Intrus
beb73
Messages postés
164
Statut
Membre
-
brupala Messages postés 112475 Date d'inscription Statut Membre Dernière intervention -
brupala Messages postés 112475 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
J'ai un p'tit malin qui essais de se connecter sur notre réseau avec un adresse en dure déjà attribuée à un de nos serveur.
comment puis je savoir qui?
Genre retrouver l'adresse mac ou le user ...
Bien le merci
J'ai un p'tit malin qui essais de se connecter sur notre réseau avec un adresse en dure déjà attribuée à un de nos serveur.
comment puis je savoir qui?
Genre retrouver l'adresse mac ou le user ...
Bien le merci
3 réponses
slut,
S'il n'arrive pas à se connecter (ce qui est probable), tu auras du mal à voir le user.
Es tu sur que ce n'est pas le dhcp qui est mal configuré (il oublie d'exclure les adresses attribuées en dur, tout simplement ?
Déjà, comment as-tu repéré le pb ? dans les logs du serveur ? il y a peut etre des infos sur son adresse mac à ce niveau là.
et ... Voili Voilou Voila !
S'il n'arrive pas à se connecter (ce qui est probable), tu auras du mal à voir le user.
Es tu sur que ce n'est pas le dhcp qui est mal configuré (il oublie d'exclure les adresses attribuées en dur, tout simplement ?
Déjà, comment as-tu repéré le pb ? dans les logs du serveur ? il y a peut etre des infos sur son adresse mac à ce niveau là.
et ... Voili Voilou Voila !
que puis je faire avec?
se balader dans les bureaux et recenser les machines.
Controller les adresses MAC des machines louches (avec ipconfig /all ou bien winipcfg).
Et surtout: tient un registre des machine dont tu es responsable.
Sinon, tu peux aussi installer un sniffer (par exemple Ethereal.com), ne prendre que les trames qui ont cette adresse MAC pour voir ce qu'il essai de faire (à quels serveurs il essaie de se connecter, etc.)
se balader dans les bureaux et recenser les machines.
Controller les adresses MAC des machines louches (avec ipconfig /all ou bien winipcfg).
Et surtout: tient un registre des machine dont tu es responsable.
Sinon, tu peux aussi installer un sniffer (par exemple Ethereal.com), ne prendre que les trames qui ont cette adresse MAC pour voir ce qu'il essai de faire (à quels serveurs il essaie de se connecter, etc.)
Le DHCP est bon .
je viens de regarder les logs et en effet l'adresse mac de l'intrus s'y trouve.
que puis je faire avec?
C'est déjà les 3/4 du boulot de fait.
Je ne sais pas l'étendue de ton réseau, ni comment il est fait mais ... voyons.
Les 6 premiers octets de l'adresse mac identifient le constructeur de la carte réseau, en fonction de ça, ça peut éventuellement t'aider.... si tout le monde n'a pas la m^m.
Ensuite, le plus simple sur le papier mais pas dans la pratique: faire faire un ipconfig à tout le monde et leur demander le résultat, mais là ça risque d'etre aléatoire.
Si tu as des switchs manageables, tu peux aller voir les mac enregistrées sur chaque port et retrouver l'animal en fonction du port.
Si tu n'as un nanalyseur réseau, capturer en filtrant sur cette mac là, il doit bien balancer des broadcast avec des infos dedans qui permettent de l'identifier.
Une autre piste aussi: il y a de grandes chances statistiquement que ce soit un portable qui fasse ça .... commence par enquêter sur les portables.
Pour connaitre un constructeur en fonction des 3 premiers octets de l'adresse mac , tu fais une recherche dans la boite OUI ici:
http://standards.ieee.org/regauth/oui/index.shtml
et ... Voili Voilou Voila !