Niedawno miała miejsce awaria w naszej lokalnej sieci LAN. Miałem utrudniony dostęp do sieci kwalifikowany przez moją zaporę, jako atak typu Smart ARP. Przypomniało mi to, jak na początku mojej przygody z Internetem, zapory wyświetlały mi komunikaty o atakach na mój komputer. Wówczas podawały IP komputera, z których pochodziły ataki.
W tamtych czasach, wyświetlała mi się lista grup roboczych i widziałem komputery będące w tej samej grupie co ja, jeśli ich właściciele korzystali z dostępu do sieci o tej porze, co ja. Wtedy wpadłem na pomysł ustalenia komputera, z którego pochodziły domniemane ataki. Od razu po wyświetleniu się komunikatu o blokowaniu próby włamania, patrzyłem które komputery z grupy korzystają z dostępu do Internetu.
Zrobiłem zrzut i spisałem wszystkie. Zanotowałem także IP atakującego komputera. Przy następnym ataku, powtórzyło się IP, ale skład uruchomionych komputerów się zmienił. To spowodowało wykluczenie z listy podejrzanych, komputerów nieobecnych na liście. I tak, postępowałem do czasu, aż pozostał mi tylko jeden komputer. To komputer, z którego był atakowany mój pecet. Z tej samej grupy roboczej, co mój.
Jeśli wierzyć komunikatom zapory, niemal wszystkie ataki pochodziły z komputerów sieci LAN. I było ich znacznie więcej wtedy, kiedy były awarie i nie było dostępu do Internetu, ale nadal była łączność wewnętrzna. Możliwość korzystania z połączeń wewnętrznych, jest z jednych powodów pożądana, ale także stwarza zagrożenie. Może powodować fałszywe alarmy z winy wadliwie działających urządzeń sieciowych, lub bałaganu na serwerze. Może być wykorzystywana do ataków na wybrany komputer.
Brak komentarzy:
Prześlij komentarz