█ 14.01.2011 22:46
Дано: машина без firewall. Каким-то образом администратор узнал, что с нее идут достаточно частые подключения на хост olegon.ru. Как определить, кто это делает? Как заблокировать эти подключения, если изменить подключающуюся программу невозможно, как и остановить ее? Инет, соответственно, доступен, устанавливать или запускать firewall нельзя.
█ 15.01.2011 02:16
для ресурса www.olegon.ru прописать в файле hosts редирект на какой-нить порно сайт :)
█ 26.01.2011 16:00
Сильно задумался, почему это админская задача... Я то всю жизнь думал, что подобные вещи в идеале рубятся на шлюзе всей конторы в инет, не трогая локальную машину вообще.
узнать - ну netstat -a -b никто не отменял,
если хочется извратов - засунуть в шедулер, добавить | find и >> в файл
узнать - ну netstat -a -b никто не отменял,
если хочется извратов - засунуть в шедулер, добавить | find и >> в файл
█ 27.01.2011 08:01
Цитата:
Админская, просто так загадано :) sevushka ➤ узнать - ну netstat -a -b никто не отменял,
если хочется извратов - засунуть в шедулер, добавить | find и >> в файл
если хочется извратов - засунуть в шедулер, добавить | find и >> в файл
netstat -a -b немного коряво в данном случае, во-первых, учитывая, что соединение может быть мимолетным, с какой частотой его запускать? А во-вторых, как find приложить? Если по olegon.ru, то не правильно, потому как netstat сначала получит IP, а потом его будет превращать в доменное имя. А прикол в том, что многие IP имеют несколько доменных имен, какое из них ты получишь при преобразовании из IP в имя - неизвестно. Можешь попробовать с Хранилищем :)
█ 27.01.2011 08:47
а ловить надо любой коннект или только браузерный?
если браузерный и винда - то можно как и с блокнотом - через vbs с бесконечным циклом - заголовок окна будет содержать нужную инфу чтобы его (окно) гасить
если надо гасить только определенную вкладку - до нее можно достучаться там же через объектную модель :connie_swatfly:
если браузерный и винда - то можно как и с блокнотом - через vbs с бесконечным циклом - заголовок окна будет содержать нужную инфу чтобы его (окно) гасить
если надо гасить только определенную вкладку - до нее можно достучаться там же через объектную модель :connie_swatfly:
█ 27.01.2011 17:12
Цитата:
да хоть каждые 5 минут, систему это не грузит OlegON ➤ Админская, просто так загадано :)
netstat -a -b немного коряво в данном случае, во-первых, учитывая, что соединение может быть мимолетным, с какой частотой его запускать?
netstat -a -b немного коряво в данном случае, во-первых, учитывая, что соединение может быть мимолетным, с какой частотой его запускать?
Цитата:
Олег, ты прям как в анекдоте," я не понял, ты чей друг, мой или медведя" OlegON ➤ А во-вторых, как find приложить? Если по olegon.ru, то не правильно, потому как netstat сначала получит IP, а потом его будет превращать в доменное имя. А прикол в том, что многие IP имеют несколько доменных имен, какое из них ты получишь при преобразовании из IP в имя - неизвестно. Можешь попробовать с Хранилищем :)
по условию задачи админ узнал, что на олегон ломятся. откуда узнал - тривиально, ну посмотрел логи сквида или впна. Понятно, что в логах на гейте не видно, какая программа ломилась, но виден айпишник.
Вот на этот айпишник и натравливаем нетстат на локальной машине. Не, ну если мы не ищем легких путей, то можно и tcpmon из sysinternals заюзать..
я все не могу понять, какого ответа ты добиваешься? Вовантус сразу дал правильный совет, ну если тебе это не нравится - ну на своем корпоративном файрволле пропиши редирект олегон.ру на lleo.aha.ru/na/
а по запретам...
запускай софтину в виртуалбоксе с отключенной сеткой.
если стоит что-то типа каспера - ну у него свой файрволл есть, там закрой, если стандартный от мс использовать низзя...
скачай любой фришный файрволл и поставь там только одно запрещающее правило, блин, кто тебе запрещает его использовать, админ ты или нет, в конце концов
вместо прописывания в hosts можно попробовать через route add нужный_ип mask 255.255.255.255 на куда тебе надо....
но самый правильный способ - вырубить это правилом на корпоративном файрволле
█ 27.01.2011 17:46
Я не за медведя :) Согласен, задача получилась очень расплывчатая, потому, что я подразумевал 2 машины, одна неизвестная клиентская, другая с NATом, student подразумевал, что это локальная машина, а sevushka, что действие происходит в корпоративной сети :)
Но задачка синтетическая, т.е. это не я попал в такие условия, а я их придумал, сузил количество доступных вариантов, чтобы посмотреть, как вы будете выкручиваться. Вовантус дал правильный ответ, но не пояснил, каким образом ловить флудера.
Что касается netstat, еще раз попробую объяснить примером:
Но задачка синтетическая, т.е. это не я попал в такие условия, а я их придумал, сузил количество доступных вариантов, чтобы посмотреть, как вы будете выкручиваться. Вовантус дал правильный ответ, но не пояснил, каким образом ловить флудера.
Что касается netstat, еще раз попробую объяснить примером:
Цитата:
видите, в выводе пинга, как и netstat видно другое имя? т.е. find olegon.ru ничего не найдет. Т.е. сначала имя преобразуется в IP, а для отображения его в выводе IP преобразуется обратно в имя. И не всегда в то, которое было задано изначально. В общем, если кто-то хочет - может еще попредлагать способы обнаружения источника проблем без применения стенки. oops scripts # ping olegon.ru
PING olegon.ru (92.53.96.13) 56(84) bytes of data.
64 bytes from tesla.timeweb.ru (92.53.96.13): icmp_req=1 ttl=56 time=10.8 ms
PING olegon.ru (92.53.96.13) 56(84) bytes of data.
64 bytes from tesla.timeweb.ru (92.53.96.13): icmp_req=1 ttl=56 time=10.8 ms
Часовой пояс GMT +3, время: 22:07.
Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.