Доброго времени суток!
У меня возникла проблема - в сети вылезло чудо. Имя этому чуду D-link Dir-400. Само по себе оно мне побоку, но эта тварь раздает в сеть левый DHCP. Сеть довольно большая, и бегать искать - не вариант. Собственно вопрос:
Как узнать какой адрес висит у него на PPP соединении (snmp нету) тогда я буду знать кто это, и проблема решится.
Либо как завалить его, чтобы оно перестало маячить?

а включить снифер и отфильтровать пакеты по портам 67,68? снифер советую commview - http://torrents.ru/forum/viewtopic.php?t=730365

Полностью согласен. А таких мною известных вариантов не известно. У меня сеть малая, на 200 машин... не приходилось встречаться с такими проблемами.

Эээ.. немного не понял смыла сниффера... я знаю его ип... соответственно мак... на железяке из портов открыта тока вебморда, из которой я знаю что за железяка... что еще я могу взять из пакета? оО

З.ы. OS: Gentoo Linux. сниффер узаю wireshark...

По идее в той же самой веб морде ты можешь и ppp ip посмотреть и dhcp отключить (если я правильно понял суть траблы)

я-бы мог посмотреть, ежели-б логопассы знал =))) я-ж грю н моя девайсена... и где стоит тож нинаю...

Понял. Тогда поищи тут на форуме статейку лебедя по взлому адсл модемов, возможно это поможет тебе найти пасс к веб морде или попробуй тупо сбрутить его. SNMP и Telnet точно отключены?

угу, ни снмп ни телнета нету, в вышеозначенной статье добывается пасс к инету, при условии что в веб морду он попал... мне нать узнать или логин или ip, зная эту инфу мне будет известен и пасс, и адрес, и телефон, и все остальное. или попав в енту вебморду я смогу отключить эту дхцпу... я на 90% уверен что это какой-то неумный человек по незнанию пихнул кабель невту дырку...

Попробуй зайти в веб под акком user\user или guest\guest, или как я уже говорил качни словарик и попробуй пробрутить акк admin. По поводу ип или логина чела, который заходит на эту железку, и если структура сетки позволяет снифать трафф, то врубай снифер и лови Http запросы к этой железке, возможно кеш браузера этого чела захочет обновиться или он сам на нее полезет))) и еще: если в сетке какая-то железка раздает верные данные то не проще ли просто у себя на фаере резануть входящий траф с длинка?

Дефолтные акки ессно перепробовал. На тему брута - мне реально прощще убить полдня пролазив по крышам с ноутом, и отследить его по маку... снифать не получится, через мну гуляет тока то-что наружу (в инет) идет... остоальное по свичам... а на тему фаервола - трабл не у меня, а у других криворуких узверей.. мне енто дхцп побоку...

Свитчи управляемые?

свичи управляемые, и на них даже можно маки посмотреть... даже по портам... но енто все вручную... и при учете что с ентой точки лазали на локальные какие-то сайты\фтпшнеги\еще_куда-то ентот мак запалился на половине свичей... теоретически отследить все енто можно но опять-же перелопачивать вручную две сотни свичей нехоцца... плюс потом переписывать с какова на какой порт, и вычислять что откуда пришло 8-) Я ненастолько люблю графы =)

если свитчи управляемые мак этот будет в arp таблице только одного свитча. Мак этого клиента дальше своего свитча не уйдет ибо дальше пакет летит с ип клиента и маком свитча. Если все свитчи одинаковые то вычислить где мак можно при помощи snmp+perl (могу помочь если что). 200 коммутеров опросит за 3-5 минут (если без многопоточности)

а вот и нет =) во первых енти свичи арп таблицы по снмп не раздают, во вторых енто хитровые*анные оптические свичи (swh 2109f) которые ентот мак палят на оптическом порту... т.е. почти на всех свичах мак висит на 9-м порту (оптика) и тока у одного на эзернете (собсно где оно подключено) если интересно, я дам вывод snmpwalk, но ниче похожего на арп таблицы я не нашел...

не вопрос ))))) мона заюзать вместо snmp telnet в связке с тем же перлом ))))) мона и по snmp тока игнорировать оптические порты. А snmpwalk может и не все показать, надо гуглить MIB на это железо, уверен что можно и по snmp выгрузить arp таблицу.
А потом резануть на свитче этого чела аксесс-листом подобного рода трафф (dhcp) или если есть врубить защиту от dhcp-spoofing ???


Кстати тут такая дикая идея )))) а не получиться ли для определения ip заюзать RARP например организовав бродкаст запросик????

гм.. енто уже интересно... седня вечером загуглю на тему МИБ"ов... с перлом не дружу, но привык обходится связкой grep\sed\awk с обработкой я думаю проблем не будет... с устранением впринципе тоже - тупо вырубается порт на свиче...

На тему RARP тоже интересно, обязательно попробую, но имхо не прокатит, ибо wan\lan физически разные интерфейсы... он скорее всего вернет 192.168.0.1... который собсно и раздает... дело еще осложняется десятком "потерянных" свичей которые наши, но ащще х\з где, и х\з каки на них логопассы, темнеменее ип у них дефолтный =) тот-же гребанный 192.168.0.1 =)

Ну если MIB не найдешь могу помочь с perl+telnet )))) Удачи