banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận mạng và thiết bị mạng Tìm IP gây xung đột trong LAN  XML
  [Question]   Tìm IP gây xung đột trong LAN 25/11/2008 06:39:47 (+0700) | #1 | 160124
[Avatar]
HiTnRuN
Member

[Minus]    0    [Plus]
Joined: 20/10/2008 19:49:28
Messages: 108
Offline
[Profile] [PM]
Chào các bạn, mình đang đau đầu với một bài toán thực tế như sau:

Mạng LAN ở công ty mình gồm 25 máy sử dụng IP tĩnh tất cả đều sử dụng HĐH WinXP SP2, có 2 máy tính tạm gọi là máy A và B. A được gán IP xxx.xx.x.10, B được gán IP xxx.xx.x.111. Nếu máy B đổi IP thành xxx.xx.x.10 (giống máy A) sẽ có thông báo xung IP trên cả 2 máy (ko có soft fake MAC hay virus dạng Getaway).

+ Trường hợp máy B giữ nguyên IP 10 ko đổi lại IP 111, mình có thể phát hiện ra được địa chỉ MAC của máy B bằng nhiều cách: đơn giản là đi kiểm tra 24 máy còn lại #smilie hoặc dùng WireShark để dò gói tin nào có thông báo Duplicate IP từ đó truy ra MAC của máy gây xung IP...

+ Trong trường hợp user trên máy B ngay lập tức thay đổi lại IP thành 111. WireShark chưa kịp bật lên, ko kịp bắt packet chứa thông tin Duplicate, mình ko thể tìm ra máy nào vừa gây xung IP. Mình rất muốn biết cách tìm ra địa chỉ MAC máy B? Và ngoài cách dựa vào MAC để xác định máy tính B còn có cách nào khác không?

Mong các bạn gợi ý tập hợp câu lệnh hoặc một phần mềm để giải quyết vấn đề này.

Mình muốn hỏi thêm một vấn đề nữa, đó là kiểm tra trực tiếp trên máy tính xem đã sử dụng những IP nào kể từ lần khởi động máy gần nhất hoặc trong một khoảng thời gian gần nhất có thể được không?
[Up] [Print Copy]
  [Question]   Re: Tìm IP gây xung đột trong LAN 25/11/2008 10:34:46 (+0700) | #2 | 160151
[Avatar]
ngochoan2003
Member

[Minus]    0    [Plus]
Joined: 15/05/2003 14:09:36
Messages: 91
Offline
[Profile] [PM] [WWW]
Nếu nói vậy có nghĩa là a phải có đầy đủ thông tin của 25 địa chỉ Mac của 25 máy đúng không ?
Ví dụ e dùng một soft để thay đổi địa chỉ IP và địa chỉ Mac thì a tìm kiểu gì ???
[Up] [Print Copy]
  [Question]   Re: Tìm IP gây xung đột trong LAN 25/11/2008 11:13:35 (+0700) | #3 | 160157
[Avatar]
HiTnRuN
Member

[Minus]    0    [Plus]
Joined: 20/10/2008 19:49:28
Messages: 108
Offline
[Profile] [PM]
ngochoan đoán tài thật, đúng là mình có đầy đủ thông tin về địa chỉ MAC của tất cả các máy.

Như đã nói ở trên, để đơn giản vấn đề mình đã loại bỏ khả năng sử dụng soft để thay đổi MAC - no use fake MAC software.

Còn soft thay đổi IP, theo ý bạn là có thể dùng 1 soft tương tự IP Switcher Basic thay đổi IP thật nhanh phải ko. Đây đúng là vấn đề đang làm mình đau đầu.

Cám ơn bạn đã góp ý, bạn có thể giới thiệu cho mình 1 phần mềm có chức năng như bạn vừa nêu ko?
[Up] [Print Copy]
  [Question]   Re: Tìm IP gây xung đột trong LAN 25/11/2008 11:20:43 (+0700) | #4 | 160161
[Avatar]
Mulan
HVA Friend

Joined: 01/02/2002 15:09:07
Messages: 274
Location: 127.0.0.1
Offline
[Profile] [PM]

Mulan wrote:
Cái kiểu chơi nhau này cũng khó chịu thật smilie

Bởi vì nó đổi phằm phặp như vậy thì ko check realtime được.

Chỉ còn cách dựa vào cache. Vậy cache của cái gì lưu IP <--> MAC

Mình biết có một soft tên là: Network Inspector của tụi FlukeNetwork http://www.flukenetworks.com)

Bật soft này lên nghe realtime trong LAN, thằng nào đổi IP nó biết liền --> Nó đánh dấu chấm than vàng (!) và thông báo Duplicate IP. Dù có đổi lại thì vẫn bị lưu lại MAC.

Mà có MAC rồi thì ra PC nhanh chứ hả smilie 
[Up] [Print Copy]
  [Question]   Re: Tìm IP gây xung đột trong LAN 25/11/2008 12:01:31 (+0700) | #5 | 160165
[Avatar]
HiTnRuN
Member

[Minus]    0    [Plus]
Joined: 20/10/2008 19:49:28
Messages: 108
Offline
[Profile] [PM]
Cám ơn gợi ý của Mulan.

Thực sự mình đang rất nóng lòng tìm ra đáp án của bài toán này.

Mình đã check http://www.flukenetworks.com/. Search trực tiếp trên trang đó mà ko thấy kết quả nào phù hợp. (mình xem All Product của Fluke Networks cũng ko thấy tên soft nào giống như bạn đã ghi)

Google cho kết quả gần nhất: Fluke Networks Inspectors 4.0.64

Trên địa chỉ bạn cung cấp mình có xem qua một phần mềm NetFlow Tracker 7-day Trial Software. Nhưng yêu cầu cấu hình tối thiểu hơi cao quá

Minimum System Requirements (For trial installations):
RAM: 1024Mb
Disks: 40Gb IDE or SATA
Processor: 1.5Ghz+
Operating System: Windows 2000/Linux/Windows 2003 Server

Có lẽ tại mình hỏi chưa rõ ràng. Ko biết mình có thể dùng một máy tính sử dụng WinXP SP2 trong mạng ngang hàng ở công ty (bao gồm máy A và tất cả các máy còn lại) để tìm ra máy B (máy gây xung IP) bằng một phần mềm nào đó (nhỏ gọn một chút thì tốt hơn).

Và thực sự là ko biết có phải mình đang vội vàng hay ko nhưng mình thực sự ko thể tìm ra một địa chỉ nào để down được. Xin bạn cho mình tên chính xác của soft mà bạn giới thiệu và một link cụ thể hơn.
[Up] [Print Copy]
  [Question]   Re: Tìm IP gây xung đột trong LAN 25/11/2008 12:18:43 (+0700) | #6 | 160168
[Avatar]
HiTnRuN
Member

[Minus]    0    [Plus]
Joined: 20/10/2008 19:49:28
Messages: 108
Offline
[Profile] [PM]
Đúng là mình đang bị một tay nào đó chơi khăm, nó toàn nhè IP của sếp mình mà đổi. Oái ăm hơn nữa là nó nhè vào lúc tối, mình đi về rồi, máy tắt rồi. Sáng hôm sau đến thì chả biết đằng nào mà lần. Hoặc có lần mình đang chuẩn bị về, sếp gọi giật lại chỉ vào cái thông báo vàng khè trên màn hình Error Conflict IP ... Bảo mình đi tìm ai vừa dùng IP của sếp, lúc đó thì mình lại ko bật soft để bắt gói tin. Bực ko thể tả nổi.

Nó mà bật thay đổi liên tục thì mình cho nó teo ngay. Nhưng đằng này lâu lâu nó mới làm một nhát. Ức chế cực kỳ luôn.

Mulan giải thích giúp mình:

+ Bật soft này lên nghe realtime trong LAN >> nghĩa là bật liên tục hả Mulan

+ Có MAC >> bắt được Computer ngay
Cho mình hỏi nhỏ thêm, ngoài căn cứ vào MAC có còn thông số chính xác nào khác mà dựa vào nó mình có thể truy ra Computer hay ko?

Thành thật xin lỗi vì mình hỏi hơi nhiều mà chưa đào sâu soft bạn giới thiệu. Ngày mai mình sẽ bình tĩnh search lại google và check bất cứ thông tin nào có được.

[Up] [Print Copy]
  [Question]   Re: Tìm IP gây xung đột trong LAN 25/11/2008 13:06:30 (+0700) | #7 | 160173
[Avatar]
Mulan
HVA Friend

Joined: 01/02/2002 15:09:07
Messages: 274
Location: 127.0.0.1
Offline
[Profile] [PM]
- Tên chính xác của nó đúng là Network Inspector
- Bật Realtime tức là liên tục đó
- MAC là chính xác nhất rồi (mặc dù vẫn có kiểu Fake Mark smilie )

Kết hợp với tính năng Port Security của tụi Cisco Switch nữa thì OK.
[Up] [Print Copy]
  [Question]   Re: Tìm IP gây xung đột trong LAN 25/11/2008 13:07:52 (+0700) | #8 | 160175
Destiny3986
Member

[Minus]    0    [Plus]
Joined: 22/11/2007 23:54:52
Messages: 21
Offline
[Profile] [PM]
IP Watcher 1.3
http://www.gearboxcomputers.com/ip-watcher.html
Cái phần mềm này có lẽ đáp ứng được yêu cầu của anh, nhưng vấn đề là phải để nó chạy ngầm không ai biết chứ nếu không người ta chỉnh sửa lại thì cũng bó tay.
[Up] [Print Copy]
  [Question]   Re: Tìm IP gây xung đột trong LAN 26/11/2008 00:27:22 (+0700) | #9 | 160220
mrhoangha
Member

[Minus]    0    [Plus]
Joined: 31/07/2008 18:40:28
Messages: 484
Offline
[Profile] [PM] [Yahoo!]
Bro này thù dai quá. Muốn tìm thủ phạm để báo thù hả ? Fix MAC + IP di thì có ai làm gì được nhau nào ?
[Up] [Print Copy]
  [Question]   Re: Tìm IP gây xung đột trong LAN 26/11/2008 00:47:47 (+0700) | #10 | 160222
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Cho dù có đoán mò ai đó, người ta nói tui đặt thử ip, ai biết đâu là của giám đốc. Bó tay.com.
Nhưng trường hợp này chỉ là giả định, nếu giám đốc biết được trong chổ làm có 1 ai đó táy máy. Tay đó chuẩn bị về làng.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   Re: Tìm IP gây xung đột trong LAN 26/11/2008 00:52:50 (+0700) | #11 | 160224
[Avatar]
HiTnRuN
Member

[Minus]    0    [Plus]
Joined: 20/10/2008 19:49:28
Messages: 108
Offline
[Profile] [PM]
@Destiny: Trước hết xin cảm ơn Destiny, hôm qua bạn cũng đã thức đến 11h cùng mình (sau đó thì mình ko biết smilie).

Mình đã cài đặt IP Watcher 1.3 trên máy mình và thử đặt IP static của máy bên cạnh giống máy mình nhưng IP Watcher ko đưa ra một thông báo j cả. Bạn có thể cho mình biết soft IP Watcher này có tác dụng j ko? Bạn có thể chỉ cho mình cách sử dụng phần mềm này để giải quyết vấn đề được ko? (nếu bạn bỏ chút thời gian hướng dẫn mình qua YM hoặc gmail mình mời bạn đi cafe nếu bạn ở Hà Nội hoặc Hải Phòng)

IP Watcher is a public ip address monitoring tool which allows you to be informed of IP address changes on a remote computer. This enables you to access a computer from a remote location, as you will always know when its address changes. Using IP Watcher you may track the internal and external network addresses for a specific computer. If a change occurs you will be notified by email.
------------------------------------------

@HoangHa: Mình ko thù dai. Đây là công việc và là cơ hội học hỏi qua cách giải quyết vấn đề. Mình đã nói rồi soft Fix MAC + IP coi như bỏ đi. Mình có thể ngồi trực tiếp trên máy kiểm tra log, event view, regedit ... Và như đã nói ở trên, mình coi như đây là một lab nhỏ để tìm hiểu và thực hành trên 2 máy ở gần nhau. Nếu bạn có giải pháp nào, xin chỉ cho mình
[Up] [Print Copy]
  [Question]   Re: Tìm IP gây xung đột trong LAN 26/11/2008 01:11:02 (+0700) | #12 | 160229
halh
Member

[Minus]    0    [Plus]
Joined: 22/01/2008 16:03:25
Messages: 26
Offline
[Profile] [PM]
Nên gán static address cho địa chỉ MAC của máy giám đốc lúc ấy bạn sẽ đỡ mệt hơn.
Cách nữa là bạn dùng phần mềm quét toàn bộ địa chỉ IP trong mạng bạn sẽ có kết quả toàn bộ MAC và IP tương ứng tới lúc ấy khi xuất hiện trùng IP bạn cho quét lại và đối chiếu với kết quả check ban đầu sẽ tìm thấy MAC nào đổi IP và việc còn lại là tùy ở bạn.
[Up] [Print Copy]
  [Question]   Re: Tìm IP gây xung đột trong LAN 26/11/2008 01:36:49 (+0700) | #13 | 160234
[Avatar]
HiTnRuN
Member

[Minus]    0    [Plus]
Joined: 20/10/2008 19:49:28
Messages: 108
Offline
[Profile] [PM]
tmd: Đúng như bạn nói. Trong công việc, ngoài quan hệ cứng phải có quan hệ mềm. Nếu tìm ra, mình sẽ nhắc nhở đối tượng đó, chứ ai lại đuổi việc vì chuyện nhỏ là thay đổi IP.
"Về làng" ... nghe như tmd cũng là dân game, hihihi.
--------------------------------------------

halh: ok, phương án gán static MAC rất giống với phương án giải quyết tạm thời virus Getaway. Mình vừa check xong, sử dụng câu lệnh arp -s ipadd MACadd cho máy của mình và đổi IP một máy gần mình thành IP giống máy mình. Sau đó quét IP thì rõ ràng sẽ có kết quả như mod Mulan và mình đã nói từ đầu. Cái khó của vấn đề là ở chỗ, user ngay lập tức thay đổi lại IP cũ ko gây xung nữa và tại thời điểm đó phần mềm dùng để quét IP, MAC chưa bật lên.
[Up] [Print Copy]
  [Question]   Re: Tìm IP gây xung đột trong LAN 26/11/2008 03:28:42 (+0700) | #14 | 160240
StarGhost
Elite Member

[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]
công ty bồ có nhiều switch không? Và switch của hãng nào, có các tính năng gì hỗ trợ cho việc monitor traffic hoặc "port security"? Nếu đối tượng chỉ hoạt động ngẫu nhiên thì cách duy nhất là "rình" cho đến khi bắt được thôi.

Nếu bồ chỉ nói chung chung như thế thì khó mà giúp về mặt kĩ thuật được. Vấn đề này đáng lẽ không đến nỗi khó khi đối phó với hạng teaser như thế.

p/s: để log traffic cho việc check MAC+IP có lẽ cũng chả cần đến phần mềm gì cao siêu, bồ có thể tự viết cho mình một cái (trên *nix thì rất đơn giản, trên Win thì có lẽ cần thêm ndis wrapper), có lẽ cũng là động cơ "hiếm có" để học hỏi thêm.
Mind your thought.
[Up] [Print Copy]
  [Question]   Re: Tìm IP gây xung đột trong LAN 26/11/2008 05:35:39 (+0700) | #15 | 160257
mR.Bi
Member

[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]
User có quyền thay đổi IP? User có quyền cài đặt phần mềm?
All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Up] [Print Copy]
  [Question]   Re: Tìm IP gây xung đột trong LAN 26/11/2008 09:20:52 (+0700) | #16 | 160274
[Avatar]
HiTnRuN
Member

[Minus]    0    [Plus]
Joined: 20/10/2008 19:49:28
Messages: 108
Offline
[Profile] [PM]
StarGhost: "RÌNH" b-) OK. Mình chưa thể xử lí vấn đề hóc búa này ngay được nên trước tiên đưa bài toán về dạng đơn giản nhất, 2 máy tính ở gần nhau, dùng chung 1 switch D-Link hoặc Micronet 16 port. Sau khi giải quyết được sẽ mở rộng vấn đề với đường đi phức tạp hơn. Nếu viết được một soft trên Win thì hay quá. Bạn có thể cho mình xin e-book hoặc tài liệu hướng dẫn cụ thể được ko? Và nếu viết soft thì nên viết bằng ngôn ngữ nào?
[Up] [Print Copy]
  [Question]   Re: Tìm IP gây xung đột trong LAN 26/11/2008 13:58:54 (+0700) | #17 | 160307
[Avatar]
nlfb
Journalist

[Minus]    0    [Plus]
Joined: 09/07/2003 16:41:21
Messages: 1175
Location: HCM
Offline
[Profile] [PM] [Yahoo!]
Ý Mr.Bi cũng đúng đó, thay vì giải quyết cái vấn đề tìm cho ra thủ phạm chơi trò đổi IP cho conflict thì thiết nghĩ bạn cũng nên giới hạn quyền của user lại, không cho thay đổi IP, gán static IP từ router, mò MAC thì có thể nói vô phương, vì chuyển mở Network Card ra nhập lại MAC cho nó khá là đơn giản smilie
[Up] [Print Copy]
  [Question]   Re: Tìm IP gây xung đột trong LAN 26/11/2008 14:22:09 (+0700) | #18 | 160316
StarGhost
Elite Member

[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]

HiTnRuN wrote:
StarGhost: "RÌNH" b-) OK. Mình chưa thể xử lí vấn đề hóc búa này ngay được nên trước tiên đưa bài toán về dạng đơn giản nhất, 2 máy tính ở gần nhau, dùng chung 1 switch D-Link hoặc Micronet 16 port. Sau khi giải quyết được sẽ mở rộng vấn đề với đường đi phức tạp hơn. Nếu viết được một soft trên Win thì hay quá. Bạn có thể cho mình xin e-book hoặc tài liệu hướng dẫn cụ thể được ko? Và nếu viết soft thì nên viết bằng ngôn ngữ nào? 


Tớ không rành về Win lắm, nhưng cách đây vài năm có thử viết 1 sniffer sử dụng Visual C#. Cái tut tớ dùng là đây:
http://www.codeproject.com/KB/IP/sendrawpacket.aspx
Mind your thought.
[Up] [Print Copy]
  [Question]   Re: Tìm IP gây xung đột trong LAN 29/11/2008 03:01:29 (+0700) | #19 | 160613
[Avatar]
HiTnRuN
Member

[Minus]    0    [Plus]
Joined: 20/10/2008 19:49:28
Messages: 108
Offline
[Profile] [PM]
Cám ơn sự giúp đỡ nhiệt tình của các bạn.

Nghĩ lại thấy trò mèo vờn chuột này quả là buồn cười. Mình đã chạy một chương trình sniffer vào những thời điểm "nhạy cảm" trong ngày. Kết quả là đã tìm ra "thủ phạm", ko ngờ đó lại là một anh bạn khá thân với mình. Anh ta ko đc cấp IP để lướt Web nên đôi lúc có đổi sang IP khác.

Mấy ngày vừa qua mình đã đọc kỹ các bài viết của HVA. Rất thú vị với cả những điểu tưởng chừng như đơn giản và nhiều kiến thức bổ ích khác:
+ Chụp riêng một cửa sổ trên màn hình bằng Alt + Print Screen (kamikazeq) (nhớ dai nhất cái nì)
+ Xóa pass BIOSS (của mod phuc...)
+ Loạt bài về SNORT của Mulan (mod "chim sa cá lặn" của HVA)
+ Diệt virus logoff bằng nhiều cách mới lạ và rất hay (kienmanowar)
+ Đổi MAC bằng tay và soft (cám ơn nlfb)
+ Phân tích và diệt virus dòng Dashfer. (GhostShip + LevuHoang)
...
Riêng với ý tưởng code một soft sniffer của StarGhost mình sẽ để dành thưởng thức từng chút, từng chút một. (chưa thấy kết quả j nhưng ngày nào cũng bị codeproject spam cho 1 cái mail smilie) )

Kiến thức quả là vô tận. Rất mong được học hỏi thêm nhiều điều từ tất cả các bạn.
[Up] [Print Copy]
  [Question]   Re: Tìm IP gây xung đột trong LAN 03/12/2008 23:42:37 (+0700) | #20 | 161169
[Avatar]
ngochoan2003
Member

[Minus]    0    [Plus]
Joined: 15/05/2003 14:09:36
Messages: 91
Offline
[Profile] [PM] [WWW]
Nhân tiện đây, cho e hỏi vài câu này :
+ Trong một mạng Lan ( Có domain ), giả sử bạn biết được địa chỉ IP và Mac của một máy thì có thể biết máy đó là máy nào không ?
Câu hỏi này có vẻ hơi ngớ ngẩn !!! Nhưng e muốn hỏi ở đây là Địa chỉ IP và Mac này là của máy ảo ( VMware ) có nghĩa là e có 1 IP và Mac đã đăng ký với phòng IT chẳng hạn, sau đó e muốn dùng net thì e cài máy ảo vào, sử dụng vẫn card mạng đó và truy cập, tại đây thì IP và Mac của máy ảo nó khác hoàn toàn với máy thật của em ( mặc dù vẫn có thể truy cập vào tài nguyên mạng Lan ).
Vậy trong trường hợp này thì liệu có thể tìm ra máy của em khi em dùng Net trong VM ???
Ps : Cái phần mềm thay địa chỉ IP và Mac đơn giản nhất và Free là thằng http://tmac.technitium.com/
[Up] [Print Copy]
  [Question]   Tìm IP gây xung đột trong LAN 22/11/2009 06:49:46 (+0700) | #21 | 198845
vncybernet
Member

[Minus]    0    [Plus]
Joined: 24/01/2005 02:15:17
Messages: 28
Location: 1011
Offline
[Profile] [PM] [Yahoo!]
Bạn có thể sử dụng chương trình netcut, cứ để nó chạy trong lúc làm việc, khi có bất kỳ thay đổi nào về IP trong subnet của bạn nó đều hiển thị đầy đủ về thông tin các lần đổi IP của máy đó và đã đổi những IP nào. Cái netcut là dùng để đầu độc ARP nhưng nó lại đáp ứng được yêu cầu của bạn smilie
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
2 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|