[exo]

Цитата Ultrix:

(комп не пингуеться) »

нет ответа или не разрешается имя?

[Ultrix]

Не разрешаеться имя. Он наверное уже вышел и загрузился с нормальной винды. Но на будущее, может он зайдёт снова.

[ab57]

Цитата Ultrix:

Не разрешаеться имя. »

Непонятно, а откуда тогда вы взяли это - winxpe ?
Я так понял, вы увидели левый winxpe в сетевом окружении и пингом хотели узнать его IP. Наверняка прикрыт ICMP брандмауэром. Но IP вам наверняка ничего не даст. Злоумышленник мог взять любой свободный ( и даже несвободный). MAC - немного ближе к вашему поиску. Хотя тоже подменить можно.

[Ultrix]

Цитата ab57:

Непонятно, а откуда тогда вы взяли это - winxpe ? Я так понял, вы увидели левый winxpe в сетевом окружении и пингом хотели узнать его IP. Но IP вам наверняка ничего не даст. Злоумышленник мог взять любой свободный ( и даже несвободный). MAC - немного ближе к вашему поиску. Хотя тоже подменить можно. »

Вот во всех этих предложениях ты полностью прав. Но вопрос стоит в том что "хотелось бы узнать что за компьютер". Если есть у кого какие мысли по этому поводу, помогите.

[ab57]

Ну, для начала посмотреть MAC
arp -a
Если левый комп включен и виден в сетевом окружении, то в результатах arp будет его IP и MAC.
По MAC'у можно определить производителя сетевой карточки. Может что-то подскажет. Можно попробовать просканировать полученный по arp'у IP, и что-то возможно всплывет еще.
Но сканирование может заметить хозяин.
Можно попробовать вычислить местонахождение злоумышленника по свичам, если они "умные", то несложно. Если неуправляемые, то сложнее.
Поскольку комп виден в сетевом окружении, на нем работает служба сервера, возможно не прикрыт доступ к скрытым системным папкам, возможно доступно что-то еще.
Можно попробовать искусственно создать интенсивный трафик между вами и искомым компом и пройтись по индикации свичей, может и удастся вычислить. Есть такая утилитка netcat, с ее помощью можно сконструировать какой-нибудь, пусть и некорректный пакет TCP или UDP, заставляющий отзываться хотя бы руганью искомый комп, зациклить это обращение, поставить анализатор трафика и поочередно отключать шнурки на свиче (варварство конечно), пока ответ не пропадет. Возможно, удастся обойтись и без отключения, только индикацией.

[Ultrix]

Извини, но немного не понял что такое arp несталкивался с этим. Можешь объяснить подробно что к чему и куда.

На счёт того что заподозрит он или нет мне пофиг, это как бы не важно. Тут идёт дело такое, что у наша организация имеет достаточно секретные документы и в связи с этим закрыты все юсб и дисководы. Он (теоретически) поставил в биосе загрузку либо с сидюка либо с юсб на которых стояла winxpe. Мак адрес и производитель ничего не дадут, у нас больше 100 компов и все они крафтвэи с одинаковымим внутренностями.

Свечи вроде умные.

[ab57]

ARP - задает соответствие IP физическому (MAC) адресу сетевой карты. По arp -a получишь список
вроде этого:
Адрес IP Физический адрес Тип
192.168.0.7 00-02-44-05-0a-85 динамический
192.168.0.8 00-02-44-0c-06-5a динамический
.....

192.168.0.7 - IP-адрес компа, 00-02-44-05-0a-85 MAC-адрес его карты.

Если компы одинаковые (и с одинаковыми сетевыми картами), а в сетке, например появился левый ноутбук, его MAC может сильно отличаться от остальных старшей частью адреса. Что-то мне кажется, что это именно левый ноутбук, который подключили к сетке.

Цитата Ultrix:

Свечи вроде умные. »

Если это так, то к ним можно подключиться соответствующим софтом (должен быть в комплекте поставки) и найти к какому порту данного свича подключена сетевая карточка с левым MAC'ом.
И еще одно, если есть сервер DHCP, то в его оснастке легко найти в арендованных адресах, какой IP и MAC у winxpe. А MAC - это уже конкретный компьютер, Вычислить легко. Умные свичи позволяют отключить порт - и сам прибежит.

[Ultrix]

Цитата:

ARP - задает соответствие IP физическому (MAC) адресу сетевой карты. По arp -a получишь список вроде этого:

Это вот я на любом компе в рабочей групе наберу эту команду и он у меня выдаст айпишники с соответствиями их макам ?

Цитата:

И еще одно, если есть сервер DHCP, то в его оснастке легко найти в арендованных адресах, какой IP и MAC у winxpe. А MAC - это уже конкретный компьютер, Вычислить легко. Умные свичи позволяют отключить порт - и сам прибежит.

DHCP то есть, но он на серваке, который в домене и не имеет отношения к той рабочке, в которой был замечен нарушитель.


Если это ноутбук, то какой смысл ему грузиться с winxpe. Если это нашь комп, то значит мак у него будет идентичен сотне таких же компов и значит злоумышленик не будет найден?


Есть ещё варианты?

[Ment69]

Цитата Ultrix:

DHCP то есть, но он на серваке, который в домене и не имеет отношения к той рабочке, в которой был замечен нарушитель. »

Это как? Рабочая группа не входит в локальную сеть, где находится сервер с DHCP? Какие адреса в рабочей группе: динамические или статические?