Вы здесь

LAN Looking Glass

Основное назначение раздела «LAN Looking Glass» — предоставление суппорту инструмента для решения текущих проблем без привлечения системных администраторов.
Данный раздел постоянно дополняется и усовершенствуется по мере возникновения проблем и путей их автоматизации.

Рисунок 1. Главное окно раздела.

На рисунке 1 представлен внешний вид страницы без выполнения какого либо запроса.
Страница разделена на две области:
1. Область меню.
2. Область данных (результатов запроса).

Область меню содержит:
Собственно меню запросов (3). Поле «Адрес» (4). В данное поле вносятся данные необходимые для выполнения запроса. Как правило, это IP-адрес. Запросы «Таблица MAC» и «Таблица ARP», помимо IP-адреса, позволяют вводить в качестве данных также MAC адрес.
Кнопка «Submit»(5) выполняет отправку введенных данных на сервер. После обработки запроса в область данных (2) будут выведены соответствующие результаты либо сообщение об ошибке.
Ссылка «Домой» (6) открывает главную страницу сайта.
Рассмотрим более подробно доступные в настоящий момент запросы.
Два первых запроса принимают в качестве параметров в поле «Адрес» предпоследний октет интересующей вас сети (рис. 2).

Рисунок 2. Вывод результатов выполнения запроса "Занятые IP".

На рисунке 2, показан результат обработки запроса просмотра занятых IP.
Например, чтобы просмотреть занятые IP по сети 1.2.3.0/24 в поле «Адрес» нужно ввести 3 (1).
В области данных выводится таблица с данными по занятым IP адресам.
В соответствующий столбцах таблицы выведены данные соответствующие заголовкам этих столбцов.
Некоторые строки таблицы имеют отличный от фонового цвета страницы цвет ячеек.
Строка клиента работающего через PPTP (VPN, Unlim) соединение имеет такой же фон, как и сама страница (2).
Клиенты использующие PPPoE подключение выделены зеленым цветом (3).
Клиенты работающие без подключения (напрямую, только реальные IP) выделены красным цветом, а поле VPN Логин у таких клиентов содержит запись «Без VPN».

Рисунок 3. Вывод результатов выполнения запроса "Свободные IP".

Результатом запроса «Свободные IP» является список IP не зарегистрированных за каким либо клиентом (рис. 3).

Рисунок 4. Вывод результатов выполнения запроса "Сбросить сессию".

Запрос на сброс сессии принимает в качестве параметра в поле «Адрес» IP адрес или два последних октета IP (рис. 4(1)).
Данный запрос проверяет наличие сессии на VPN и Unlim серверах (кроме PPPoE клиентов) и удаляет ее в случае наличия на одном из серверов (3).
Если сессия не найдена ни на одном из серверов, то это будет указано в выводе результатов (2).

Рисунок 5. Вывод результатов выполнения запроса проверки физической связи.

Запрос на проверку физической связи принимает в качестве параметра в поле «Адрес» IP адрес или два последних октета IP (рис. 5(1)).
Данный запрос очищает arp запись на указанный IP, отправляет ICMP запрос на этот IP и проверяет наличие arp записи.
При успешном результате в выводе результатов будет присутствовать MAC адрес указанного в поле «Адрес» IP(2).
Если результат успешен, значит хост с указанным IP находится в онлайн. При успешном результате проверки, проверяемый хост не обязательно будет отвечать на ICMP запросы. Но наличие в выводе результатов МАС адреса хоста, однозначно указывает на то, что данных хост работает.
Если хост выключен или недоступен, то результат будет содержать (incomplete) вместо MAC.
Такой вывод однозначно указывает на то, что проверяемый хост недоступен в сети (выключен, отключена сетевая карточка, обрыв на линии и т.п.).

Рисунок 6. Вывод результатов запроса построения таблицы MAC адресов по портам коммутаторов.

Запрос «Таблица МАС» принимает в качестве параметра в поле «Адрес» IP адрес, два последних октета IP или МАС адрес хоста (рис. 6(1)).
При указании в качестве параметра IP адреса, сначала проверяется физическая связь и определяется MAC адрес проверяемого хоста.
Результатом выполнения запроса является таблица (рис. 7) наличия указанного или определенного МАС адреса на портах коммутаторов.
Данная таблица позволяет определить максимально удаленную от центрального узла точку к которой подключен клиент с заданным МАС.

Рисунок 7. Анализ вывода таблицы MAC адресов.

Таблица имеет колонки:
1. Родительский коммутатор (коммутатор к которому подключен коммутатор по которому выведены сведения в данной строке).
2. Коммутатор по порту которого выведены сведения в данной строке.
3. IP адрес коммутатора, по порту которого выведены сведения в данной строке.
4. Адрес по которому установлен коммутатор.
5. Порт, на котором найдена запись по запрошенному/определенному МАС.
6. Запрошенный/определенный МАС.
Проанализируем вывод.
МАС адрес может содержаться на одном(6) или нескольких(7) портах коммутатора.
Порт, к которому подключен клиент всегда будет уходящим на коммутаторе и при этом запись по данному коммутатору будет единственной.
Проанализировав вывод на рисунке 7, я думаю, что клиент подключен к порту 20 коммутатора bbn-sw3.021 (6).
Остальные записи ссылаются на первый или 16 порт (которые как правило являются приходами) либо порт 3, который также может  быть приходом в коммутатор.
Запрашивались данные по IP *.*.113.76. Система определила, что данному IP соответствует МАС 00:40:F4:71:0F:8C.

Запрос «ping» принимает в качестве параметра в поле «Адрес» IP адрес или два последних октета IP (рис. 9(1)).

Рисунок 9. Вывод результатов запроса "Ping".

Результатом выполнения запроса является вывод результатов команды ping на сервере.
В случае, когда получены ответы на ICMP запросы в выводе будут указаны номера пакетов и время отклика на этот пакет и общую статистику(2).
В случае, когда хост не отвечает на ICMP запросы, вывод будет содержать только общую статистику в которой будет указано 100% потерь (3).

Запросы «nmap» и «nmap c ARP-ping» отличаются только выводом результатов. Оба запроса принимают в качестве параметра в поле «Адрес» IP адрес или два последних октета IP сканируемой сети (рис. 10(1)).

Рисунок 10. Вывод результатов запроса "nmap".

Данные запросы выполняют сканирование сети с отправкой ICMP запросов и запросов на соединение по 80 порту (http).
Двойная проверка нужна для того, чтобы проверить работоспособность хостов, на которых запрещены ICMP пакеты.
Как правило, это всевозможные вэб сервера. Нас это интересует мало, но это правило по умолчанию для данной команды.
Разный вывод данной команды обуславливается тем, что в случае запроса «nmap» команда выполняется от имени не привилегированного пользователя и содержит только IP адреса хостов находящихся в онлайн (рис. 10(2)). В случае с запросом «nmap c ARP-ping», запрос выполняется от имени привилегированного пользователя и результат содержит в выводе MAC адрес хоста (рис 11(1)) и имя производителя оборудования, если оно известно (рис 11(2)).
Имя определяется тремя первыми октетами МАС. Данные октеты выделяются производителям уполномоченной организацией и являются закрепленными за данным производителем. Никто, кроме данного производителя не вправе использовать MAC начинающийся с выделенных ему октетов.
Безусловно, к хакерам это не относится :)

Рисунок 11. Вывод результатов запроса "nmap c ARP-ping".

Новым запросом в разделе является «Таблица ARP».
Данный запрос принимает в качестве параметра в поле «Адрес» IP адрес, два последних октета IP или МАС адрес хоста (рис. 12(1)).

Рисунок 12. Вывод результатов запроса "Таблица ARP".

Результатом выполнения данного запроса является ARP таблица по запрошенному МАС или IP.
Таблица обновляется каждые пять минут. Старые записи из таблицы не удаляются, что дает возможность проанализировать, какой IP менял МАС или какой MAC менял IP.
Данная таблица может быть полезна при разрешении проблем связанных с конфликтом IP.

Позже был добавлен запрос «Блок. на MAIL».
Результат выполнения запроса показан на рисунке 13.

Рисунок 13. Запрос "Блокировка на mail сервере"

В качестве параметров в поле «Адрес» данный запрос принимает как пустое значение, так и два последних октета IP или весь IP.
Если поле адрес не заполнено, то выводиться таблица содержащая текущие блокированные IP адреса.
Если в качестве параметра указан IP, то выводиться запись по указанному IP. Для публичных IP адресов следует указывать только последние два октета!
Столбцы таблицы имеют следующие значения:
1. IP-адрес — IP адрес хоста.
2. Впервые заблокирован — Дата и время, когда данный хост был впервые заблокирован на маил сервере.
3. Последняя блокировка — Дата и время, когда данный хост был заблокирован впоследний раз.
4. Количество блокировок — Показывает, сколько раз данный хост попадал в список заблокированных.

Категория: 
© 2009-2104 CTPAHHuK.RU