Суть в следующем. На работе завелся вредитель. Мотивы описывать не буду, уверяю низменные. Собственно прибор должен слать результаты измерений в ПЛК, который их обрабатывает. Что делает... со своего компьютера отсылает широковещательное сообщение с айпи ПЛК, но мак-адресом своего компьютера. Прибор спроектирован с применением библиотек от Keil. Вредитель используя IP-спуфинг перенаправляет данные на свой комп и вещает начальству что это прибор так плохо работает и данные не передает. Начальство в технике не особо разбирается. Вредителя я вычислил и опытным путем проверил, что если выдернуть разъем из его компа то ложные пакеты не идут и все работает нормально. Протокол передачи данных UDP. Это собственно и дает возможность пакостить. На компьютере вредителя две сетевые карточки. Одна имеет два айпи 192.168.99.203 и 192.168.1.35. Ее мак-адрес 30 85 A9 ED 5B EE. Другая имеет айпи 192.168.99.101. Ее мак-адрес 48 5B 39 AD 63 C8. Ложная посылка уходит от айпи 192.168.99.101 и мак-адресом 30 85 A9 ED 5B EE (мак первой карточки). Первая карточка подключена к локальной сети проводом в свитч. Вторая подключена к вайфай роутеру напрямую одна. 192.168.99.101 - айпи ПЛК. Если ПЛК отключить от локальной сети то его айпи не пингуется. Ложные посылки при этом идут как и раньше. Интервал посылок чуть больше 42 сек. Собственно стоит задача обличить вредителя и доказать что это не случайность, а сделано намерено. Прошу помочь разобраться каким способом вредитель это делает. Может для этого достаточно настроить карточки и роутер или работает какая-то программа? Как и что искать дальше чтоб уж точно наверняка? Вытрепал нервы мне и ряду других людей. Кучу времени зря убили ища ошибки которых нет. Спасибо.
SWT-RUS
Sep 17 2016, 16:44
Цитата(smk @ Sep 17 2016, 18:32)

Суть в следующем. На работе завелся вредитель. Мотивы описывать не буду, уверяю низменные. Собственно прибор должен слать результаты измерений в ПЛК, который их обрабатывает. Что делает... со своего компьютера отсылает широковещательное сообщение с айпи ПЛК, но мак-адресом своего компьютера. Прибор спроектирован с применением библиотек от Keil. Вредитель используя IP-спуфинг перенаправляет данные на свой комп и вещает начальству что это прибор так плохо работает и данные не передает. Начальство в технике не особо разбирается. Вредителя я вычислил и опытным путем проверил, что если выдернуть разъем из его компа то ложные пакеты не идут и все работает нормально. Протокол передачи данных UDP. Это собственно и дает возможность пакостить. На компьютере вредителя две сетевые карточки. Одна имеет два айпи 192.168.99.203 и 192.168.1.35. Ее мак-адрес 30 85 A9 ED 5B EE. Другая имеет айпи 192.168.99.101. Ее мак-адрес 48 5B 39 AD 63 C8. Ложная посылка уходит от айпи 192.168.99.101 и мак-адресом 30 85 A9 ED 5B EE (мак первой карточки). Первая карточка подключена к локальной сети проводом в свитч. Вторая подключена к вайфай роутеру напрямую одна. 192.168.99.101 - айпи ПЛК. Если ПЛК отключить от локальной сети то его айпи не пингуется. Ложные посылки при этом идут как и раньше. Интервал посылок чуть больше 42 сек. Собственно стоит задача обличить вредителя и доказать что это не случайность, а сделано намерено. Прошу помочь разобраться каким способом вредитель это делает. Может для этого достаточно настроить карточки и роутер или работает какая-то программа? Как и что искать дальше чтоб уж точно наверняка? Вытрепал нервы мне и ряду других людей. Кучу времени зря убили ища ошибки которых нет. Спасибо.
может проще позвать начальство и при нем выдернуть шнурок?
Это само собой. Заму уже показал. Но был задан вопрос как и что нужно найти или объяснить чтобы показать механизм действия.
dm.pogrebnoy
Sep 17 2016, 17:11
Поставить/одолжить управляемый свитч и отрубать негодяя в моменты разоблачения.
Нужно выяснить каким конкретно способом это делается. Отбрешется же. Смысл в том чтоб не дать возможности навешать лапши директору. А вырубить и дубиной можно. Смысл не в том чтобы втихаря противодействовать, а чтобы конкретно доказательно разоблачить. иначе большой шанс что отбрешется.
Boris_TS
Sep 19 2016, 06:35
1. Пакеты широковещательные - значить запротоколировать их на любой машине в сети, например при помощи Wireshark, настроив его именно на вредоносные пакеты.
2. Показывать, log начальству: вот пакеты - вот проблемы / нет пакетов - нет проблем.
3. При необходимости показать в живую: вот валятся вредоносные пакеты -> вот проблемы,.. прервать поток вредоносных пакетов - и нет проблем.
Log составить в любом случае - он как протокол вредительства и саботажа, поможет указать руководству, сколько рабочего времени и усилий (т.е. денег) было испоганено вредителем... тогда, глядишь, уже не фирма ему будет должна, а он ей (при увольнении).
agregat
Sep 19 2016, 06:57
Цитата(smk @ Sep 17 2016, 18:32)

Суть в следующем...
Получить доступ к компьютеру сотрудника, если это сеть предприятия, то админы со своего рабочего места могут зайти с правами админа и отследить любые телодвижения софта на компьютере. В том числе и программу которая отсыает вредоносные пакеты.
Да, и почему не изменить ip адрес ПЛК.
RobFPGA
Sep 19 2016, 07:32
Приветствую!
Скорее всего у этого товарища просто настроен доп ip адрес для первой сетевой карточки на компе который совпадает с адресом ПЛК. Причем это может было сделано и не специально - до того как этот ПЛК в сеть воткнули. Так как это стандартная практика если надо что-что протестировать. Ну а win наверное периодически шлет arp пакеты через этот ip
Делается это стандартными средствами Win. Так что доказать в этом случае что это специально сделано чтобы навредить сложно. Тем более зачем же при этом светить свой MAC. Тогда уж лучше бы подставлял бы MAC начальника

Удачи! Rob.
Можно же поменять адрес устройства - создать новую подсеть. В ней и жить.
Цитата(RobFPGA @ Sep 19 2016, 10:32)

Приветствую!
Скорее всего у этого товарища просто настроен доп ip адрес для первой сетевой карточки на компе который совпадает с адресом ПЛК. Причем это может было сделано и не специально - до того как этот ПЛК в сеть воткнули. Так как это стандартная практика если надо что-что протестировать. Ну а win наверное периодически шлет arp пакеты через этот ip
Делается это стандартными средствами Win. Так что доказать в этом случае что это специально сделано чтобы навредить сложно. Тем более зачем же при этом светить свой MAC. Тогда уж лучше бы подставлял бы MAC начальника

Удачи! Rob.
Тогда почему карточка с тем же айпи не зарегистрирована в сети?
Цитата(Tanya @ Sep 19 2016, 11:29)

Можно же поменять адрес устройства - создать новую подсеть. В ней и жить.
Да это все игра в кошки-мышки. Короче написал докладную, все показал. Неделю - ноль реакции (я во всяком случае не знаю). Хакер тарабанит. Купил DGS-1100-05, надо настраивать теперь.
agregat
Sep 25 2016, 12:19
Ну раз реакции ноль, значит всем плевать, у него развязаны руки. Но и у Вас они не связаны

А switch настроить очень несложная процедура, по инструкции полчаса времени максимум.
Там обычно очень мало настроек.
Цитата(agregat @ Sep 25 2016, 15:19)

Ну раз реакции ноль, значит всем плевать, у него развязаны руки. Но и у Вас они не связаны

А switch настроить очень несложная процедура, по инструкции полчаса времени максимум.
Там обычно очень мало настроек.
Настрою как нибудь. Поживем - увидим. Напишу еще, может кому интересно как дальше будет.
Цитата(RobFPGA @ Sep 19 2016, 10:32)

Тогда уж лучше бы подставлял бы MAC начальника

Удачи! Rob.
кстати... ну тогда бы точно умысел засвидетельствовал. я всеравно бы нашел откуда ноги растут. да и так ясно что не случайно. чувак уже интриговал зама типа знает в чем проблема и это в программе. при этом самой программы в глаза не видел. экстрасенс эдакий?
gosha-z
Sep 25 2016, 18:56
Мне вот непонятно, как это
Цитата(smk @ Sep 17 2016, 18:32)

На компьютере вредителя две сетевые карточки. Одна имеет два айпи 192.168.99.203 и 192.168.1.35. Ее мак-адрес 30 85 A9 ED 5B EE. Другая имеет айпи 192.168.99.101. Ее мак-адрес 48 5B 39 AD 63 C8.
соотносится вот с этим:
Цитата(smk @ Sep 17 2016, 18:32)

192.168.99.101 - айпи ПЛК.
Похоже, сисадмина не звать на помощь надо, а увольнять нафиг.
Цитата(gosha-z @ Sep 25 2016, 21:56)

Мне вот непонятно, как это
соотносится вот с этим:
Похоже, сисадмина не звать на помощь надо, а увольнять нафиг.
да вроде бы к тому и идет. это Вы еще ответ вредителя на мою докладную не читали. это пипец товарищи. может скопипастить сюда?
gosha-z
Sep 26 2016, 16:29
Не надо сюда его копипастить. Убрать с компа specific route для 192.168.99.101 - и все должно получиться. Но одно могу сказать точно - черти, которые пляшут в голове у ваших сетевиков, пляшут и в самой сети. Либо сетевики не знают азов, либо действительно саботаж и вредительство.
Цитата(gosha-z @ Sep 26 2016, 19:29)

Не надо сюда его копипастить. Убрать с компа specific route для 192.168.99.101 - и все должно получиться. Но одно могу сказать точно - черти, которые пляшут в голове у ваших сетевиков, пляшут и в самой сети. Либо сетевики не знают азов, либо действительно саботаж и вредительство.
Нету сетевиков. Тот что был уволился. Кстати из-за этого кадра. Нервы вытрепал толковому парню.
gosha-z
Sep 26 2016, 17:06
Браться за разработку сетевых устройств, не зная изначальных азов - я даже не знаю, как это назвать...
Сильно похоже на то, что на машине вредителя какой-то хитрый бриджинг между двумя интерфейсами.
AlexandrY
Sep 26 2016, 17:42
Цитата(smk @ Sep 26 2016, 19:17)

да вроде бы к тому и идет. это Вы еще ответ вредителя на мою докладную не читали. это пипец товарищи. может скопипастить сюда?
Неплохо было бы знать доводы той стороны.
Так что он говорит?
Цитата(AlexandrY @ Sep 26 2016, 20:42)

Неплохо было бы знать доводы той стороны.
Так что он говорит?
Эдакий самовлюбленный тип, вообразивший себя превыше всех. Сделал каку и глядя как люди бьются головой о стену выжидал когда с ним "посоветуются". Начальству последние два года вешал откровенную лапшу/вранье с целью убедить в своей незаменимости. Короче все вокруг дураки а он самый умный. Лил гавно на коллег директору с глазу на глаз зная что никто из оклеветанных ничего не узнает. По хорошему за такие вещи морду бить надо. Ну да ладно. Начальство отреагировало и тип уволен. С опозданием в пару лет, ну да хоть так. А аргументы бредовые. Могу привести, если хотите. Уже предлагал.
Тема по сути наверно закрыта.
Ну и к сведению. Директор перед увольнением чувака сделал в личных беседах что-то типа опроса. Так вот во всей конторе не нашлось ни одного человека который бы был против увольнения. Я был в шоке - бухгалтер и та сказала чтоб увольнял. Бухгалтер!
Для просмотра полной версии этой страницы, пожалуйста,
пройдите по ссылке.