[ОТВЕТИТЬ]
Опции темы
14.01.2011 22:46  
OlegON
Дано: машина без firewall. Каким-то образом администратор узнал, что с нее идут достаточно частые подключения на хост olegon.ru. Как определить, кто это делает? Как заблокировать эти подключения, если изменить подключающуюся программу невозможно, как и остановить ее? Инет, соответственно, доступен, устанавливать или запускать firewall нельзя.
 
15.01.2011 02:16  
Vovantus
для ресурса www.olegon.ru прописать в файле hosts редирект на какой-нить порно сайт :)
 
26.01.2011 16:00  
sevushka
Сильно задумался, почему это админская задача... Я то всю жизнь думал, что подобные вещи в идеале рубятся на шлюзе всей конторы в инет, не трогая локальную машину вообще.

узнать - ну netstat -a -b никто не отменял,
если хочется извратов - засунуть в шедулер, добавить | find и >> в файл
 
27.01.2011 08:01  
OlegON
Цитата:
Сообщение от sevushka
узнать - ну netstat -a -b никто не отменял,
если хочется извратов - засунуть в шедулер, добавить | find и >> в файл
Админская, просто так загадано :)
netstat -a -b немного коряво в данном случае, во-первых, учитывая, что соединение может быть мимолетным, с какой частотой его запускать? А во-вторых, как find приложить? Если по olegon.ru, то не правильно, потому как netstat сначала получит IP, а потом его будет превращать в доменное имя. А прикол в том, что многие IP имеют несколько доменных имен, какое из них ты получишь при преобразовании из IP в имя - неизвестно. Можешь попробовать с Хранилищем :)
 
27.01.2011 08:47  
student
а ловить надо любой коннект или только браузерный?
если браузерный и винда - то можно как и с блокнотом - через vbs с бесконечным циклом - заголовок окна будет содержать нужную инфу чтобы его (окно) гасить
если надо гасить только определенную вкладку - до нее можно достучаться там же через объектную модель :connie_swatfly:
 
27.01.2011 17:12  
sevushka
Цитата:
Сообщение от OlegON
Админская, просто так загадано :)
netstat -a -b немного коряво в данном случае, во-первых, учитывая, что соединение может быть мимолетным, с какой частотой его запускать?
да хоть каждые 5 минут, систему это не грузит
Цитата:
Сообщение от OlegON
А во-вторых, как find приложить? Если по olegon.ru, то не правильно, потому как netstat сначала получит IP, а потом его будет превращать в доменное имя. А прикол в том, что многие IP имеют несколько доменных имен, какое из них ты получишь при преобразовании из IP в имя - неизвестно. Можешь попробовать с Хранилищем :)
Олег, ты прям как в анекдоте," я не понял, ты чей друг, мой или медведя"
по условию задачи админ узнал, что на олегон ломятся. откуда узнал - тривиально, ну посмотрел логи сквида или впна. Понятно, что в логах на гейте не видно, какая программа ломилась, но виден айпишник.
Вот на этот айпишник и натравливаем нетстат на локальной машине. Не, ну если мы не ищем легких путей, то можно и tcpmon из sysinternals заюзать..
я все не могу понять, какого ответа ты добиваешься? Вовантус сразу дал правильный совет, ну если тебе это не нравится - ну на своем корпоративном файрволле пропиши редирект олегон.ру на lleo.aha.ru/na/
а по запретам...

запускай софтину в виртуалбоксе с отключенной сеткой.

если стоит что-то типа каспера - ну у него свой файрволл есть, там закрой, если стандартный от мс использовать низзя...

скачай любой фришный файрволл и поставь там только одно запрещающее правило, блин, кто тебе запрещает его использовать, админ ты или нет, в конце концов

вместо прописывания в hosts можно попробовать через route add нужный_ип mask 255.255.255.255 на куда тебе надо....

но самый правильный способ - вырубить это правилом на корпоративном файрволле
 
27.01.2011 17:46  
OlegON
Я не за медведя :) Согласен, задача получилась очень расплывчатая, потому, что я подразумевал 2 машины, одна неизвестная клиентская, другая с NATом, student подразумевал, что это локальная машина, а sevushka, что действие происходит в корпоративной сети :)
Но задачка синтетическая, т.е. это не я попал в такие условия, а я их придумал, сузил количество доступных вариантов, чтобы посмотреть, как вы будете выкручиваться. Вовантус дал правильный ответ, но не пояснил, каким образом ловить флудера.
Что касается netstat, еще раз попробую объяснить примером:
Цитата:
oops scripts # ping olegon.ru
PING olegon.ru (92.53.96.13) 56(84) bytes of data.
64 bytes from tesla.timeweb.ru (92.53.96.13): icmp_req=1 ttl=56 time=10.8 ms
видите, в выводе пинга, как и netstat видно другое имя? т.е. find olegon.ru ничего не найдет. Т.е. сначала имя преобразуется в IP, а для отображения его в выводе IP преобразуется обратно в имя. И не всегда в то, которое было задано изначально. В общем, если кто-то хочет - может еще попредлагать способы обнаружения источника проблем без применения стенки.
 
 
Опции темы



Часовой пояс GMT +3, время: 08:44.

Все в прочитанное - Календарь - RSS - - Карта - Вверх 👫 Яндекс.Метрика
Форум сделан на основе vBulletin®
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.