Visualizzazione Stampabile
Che bell'argomento :D
Dopo il ban dell'user, quello della mail e quello dell'Ip, alle volte capita che gli IP sono variabili e per non tagliare tutta una serie di IP si lascia circolare utenti che stressano la board.
E possibile bannare l'indirizzo MAC della scheda di rete della persona ?
Ovviamente io intendo tramite un firewall, non con il vbulletin.
Basta che non cerchino in rete......
http://amac.paqtool.com/
:D
Se hai un firewall hardware, sicuramente. Con windoze non credo, anche se ho visto da qualche parte un'impostazione al riguardo, credo nel policy editor. Ma è come giocare col fuoco, con questa utility ;)
Spulciando ho trovato questo:
http://www.redangel.it/Click_file.asp?m=1119&l=3
Quando ho un secondo lo provo, sono curioso. :)
Lui non ne ha un idea, più di IP non sa.... ;)
Il fatto è che mi "sembra" che il mac sia valido solo in LAN e non su internet :(Citazione:
Originariamente Scritto da Sergio
E' valido anche su Internet, in quanto un pacchetto TCP/IP lo contiene. E' essenziale per l'identificazione di pacchetti. Il Sygate (software) Firewall lo mostra. Comunque è manipolabile per chi ha i mezzi...
Volevo dire qualcosa al riguardo del MAC (ID univoco di scheda LAN), che pochi conoscono.
Il difetto delle utility che per mettono il cambiamento del proprio MAC, è che lavorando in rete LAN. potrebbero escludere l'utente dalla rete, oppure, in caso di assegnamento duplice (due o più MAC uguali), rendere la rete instabile o addirittura inaccessibile.
Diciamo, il pro per noi è, che chiunque fa queste modifiche, dovrà essere consapevole dei possibili danni che reca a se stesso, e se non ha alcuna cura di questi piccoli fattori, dovrà eventualmente reinstallare tutto. E con tutto intendo proprio tutto, ogni singola macchina collegata in rete (LAN), compreso il server, in quanto un assegnamento manuale del MAC potrebbe sconfigurare seriamente il DHCP server, e il registry di tutte le macchine collegate al dominio (compreso quelle che si connettono tramite VPN). Un ripristino del MAC originale avrebbe nessun effetto risolutivo del danno ormai procurato.
Le LAN particolarmente vulnerabili sono soprattutto quelle che contengono configurazioni di sicurezza a livello utente e gruppo. La duplicazione del MAC potrebbe assegnare alla macchina un diritto che non ha, cioè figurare come un PC situato da un'altra parte. Finché ci lavora soltanto uno o l'altro, non ci sono problemi gravi. Appena che lavorano entrambi, nasce un conflitto di interessi che fa crollare il sistema di sicurezza a livello software. Se c'è in mezzo un router hardware, il problema è minore, nell'altro caso, il server di dominio cerca di risolvere il problema e scombussola tutto il suo registry, e quindi comunica alle altre macchine dati errati. I pacchetti TCP/IP o NETBIOS non arrivano più soltanto a una macchina, ma arbitrariamente a una o l'altra, chiunque è più veloce a rispondere. Il risultato è che il traffico di rete aumenta in modo esponenziale, finché non viaggia più nulla - un perfetto autogol, Denial Of Service all'interno della LAN, purtroppo con conseguenze fatali e irrecuperabili.
La duplicazione del MAC può bloccare la rete nel giro di qualche minuto, dopo di ché sarebbe meglio preparare le dimissioni e tornare a casa... Io ho visto crollare delle reti grosse (>400 terminali) nel giro di 5 minuti, per via di una numerazione errata di un chip di una scheda di rete, dal nuovo acquisto, non autorizzato dal sistemista, del direttore ;).
Questi problemi c'erano nel passato nelle reti (ca 15 anni fa), finché non si stabiliva una regola: MAC univoci, persino a livello hardware. Di allora era pratica comune di tenere un registro (scritto a mano) di tutte le schede di rete, e bloccare l'ingresso dei duplicati, che erano abbastanza frequenti.
I produttori delle schede di rete si sono messi d'accordo con la numerazione dei chip, e fin lì è tutto a posto. Una ditta che installa una LAN ex nuova, compra un lotto di schede, e normalmente sono numerati in progressivo. Se ora qualcuno cambia il MAC per uno o due puntini in su o in giù, combina un grosso guaio: duplica il MAC di una macchina probabilmente esistente all'interno della LAN.
Questo riguarda Windows, non so come si comporta Linux/Unix.
Morale, se io gli becco il suo mac posso fermarlo per un pò, forse per sempre sto fesso...Citazione:
Originariamente Scritto da y2ksw
Non è che rischio di fermare anche altri con mac simili ? Vabbhè che è un rischio che si può correre....
Ragazzi, è impossibile vedere il MAC.
Un piccolo e carino hack potrebbe essere il settaggio sul client di un cookie che evita il login (e lo segnala all'admin).
P.
Sì credo che per PHP è l'unica strada percorribile, ed è davvero un'ottima idea :) Solo una domanda: come si capisce che si tratta di quell'utente, che magari non fa il login, o che si presenta ogni volta con un altro nome ed IP (dinamico)?Citazione:
Originariamente Scritto da paolo
Esatto. L'unico MAC che devi lasciar passare sempre, è quello nullo (16 o 32 byte impostati a 00), che è utilizzato dagli utenti con accesso modem analogico/ISDN; per quanto ho visto dai log del mio ex-firewall (SyGate), prendono il MAC del provider, nella maggioranza dei casi.Citazione:
Originariamente Scritto da Sergio
Non ho idea però come si imposta il firewall per bloccare un MAC. So soltanto che era possibile farlo, e so che sulla maggioranza dei firewall hardware si può fare per un numero non troppo elevato, credo che il limite è attorno ai 128 MAC (ZyXEL).
A parte di questi trucchi hardware, perché non ti metti in contatto con il provider di quell'utente e lo fai espellere dal pool degli utenti? Ho applicato questo modo con successo con due hacker, che ostinatamente volevano entrare nel mio sistema. Quando si comincia contattare i responsabili, credono (con ragione) che sta per succedere qualcosa, e si accende nella loro testa la lampadina azzurra ;). Non dicono mai nulla, ma quel che succede conta. Nel mio caso sparivano i segnali di attacco entro tre giorni, e non sono mai più tornati. Sai, un sospetto l'avevo, e inoltre un impeccabile listato di tutte le loro attività. Avranno sentito il pericolo imminente di un'indagine molto spiacevole ... e hanno smesso.
Sto fessacchiotto ha molto probabilmente un modem ISDN o 56k :(Citazione:
Originariamente Scritto da y2ksw
Questo mi piace :D Proverò ;)Citazione:
Originariamente Scritto da y2ksw
Tecnicamente non possibile. Il MAC address circola in ethernet, non in internet, per farla molto semplice.Citazione:
Originariamente Scritto da Sergio
Non per fare il pignolo ;), all'indirizzo http://nicetoad.homelinux.org/tcp.html, nell'ultimo terzo della pagina viene indicato, molto genericamente, come ricavare il MAC dal pacchetto TCP/IP.Citazione:
Originariamente Scritto da FrankFitness
In sostanza.... con un buon firewall posso bannare la scheda rete di un PC che si collega in DIAL-UP ? Magari tirandoci dentro una serie di IP richiando anche che qualche d'uno abbia un MAC come il suo (dubito)Citazione:
Originariamente Scritto da y2ksw
Non esiste una funzione AND del tipo daglio fuori (MAC) And (Serie di IP) con il firewall ?
http://sicurezza.html.it/articoli/ar...i=11&npagina=4
Sì, in sostanza è questo. Il link qui sopra mostra il Sygate (software) firewall che consente l'esclusione di un specifico MAC, nella creazione delle regole.
nn è possibile bannare un mac address...per il semplice fatto che ad ogni router il mac address viene riscritto dall'interfaccia di output del router :D sai com'è :D avere un broadcast arp per tutta internet nn so quanto sia conveniente :D e poi di proxy arp sono disabilitati per grazia divina :D
Indagherò su questo fattore (sono sempre curioso) :)
misteri dei protocolli ragazzi :D
cmq sono interessato al fatto di comunicare ai provider degli utenti che fanno casino...
un utente si è iscritto e ha fatto casino insultando lo staff, utenti, ecc.
ho segnato l'IP ma adesso come faccio a sapere chi è oppure da che ISP proviene per poterlo segnalare? :confused:
Ci sono diversi modi, ad esempio tracert (Trace Root) dalla riga di comando, oppure Visual Route (http://www.visualroute.it/vr.asp), per conoscere il percorso.
Ad esempio il mio, dinamico (attendere che finisce, cliccare su Snap, selezionare tutto e Ctrl+Ins):
Se lo fai in un secondo momento, potrebbe riferirsi a un altro utente che non c'entra, per cui devi anche comunicare data e ora esatta (GMT).Codice:=========================================================
=== VisualRoute (R) 7.3b report on 12-dic-04 14.25.03 ===
=========================================================
Report per 82.48.26.45 [host45-26.pool8248.interbusiness.it]
Analisi: Pacchetti IP persi sulla rete "Telecom Italia SPA" al hop 11. Informazioni insufficienti nella cache
per la determinazione della rete successiva al hop 12.
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
| Hop | %Persi | Indirizzo IP | Nome nodo | Locazione | F.Ora | ms | Grafico | Rete |
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
| 0 | | 194.242.61.53 | interhost.it | * | | | | Web Presence Provider |
| 1 | | 194.242.61.1 | - | ?(Italy) | +01:00 | 0 | x-- | Web Presence Provider |
| 2 | | 151.5.149.125 | - | ?Milan, Italy | +01:00 | 0 | x- | IUnet |
| 3 | | 151.6.69.193 | - | ?(Netherlands) | +01:00 | 0 | x | RIPE Network Coordination Centre RIPE-ERX-151-1-0-0 |
| 4 | | 151.6.0.117 | - | ?(Netherlands) | +01:00 | 0 | x | RIPE Network Coordination Centre RIPE-ERX-151-1-0-0 |
| 5 | | 151.6.0.121 | - | ?(Netherlands) | +01:00 | 0 | x | RIPE Network Coordination Centre RIPE-ERX-151-1-0-0 |
| 6 | | 151.6.0.146 | - | ?(Netherlands) | +01:00 | 0 | x | RIPE Network Coordination Centre RIPE-ERX-151-1-0-0 |
| 7 | | 151.99.75.157 | r-mi258-vl3.opb.interbusiness.it | Milan, Italy | +01:00 | 15 | x | RIPE Network Coordination Centre RIPE-ERX-151-1-0-0 |
| 8 | | 151.99.98.97 | r-rm213-mi258.opb.interbusiness.it | Rome, Italy | +01:00 | 15 | x | RIPE Network Coordination Centre RIPE-ERX-151-1-0-0 |
| 9 | | 151.99.101.198 | r-bo74-rm213.opb.interbusiness.it | Bologna, Italy | +01:00 | 21 | x--------- | RIPE Network Coordination Centre RIPE-ERX-151-1-0-0 |
| 10 | | 151.99.101.118 | r-bo82-bo74.opb.interbusiness.it | Bologna, Italy | +01:00 | 15 | x | RIPE Network Coordination Centre RIPE-ERX-151-1-0-0 |
| 11 | | 80.21.70.143 | host143-70.pool8021.interbusiness.it | - | | 15 | x | Telecom Italia SPA |
| ... | | | | | | | | |
| ? | | 82.48.26.45 | host45-26.pool8248.interbusiness.it | - | | | | RIPE Network Coordination Centre 82-RIPE |
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Sempre su Visual Route, clicchi sull'ultima riga, Nome nodo, per interrogare WhoIs:
e ottieni tutti i dati necessari, nella regola. Se non fosse così, sali nella lista finché lo ottieni. Funziona solo Ctrl+Ins sulle finestre, immagino perché lo vogliono vendere, e quel comando è vecchio e non più documentato, da Windows, equivalente a Ctrl+C.Codice:domain: interbusiness.it
x400-domain: c=it; admd=0; prmd=interbusiness;
org: Telecom Italia S.p.A.
descr: InterBusiness
descr: Network Service Provider
admin-c: CD2-ITNIC
tech-c: FG82-ITNIC
tech-c: GLM2-ITNIC
postmaster: FG82-ITNIC
zone-c: DRS9-ITNIC
nserver: 151.99.125.2 dns.interbusiness.it
nserver: 193.205.245.66 dns3.nic.it
nserver: 151.99.250.2 server-b.cs.interbusiness.it
nserver: 151.99.125.138 dns.opb.interbusiness.it
remarks: Fully Managed
remarks: Please report Spam/Abuse only to abuse*NOSPAM*@interbusiness.it
mnt-by: INTERBUSINESS-MNT
created: before 19960129
expire: 20050129
changed: domain*NOSPAM*@cgi.interbusiness.it 20020426
source: IT-NIC
Tu setti il cookie sul suo browser. Autenticato o no non importa. Il discorso però non è semplice. Per implementare una feat del genere devi beccare l'IP mentre sta "facendo casino" e settargli il cookie. Ovviamente questo metodo è valido nei confronti di utenti che non sanno di quel cookie o che magari non ci pensano che possa accadere. (Magari utenti che sanno solo che "non vengono scoperti" cambiando provider col quale si collegano)Citazione:
Originariamente Scritto da y2ksw
Già sto pensando che si potrebbe settare un cookie simile a tutti quelli che leggono il thread "incriminato" visto che sicuramente l'untore tornerà sul posto del delitto :D
Ok, sto a pizz, ma nuove sfide d'implementazione in PHP m'intrigano sempre. Avere il tempo di farle è poi un'altra cosa...
E cmq essendo una feat che funzionerebbe in modo semiautomatico non mi attrae molto: io sono per il "completamente automatico".
Ma questa è una genialataaaaa..... :DCitazione:
Originariamente Scritto da paolo
Dovrei inserire una riga di codice che verrà letta da tutti, non dovrebbe rallentare nulla, ma il tipo rimarrebbe letteralmente di MERDA quando si vede redirezionare ad una pagina con un bel DITO MEDIO !!! :D
Ed il tutto se ne stà li sul suo computer, lui prova proxy, connessioni varie !!!
Paoooolooooo sei un miiitooo !!! :D:D:D