Camner nak cari host jika kita ader IP nyer, tapi host tu dah down atau close!

Ader tak cara lain kita nak deteksi host tersebut?

camna awak tau it closed atau down ??
using ping ??
:)

ping dan nmap!! atau ader cara lain nak pastikan host itu idup atau tak?

Maybe you could try to connect to some services which is usually running (ftp,ssh,www).

just some quick quistion..

well kalau host tuh block icmp ?? (used by ping)
then closed all port ??

camna ko nak tau host tu alive ?? on the nets ??

tu la masalah nya, aku ping tak bley, aku scan servis tak bley jugak. Sekang ni aku tak der cara lain dah. Aku try guna ettercap, filter keluar masuk ip tersebut. Tapi tak aktif. Korang ada idea lain tak?

Assalamualaikum,

Mungkin host tu pakai DHCP, ip mungkin berubah ke IP
lain.

Wassalam.

: )

see whos the block owner hehe.

DHCP???? mmm...

Kalau mensyaki dicerobohi, logkan time, hari, ip , dan services ape dia cuba masuk atau dah dimasuki. Then buat whois dekat arin. Email kat diorang log tersebut

Ini adalah langkah yang saya telah saya lakukan bila saya terjumpa cubaan DoS ke salah satu server yang saya jaga.


1) Biasanya saya sedar bila line menjadi lembab berbading sambungan dari pengguna tidak.

2) Kemudian tengoklah LOG yang saya setkan pada iptables terutama bila nak akses tidak dibenarkan. BIasanya shell-scripting sangat-sangat membantu untuk memfokuskan host yang terlibat.

3) Dari log, saya akan tahu IPnya, dan saya trace dengan whois atau laman carian whois www.apnic.net.

4) Sekiranya IP tersebut datangnya dari pengguna dial-up/cablemodem/xDSL, anda boleh lapurkan masalah anda kepada email teknikal atau abuse ISP tersebut yang biasanya ada pada info whois tadi. Kalau dari komputer koprat atau organisasi, emaikan pada orang teknikal disitu, dan CC kan pada ISP dia.

5) Yang penting adalah log entry yang berkaitan dengan host tadi, yang biasanya harus mempunyai timestamp, source IP, destination IP, source port dan destination port. Pastikan timestamp adalah masa yang tepat, dan seboleh-bolehnya yang telah syncronize dengan pelayan NTP di Internet.

Semoga sama-sama mendapat menafaat.

Originally posted by root


4) Sekiranya IP tersebut datangnya dari pengguna dial-up/cablemodem/xDSL, anda boleh lapurkan masalah anda kepada email teknikal atau abuse ISP tersebut yang biasanya ada pada info whois tadi. Kalau dari komputer koprat atau organisasi, emaikan pada orang teknikal disitu, dan CC kan pada ISP dia.



Diorang mailkan saya. Mereka kata ade cubaan attack dari subnet saya. Subnet saya mempunyai host lebih dari 200 sebab limit dia 254. Susah jugak nak cari tu!!

IP mungkin user buleh tukar atau dio close host.

Ada tak tips2 yang boleh membantu saya mengesan host tersebut?

Jelesnya, anda mentadbir sistem jaringan CLASS C penuh. Internet :)

Ini masalahnya, kalau kita tidak menghadkan dan pemantauan penggunaan IP awam dalam subnet kita. Bukanya apa, ada orang boleh cucuk notebook mereka pada switch dan buat perkara yang tidak diingini. Ataupun, ada orang lain yang ceroboh masuk salah satu hos dalam jaringan kita, dan buat masalah dari situ.

Saya akan menggunakan perisian asas seperti tcpdump untuk mencari orang yang terlibat. Mmmm.. pada port berapa serangan dibuat? Kalau anda tahu, anda boleh configure router/gw untuk log IP berkenaan dan sekat paket keluar, Kalau boleh dapatkan MAC addressnya sekali, sebab kebanyakkan managed switch boleh mencari port mana host tersebut disambungkan.

Biasanya saya akan asingkan IP server dengan IP pengguna, dimana host pengguna wajib melalui gateway yang mana di gateway ini dapat merekodkan segala keluar masuk paket yang kita inginkan disamping kita dapat kawal pengguna dari melakukan perkara yang tidak bertanggungjawab.

IDS tut tut dia bunyi hahaa.......

Mail yang saya terima ialah:-

Analysis showed that nearly 130,000 requests for cmd.exe were made to performed illegal activities such as listing down the directories files and folders in the server. Malaysian IP addresses that frequently connect to the server in dubious ways are as below.

Saya rasa intruder mengeksploitasi unicode bug port 80. IP host tersebut saya diberitahu oleh pihak victim, tapi masalah host ip tersebut mesti telah ditutup (off) atau boleh ditukar dengan IP yang lain. Saya tidak mempunyai MAC address host tersebut, tengah fikir camner nak cari MAC address, saya rasa, kalau saya tahu MAC address semasa tranksaksi intruder ke victim, mungkin dapat membantu.

Dalam log files victim, ada tak mac address tersimpan sekali dengan IP? kalau ader, saya nak mailkan victim mintak lagi sekali log files yang siap dengan MAC address?