかえないので不正使用者がわかるか
もしれませんね。

26 :名無しさん:2000/06/15(木) 11:24
>諸悪の根源は、Ethernet に認証の仕組みがないことにあります。
Ethernetは関係ないのでは?

27 :>26:2000/06/15(木) 11:42
いや、そうでしょう。
もしEthernetにMACレベルで認証できるような機構があれば、勝手
に何かを接続するのは防げますよね。ただEthernetのポリシーは
接続される全てのノードは対等にありますから、プチッと繋いでし
まえばリンクするというのが良い点でもあります。どこかが集中
管理して、接続するためにいちいち設定してもらわないとダメだっ
たりすると、この軽便さはありませんからねえ。

28 :名無しさん:2000/06/15(木) 13:09
あまり参考にならないかも知れませんが、メルコが公開している
Netseekerはダメでしょうか?
Windows用ですが、networkに接続されているマシンのMACアドレスと
IP、マシン名を表示してくれます。


29 :>27:2000/06/15(木) 13:56
>もしEthernetにMACレベルで認証できるような機構があれば、勝手
>に何かを接続するのは防げますよね。ただEthernetのポリシーは
アライドの製品には、登録されているMAC以外の機器をリンク
させないと言う機能がありますが?
TCP/IPと物理層のEthernetを同じレイヤで考えるのは如何かと思
います。


30 :Five:2000/06/15(木) 14:22
>26@`27@`29
まあ IP Layer でも DataLink Layer (Ethernet) でも認証ができれば
それで問題は解決するので、23 の "Ethernet" という発言はちょっと
言葉が足りなかったです。すみません。

Ethernet か IP で (クライアントの) 認証機能を持てば、ということを
言いたかったわけです。

ちなみに IP アドレスの割り当てに認証を要求する (Cisco Network Registrar や
Lucent の QIP を使うとできるみたいです) としても、
・Promiscuous mode でトラフィックの覗き見
・デタラメな IP アドレスを用いた不正行為
を避けることはできません。その意味では、Link Layer でのセキュリティの
方が、IP Layer でのセキュリティよりも重要だと思っています。

参考
・QIP: http://www.lucent.com/ins/products/qip/
    http://enterprise.lucent.co.jp/ins/products/qip/index.html
    # U.S.A の方はちょっと今行けなくなっているようです。
・CNR: http://www.cisco.com/univercd/cc/td/doc/product/rtrmgmt/cnr/index.htm


31 :Five:2000/06/15(木) 14:38
あーすみません、IP アドレスの割り当てに認証を要求したとしても、
各マシンで勝手にアドレスを割り当てられたらどうしようもない、
というのが MAC Address Filtering/Authentication on Ethernet 論の
根拠です。

したがって IP Layer の問題であることは 29 さんのおっしゃられる通り
なのですが、実際にその問題を解決することは現在の IP の仕組みからは
非常に困難(少なくともクライアントが自分のアドレスを自分で決められる
ようになっている限り)で、IP Layer よりも下の Network Access Layer
というか DataLink Layer で解決するしかない、というのが 23 の自分の
発言の真意であり、27 さんの仰られていることだと思います。

それから、
> 登録されているMAC以外の機器をリンクさせない
というのは、23 で言っている MAC Address Filtering と同じ機能だと
思います。ですので 27 さんが見落としているのではないと思いますよ。


32 :27:2000/06/15(木) 14:45
>29
そういう意味ではないです。「アライドの機器では」というのは
この場合の論拠にはならないですよね。最近ではハブがあるので
高機能なハブを使えば解決する、という意見があると思いますが
Ethernetそのもののリクツに立ち返ってみれば、それは単なるメ
ディアであって物理リンクにはなんら制限はありません。ですん
で31でFiveさんの言っている通り、IP層で認証したとしても、そ
れは意味をなさないのです。ですんで私の27番の発言になってい
ます。
おそらく29さんは認証はもっと上位レベルの話だ、とおっしゃり
たいんだと思いますが、実際にはこのスレッドで問題となってい
るのは底の部分なわけですよね。
もっと極端な場合だと、IPは使っていないけど、メディアだけを
勝手に他のプロトコルで占有されちゃう、なんてトラブルもある
わけですから。


33 :名無しさん:2000/06/15(木) 15:51
って言うかMACアドレスだって変更(含む偽装)出来るし無意味な議論やんね。
MACアドレスが偽装されていない事も認証するの?(w

34 :>33:2000/06/15(木) 15:57
それは簡単ではないでしょう?まぁMACにチェックサムとか
あれば、って話もあるでしょうがIPアドレスを変更するこ
とと、MACアドレスを変更することでは「やりやすさ」がち
がいますから、その部分だけでもあれば違うのではないで
すか?


35 :two:2000/06/15(木) 16:12
>33
MACアドレスで認証しなければ関係ないのでは?

現実的かどうかを別にすると、例えばVPN経由のみInternetと接続できる
ようにすればとりあえず解決すると思います。
# 日本語Windows系ではWin2000でないとLAN to LANのVPN(PPTP@`L2TP)は
# 使えませんが。


36 :>35:2000/06/15(木) 16:23
1さんのシステムの規模だとVPNに移行するのも厳しそうですねえ。

いっそ、IPを手動で割り当てたい人は、これとこれを使え、って
貼り出しておいたほうが効果的だったりして。


37 :>34:2000/06/15(木) 16:28
>あれば、って話もあるでしょうがIPアドレスを変更するこ
>とと、MACアドレスを変更することでは「やりやすさ」がち
ハードウェアのプロパティから変更できるボードも存在
しています。よってやりにくいとは一概には言えません。

>35
上層では無く、下層でプロテクト必要と言う話でEthernetや
MACアドレスが出てきています。レスちゃんと読んでますか?

38 :>37:2000/06/15(木) 16:49
ぎょっ、それどこのボードですか?ちょっとヤなボードだな。

まぁしかしMACである特定のボードを排除したとしても、やる
気のある人(!)だったなら、ボード買い換えちゃうかもしれま
せんよねえ。

39 :two:2000/06/15(木) 16:56
> 上層では無く、下層でプロテクト必要と言う話でEthernetや
> MACアドレスが出てきています。レスちゃんと読んでますか?
VPNは2層(Link Layer)として使えますので、
Ethernetと同じレベルではないでしょうか?


40 :Five:2000/06/15(木) 17:01
>33
そういやそうですね。
ということは Ethernet (及びその派生系) を使っている限りネットワーク
管理者に休みはない、という理解でいいのでしょうか。

>35
1 さんのケースでは、サーバーやルータと重複するアドレスを使われて
困るというケースなので、VPN 以前の問題なのですよね。
で、管理者の認知していないホストをネットワークに接続できなくする方法として
何があるかということを考えているのですが、33 さんのおっしゃられる通り
確実にホストを識別する識別子(IP Address@` MAC Address)がすべてユーザーから
操作(設定・変更)なので、「どうやって認知されたホストとそうでないホストを
区別するのか」というレベルで完全に躓いてしまっているのです。
Intel の CPU-ID っていうのは実は悪いアイデアではなかったように思えてきた・・。

>37
実は意外に多いですよ。Intel とか 3com で変更できませんでしたっけ?。
あと NE2000 系の Cheap Clone のほとんどは DOS ベースの設定ツールを使って
MAC Address を任意に設定できます。00-00-01-00-00-01 なんて初期設定の
ボードが複数あったりしますからね、この機能は必須だったりします。


41 :38:2000/06/15(木) 17:09
>Intel の CPU-ID っていうのは実は悪いアイデアではなかったように思えてきた・・。

確かにそうなんですよね。個人情報云々の話は置いておくとすると
PCのようなハードであっても、個体識別につかえるんですよね。

>実は意外に多いですよ。Intel とか 3com で変更できませんでしたっけ?。
あれ、できましたっけ?チェックしてないです。
安物NE2k互換の連中でベンダコードを持ってないのがあるのは知っ
てたんですが、こういうのって繋がせたくないですよね。
そういえばMAC枯渇ってのは問題にならないのだろうか・・・

42 :Five:2000/06/15(木) 17:12
>39
VPN が LinkLayer として認識されるというのは確かにそうなんですが、
この場合どういう階層構造になるかというと
IP (VPN-based)
    ↓
VPN (PPTP or IP-tunnel or L2TP)
    ↓
IP (non VPN-based)
    ↓
Ethernet or alike
    ↓
Physical Media (Copper Cable@` Optical Cable@` Air etc.)
となり、VPN の下のレイヤーでアドレスを不正利用ないし偽装された場合に
どう対処すべきかという問題に回答できないのです。

# しかし firewall-wizard っぽい濃い topic になってきましたね。


43 :初心者rev.1.02:2000/06/16(金) 09:17
>そういえばMAC枯渇ってのは問題にならないのだろうか・・・

私も気になったので計算してみました。
16進数×16進数=256。これが6ケタだから
256の6乗ですよね。
で数は
281兆4749億7671万0656
となりますので我々が死ぬくらいまでは一応大丈夫だと思いますが。
間違ってたらごめんなさい。


44 :初心者rev.1.02:2000/06/16(金) 09:20
ところでIPv6はいくつあるんでしたっけ?

45 :two:2000/06/16(金) 09:33
>Intel の CPU-ID っていうのは実は悪いアイデアではなかったように思えてきた・・。
悪いアイデアでは? MACアドレスと同じく偽造されたら終わり。

>42
>VPN の下のレイヤーでアドレスを不正利用ないし偽装された場合に
下のレイヤーを通過できてもでVPNの層を通過できないので
Internetは利用できません。
「不正な利用者をInternetに接続させない」ことは達成できます。

他の利用者に迷惑をかけることはできますが、これはEthernetなど
放送可能なメディアに接続された時点で避けられませんね。
「正規の利用者の利用を妨害させない」ことは達成できません。


46 :Five:2000/06/16(金) 12:22
>44
2 の 128 乗です。ただし、上位64bit はネットワークアドレスを、
下位 64bit がホストアドレスを表しますので、実際には使わずに死蔵される
アドレスが大量に出ますが。

>45
> 「不正な利用者をInternetに接続させない」
すみません、今問題になっているのは「IP アドレスを勝手に割り振らせない、
割り振ったマシンの接続を拒否する」方法だと思うので、それとは違うと
思います。したがってテーマは
> 「正規の利用者の利用を妨害させない」
だと思います。

> MACアドレスと同じく偽造されたら終わり。
Ethernet の MAC Header ってドライバから制御できましたっけ?
そういうところに IPsec の AH のように CPU-ID で署名すれば、
スイッチの方で確実にホストを識別できるのではないかと思ったのですが。
ひょっとして BIOS を Hack されたらダメになるのかな?
それとも嘘の CPU-ID を教える方法が存在する?


47 :Five:2000/06/16(金) 12:31
ああ、これじゃダメだ。Ethernet Protocol の変更になってしまう。
CPU-ID を使っても駄目かぁ・・。
46 の意見は撤回します。ごめんなさい。> two さん


48 :two:2000/06/16(金) 16:12
> IPsec の AH のように CPU-ID で署名すれば
CPU-IDは公開鍵方式の秘密鍵ではないです。しかもintelは
その番号を知っていますので単なる対称鍵にもなりません。
また、公開鍵方式はCPU-IDでなくても実現できます。
CPU-IDの利点は(セキュリティに関しては)何もないと思います。

>それとも嘘の CPU-ID を教える方法が存在する?
CPUIDを取り出してEthernetに流すまでの間のどこでもそのチャンスはあります。
(CPUやドライバの改造・フック・エミュレート)


49 :two:2000/06/16(金) 16:30
>> 「正規の利用者の利用を妨害させない」
>だと思います。
放送可能なメディアでは、パケットを流しつづける人には
対抗できない宿命にあると思います。
# わめき散らす客は店から追い出すしかない...


50 :=6>13:2000/06/16(金) 17:55
申し訳ありません。書き込んだのにチェックするのを忘れてしまいました。
レベルの低い書き込みをしてしまい、申し訳ありません。

お返事ありがとうございます。
私自身は管理者の下で実際に現地で調査を行っているだけです。当初の
ネットワーク構築には一切関わっておりませんし、十分な知識も持ち合
わせてはおりません。

確かに重複のあったIPアドレスは判っているのですが、私の場合の困難さ
というのはそのセグメントがカバーしている面積が広すぎるという事です。
主にお客様の予算の都合だと思うのですが、中央では12階建ての建物の
フロアごとに1〜2のセグメントがあり、このセグメントは部署単位で切られた
ものではありません。毎年部署があちこちに移動してしまいますし。
地方の12箇所の建物に至っては建物丸ごと1セグメントというのがざらで、
これをIPアドレスの枯渇から中途半端に2つに分けていたりします。
当初400台でスタートした当時はそれでも何とかなったのですが、もはや
現状では管理できる状況ではないです。

お客様の予算の都合で、SW-HUBも入っていません。で、この中から常時
接続されているとは限らない端末を探し当てるのが大変なんです。

根本的にネットワークを構築しなおす必要があると思うのですが、これに
口出しできる立場になく、現地に足を運んで調査することしか出来ないこと
が歯がゆくてああいう書き込みになった次第です。


51 :フィーネ萌えー:2000/06/16(金) 18:44
>two氏
いや、まぁそうなんだけど、
その「店から追い出す」方法を探してるワケで。
できれば「わめき散らす」前に。

つっても、難しいなぁ。
やっぱりスイッチでMACのフィルタリングをするくらいしか、
思いつかんよ・・・。
#「わめき散らす人」を隔離しまーす
でも、全部のスイッチに設定しなきゃならんって時点で却下かな。

とりあえず、ハブを隠すのから初めては?(苦笑
で、ノートPC持ってハブを探してウロウロしてるヤツが犯人だよ。
わはは。

あとは、各スイッチに重複するアドレスを持っている正規のマシンへの
arpエントリをスタティックで設定しておいて、
正規のマシン側ではUDP/TCPの135〜139とTCPの515(で良かったっよね?)
をフィルタリングとか。
#「わめき散らす」のを無視しまーす
すごい受身だけど・・・。

その繋いでくる人が、1氏の推測通りの使い方をしてるのなら、
こうしとけば目的が達成できないんで、あきらめるんじゃなかろうか。
リピータ使ってたら、同一セグメント内だけでの通信は
うまくいってしまうかもしれないけど、
まぁ、それなら被害はそのセグメント内だけに留まるのでよしとする。

と言っても6氏の環境とかでは、これでも大問題か・・・。
「いきなり障害が起きたら、その直前にLANに繋いだ人間があやしいぞ」
ってみんなに通達しておいて、
被害を受けた人間に、自主的に探させるとか(笑

やっぱ教育が大事なのね。
なんか、負けてる気はするけど・・・。


52 :名無しさん:2000/06/18(日) 14:01
接続ログを取るのも大事だけど
普段、そのログをダウンロードして
整理しておくのも手かもしれませんね。
MACアドレスは絶対に変わりませんので(カード差し替えられたら最後)
IPアドレスはDHCPの自動付与で変わりますから・・・
いいかもしれませんね。1ヶ月くらいログを取ってみては?

53 :単純な解決策安1:2000/06/18(日) 14:41
@MACアドレスは判明しているみたいなので
A部署ごとに1つでいいからルーターを設置する
 無理ならとにかくスイッチのポートの頭から、1→2→3と1づつ
 ルーターをはめ込んでみる。
BルーターにMACアドレスのフィルターを仕込む
サーバー側のポートに向かう当該IPを落とすわけです、同時にLOG
すくなくともこれでどのセグメント、つまり場所に問題のお人が
ひっかかるか判明できると思いますので、あとはスタッフに虱潰しに
「誰か××してなかった」と聞きまくる(笑)。

Cそいつの机に「警告!!」の張り紙をつけとく

スイッチがいくつあっても、その枝のすべてを順番に試していけばOK


54 :単純な解決策安1:2000/06/18(日) 14:43
ノートパソコンで部署内をうろちょろする奴だと無理だけど、
逆に目立つので、物理的に追跡しなくても特定できるでしょう。
だって目撃者が多数いるわけだから(笑)。

55 :>51:2000/06/19(月) 17:05
》とりあえず、ハブを隠すのから初めては?(苦笑
》で、ノートPC持ってハブを探してウロウロしてるヤツが犯人だよ。
そ〜ゆ〜やつって、そこらの空いてるマシンのケーブルを
引っこ抜いて使ってるんでわ?



56 :名無しさん:2000/06/19(月) 18:04
「IPはわかってるのにな〜」なアナタに
UDP Floodぉ!(ド○えもん調)
とりあえず、ずごごごごっと洪水しちゃってください(笑
その間のネットワーク負荷は、関知しませんが

57 :>56:2000/06/19(月) 18:27
opentearのこと逝ってる?

58 :フィーネ萌えー:2000/06/20(火) 04:24
>51
ぼくのアタマでは、それはもうどうにもならない部類だよ・・・。
セグメントへの物理的な割り込みはやっぱりしょうがないような気がする。
でもとりあえず、できるコトからって感じ。
犯人が繋ぎたいって思ったときに、みんながPC使ってれば
犯人自ら名乗ってくれるかもしれんしさ。
「ちょっとLANケーブル貸して」とかいって。

>56
LAN環境でwin9x落とすのなら、モヤリがおすすめだよ(笑


59 :フィーネ萌えー:2000/06/20(火) 04:27
あ、スマソ
s/>51/>55/
ね。


25 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.02 2018/11/22 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)