[i-user]

М, да. Почитал, полистал, подумал, попробовал.
Выводы. Выводы, скажем так, неутешительные.
На самом деле, фигня какая-то получается.

В http://www.unix.org.ua/rfc/rfc2365.html говориться:

Код:

   IPv6 SCOP  RFC 1884 Description             IPv4 Prefix
   ===============================================================
   0          reserved
   1          node-local scope
   2          link-local scope             224.0.0.0/24
   3          (unassigned)                 239.255.0.0/16
   4          (unassigned)
   5          site-local scope
   6          (unassigned)
   7          (unassigned)
   8          organization-local scope     239.192.0.0/14
   A          (unassigned)
   B          (unassigned)
   C          (unassigned)
   D          (unassigned)
   E          global scope                 224.0.1.0-238.255.255.255
   F          reserved
              (unassigned)                 239.0.0.0/10
              (unassigned)                 239.64.0.0/10
              (unassigned)                 239.128.0.0/10

... For example, in the Local Scope defined above, 239.255.255.0/24 is reserved for relative allocations. The de-facto relative assignment "0", (i.e., 239.255.255.255 in the Local Scope) currently exists for SAP [SAP]. The next relative assignment, "1", corresponds to the address 239.255.255.254 in the Local Scope...

И далее.
На http://www.iana.org/assignments/multicast-addresses сказано:
Addresses within the 232.0.1.0-232.255.255.255 are dynamically allocated by hosts when needed [RFC-ietf-ssm-arch-07.txt]
По русски, из всего сказанного получается что – адресное пространство в диапазоне 232.0.1.0-232.255.255.255 не используется и распределяются хостами динамически, когда необходимо. Я так понимаю.
Но в то же время:

Код:

Address/Range              Description                         Reference
-------------------------  ----------------------------------  ---------
239.255.000.000-239.255.255.255 Site-Local Scope           [Meyer,RFC2365]

Relative     Description                                       Reference
---------    ------------------------------------------------- ---------
254-255    Reserved - To be assigned by the IANA

Т.е. получается что IP 239.255.255.250, реально принадлежит Internet Assigned Numbers Authority.
Тогда, что может долбиться в IPшник? У меня нет программ сделанных этой конторой! Тогда остаются три варианта:
1) Какой-то паразит, опять же принадлежащий IANA. Но оно им надо? А может быть и надо, кто его знает.
2) Паразит, который был создан для атаки на указанный IP. Но эта фигня у меня висит заблокированной уже несколько лет. И вылезла, на сколько я помню, сразу же после установки винды.
Наврядли это паразит. Базы обновляю регулярно, неоднократно тестил различные антивирусы (антитрояны, антишпионы ...), что-нибудь все равно бы просигналило.
Остается вариант 3) Это прикол от мокрософтов. А если взять во внимание их последний прикол с WMF, то, наверное, правда, что они следят за всеми юзерами.
Так что придется мириться с тем, что логи завалены сообщениями о попытки винды выйти на...
Вот. Однако.
Может я и неправ. Поправьте.

[Rudy]

Подскажите софт для постояного слежения IP+MAC в локалке для обнаружения несанк. подключении в сетку чужаков.
Неплохо бы и видеть какие и куда прошли пакеты.

[Greyman]

Да-а-а... Это меня убило:

Цитата:

Т.е. получается что IP 239.255.255.250, реально принадлежит Internet Assigned Numbers Authority. Тогда, что может долбиться в IPшник? У меня нет программ сделанных этой конторой!

...)))

Ладно, тогда попробую объяснить... Они не принадлежат этой организации, она распределяет это адресное пространство и уж конечно кто делает программы тут не причем... А эти адреса используются для IP-мультикастинга (ну это обяснять не собираюсь, это надо читать доки самому...). Используемый порт в этой связи говорит скорее всего как раз о работе той службы, на которую ссылается первая ссылка. Для выяснения зачем она нужна - это тоже доки читай уже по ней. Суть процесса объяснять - неблагодарное дело, если по этому вопросу в инете уже полно описаний (конечно большей частью на инглише, но и на русском можно найти достаточно). Ты хоть прочитал статьи, на которые первые 4-е ссылки указываются?

[kim-aa]

Цитата:

Неплохо бы и видеть какие и куда прошли пакеты.

Так это может сказать только маршрутизатор (шлюз).
С точки зрения накопления статистической информации о функционировании сети на 3-м уровне, самым старым протоколом является Cisco NetFlow.
В нем информацию могут отдавать или маршрутизаторы Cisco. Или существуют клиенты (probe) для *nix.

[Rudy]

Цитата:

Так это может сказать только маршрутизатор (шлюз).

Т. е. аппаратное решение.
Мне главное:
- для заточенных юзеров в локалке (IP+MAC) - слежение куда бродят.
- чужак в локалке (MAC) - тревога!

[kim-aa]

Цитата:

Т. е. аппаратное решение.

Я же говорю, если шлюз програмный, на Unix, то возможно установить клиента отдающего информацию о пакетах ходящих через шлюз.

Для фиксирования ВСЕХ пакетов, или тем паче, Ethernet фреймов в сети используется след. технология.
1) При использовании разделяемой среды (то бишь повторителя/reapeter, в обиходе его по неграмотности именуют хабом/hub), нужно прицепить станцию у которой сетевая карта работает в режиме прослушивания (Promiscuous mode) + работает софт которой пишет и/анализирует трафик.
2) В коммутируемой среде вариант 1 невозможен.
Производители коммутаторов исхитрились вот как, обычно на управляемых (интеллектуальных) коммутаторах, возможен перевод любого порта коммутатора в режим прослушивания, т.е. на избранном порту дублируется весь трафик (имитация разделяемой среды). Соответственно к данному порту подключается станция прослушивания.

Главным недостатком этих метод является то, что обыкновенная станция не успевает анализировать трафик высоконагруженных мультигигабитных коммутаторах (На 100 мб - достаточно легко), однако мощные коммутаторы обычно сами могут отдавать информацию о трафике в одном из стандартных протоколов, скажем том же NetFlow.

Цитата:

- чужак в локалке (MAC) - тревога

Я к сожалению не решал такие задачи програмными способами.

Обычно в крупных сетях процесс выглядит по другому.
В зависимости от MAC адреса, коммутатор автоматически переводит станцию в один из VLAN.
Если MAC не описан в базе коммутатора, то или порт отключается вообще, или переводится в VLAN-песочницу "иде его уже поджидали люди с добрыми лицами, медленно сжимая кольцо"

[Rudy]

Цитата:

сетевая карта работает в режиме прослушивания (Promiscuous mode) + работает софт которой пишет и/анализирует трафик.

можно подробнее про режим карты + пример софта

[CyberDaemon]

Rudy

Цитата:

подробнее про режим карты

kim-aa имеет в виду сниффер.

[kim-aa]

Софт.
1) Больше ориентирован на оценку среды передачи, коллизии, широковещательного домена: Fluke Network Protokol Expert.
2) Именно на анализ сети
Network Associates Sniffer Portable.
Network Associates Sniffer Distributed.
3) Нужно поспрошать у Юниксоидов, там такого добра навалом.

А карту в режим прослушки обычно переводит сам софт. Только надо помнить ,что пока вы слушаете, общаться с сетью через данный интерфейс Вы не можете, за сим если ставить программу на постоянно фунциклирующий сервер, то он должен обладать 2-мя интерфейсами, один для управления, а второй для прослушки.

[AnGel_of_Death]

как поменять свой IP? и вообще возможно ли ето?