[Greyman]

Solitude
1. Из программных способов можно использовать алгоритмы, применяемые для выявления снифферов в сети (например, по точному времени отклика).
2. Если свичи управляемые, то можно быстро определить соответствие, посылая запросы на конкретный порт свича.
3.Физический заключается в выдергивании поочередно вилок из свеча и определения, какая еще станция пропала из сети вместе с вирутуальной.

ИМХО последний способ самы реальный, т.к. наименее затратный (первые 2-а без доппрограмирования ИМХО не выполнить...).

[Solitude]

Greyman
Спасибо!

Цитата:

1. Из программных способов можно использовать алгоритмы, применяемые для выявления снифферов в сети (например, по точному времени отклика).

А нельзя ли об этом по подробней ?

Цитата:

2. Если свичи управляемые, то можно быстро определить соответствие, посылая запросы на конкретный порт свича. 3.Физический заключается в выдергивании поочередно вилок из свеча и определения, какая еще станция пропала из сети вместе с вирутуальной.

К сожалению у меня нет доступа к свичам...

[Greyman]

Solitude

Цитата:

Цитата: 1. Из программных способов можно использовать алгоритмы, применяемые для выявления снифферов в сети (например, по точному времени отклика). А нельзя ли об этом по подробней ?

Это не ко мне. Я знаю, что это возможно, по аналогии с отслеживанием снифферов. Принятые методы можно отыскать при необходимости в инете, у самого ссылок под рукой щас нет. Замечу только, что готового ПО для подобной задачи ИМХО пока нет (я не слышал), поэтому для использования соответствующих методов придется писать софт самому, для чего надо неплохо знать программирование по крайней мере на уровне сокетов...

Цитата:

К сожалению у меня нет доступа к свичам...

Хм... Жаль. Тогда надо думать...
Подсети у машин одинаковые? Какие?

Хм... Возможно подойдет алгоритм с сетевым флудом...
1. Замеряются каким либо способом тайм-ауты запросов на все машины в сети. Моджно точный замер Ping'ов, но в некоторых случаях это может не стработать (например из-за установленных ПСЭ). Тогда можно замерять ARP-запросы, нетбиосовские датограммы и т.п. Главное - получить первоначальные доаольноь точные значения временных откликов на запрос.
2. Делается одна из сетевых флуд-атак на первую из машин. Вариантов тоже довольно много. При этом некоторые типы атак уже считаются стандартными и могут распознаваться и блокироваться сетевым оборудованием и ПСЭ рабочей станции. Здесь тебе надо будет определиться с ПО. Я тут не помошник, т.к. я занимаюсь больше как раз противоположным вопросом, поэтому инструментарий я предложить не могу, даже еслиб подробно был с ним знаком.
3. При действующей флуд-атаке повторно замеряются таймауты ответов на запросы по п.1
4. П.4. повторяется для всех машин в сети.
5. Сравнивая данные, полученный из. п.1-4 можно найти соответствие в машинах - это будут те машины, где рост тайм-аутов будет максимальным...

Это ИМХО, может я что-то и упустил,... но я в ланной ситуация начал бы с этого (за неименее более конкретного предложения). токо учти, что админ тоже может не дремать и подобная твоя деятельность может показаться ему странной...

[Solitude]

Greyman

Цитата:

Подсети у машин одинаковые? Какие?

Да у нас нет подсетей - одна сеть с IP от 192.168.0.0 до 192.168.0.255. И админа тоже нет... :-)

Цитата:

Хм... Возможно подойдет алгоритм с сетевым флудом.......

Да, довльно сложно... Ну я попробую... Спасибо!

[TbMA]

Если сеть виндовая - то можно поискать интерфейсы, которые переключены в promiscuous режим (на основной-то машине он так и должен быть) с помошью микрософтовской тулзы Promqry

Есть и универсальные (якобы на все системы, типа Promiscan), но слышал что определяют они ненадежно.

[Solitude]

TbMA
А можно по подробнее... ?

[TbMA]

На эти темы на самом деле много статей написано. Все началось со статейки l0pht-ов и их-же программы Anti-Sniff.

Все "универсальные" программы действуют по предложенным ими-же методам. А основной метод простой - если сетевая карта находится в promiscous режиме - то она обрабатывает намного больше пакетов, чем все остальные. Т.е. такой компьютер будет тормозить. Если послать ему много информации - то он будет больше тормозить.
Т.е. если пинговать несущесвующие хосты (или виртуальные машины) - то тормозить будет реальная машина.

Однако это все в идеале. Компьютер ведь может и тормозить по другим причинам? Может он что-то свое делает. Т.е. разлет в торможении будет большой, и у нас могут быть и ложные срабатывания.

Все остальные методы зависят от установленных программ и операционных систем. Т.е. например если "сниффер" делает ресолв каждого IP в имя - мы посылаем в сеть много трафика для несуществующих хостов и (своим сниффером) смотрим кто будет ресолвить их в имена. И т.д. Но он-же может их и не ресолвить.

[Rubikon1]

ребята если известно имя машины и ее IP может для начала трассу к ней построить?

[Greyman]

TbMA

Цитата:

Если сеть виндовая - то можно поискать интерфейсы, которые переключены в promiscuous режим (на основной-то машине он так и должен быть)

Для виртуальной машины включение этого режима не яляется обязательным, хотя в большинстве случаев действительно это так и есть...

Solitude
То что я описывал, я как раз привел по аналогие с антисниффингом, но в приложении к конкретному случаю с виртуальной машиной. Может правда и не достаточно гладко...

Rubikon1
А твой вопрос имеет отношение к данной теме? Если да, то поясни. Если нет, то незачем разводить оффтопик, пользуйся поиском или отдельной темой...