Vypress chat, обнаружение вредителя

[reksar]

Имеется сеть. Больше сотни машин. Используется Vypress chat различных версий. Также имеется нарушитель, который периодически с помощью неких программ-глушилок мешает работе чата. Выглядит так, что чат у всех или выбранных им компов грузит машину на 100%.
Вопрос касающийся хакинга, но скорее обратный - как вычислить такого деятеля (с вычислением его IP-шника или MAC-адреса)?

[Abai]

Цитата: Сообщение от reksar Имеется сеть. Больше сотни машин. Используется Vypress chat различных версий. Также имеется нарушитель, который периодически с помощью неких программ-глушилок мешает работе чата. Выглядит так, что чат у всех или выбранных им компов грузит машину на 100%. Вопрос касающийся хакинга, но скорее обратный - как вычислить такого деятеля (с вычислением его IP-шника или MAC-адреса)?

А какая версия сервака? Попробуйте обновить её. если есть возможность то читайте логи, но для этого Вы должны быть Администратором, Удачи!!!

[reksar]

Цитата: Сообщение от Abai А какая версия сервака?

Дак в том-то и дело, что чат бессерверный. И чьи логи читать?

[Abai]

Попробуйте тогда покопаться в самой программе, прежде всего на той машине которую последний раз хорошо загружали.

[reksar]

А что подразумевается под "покопаться"? сама програ работает без вопросов. Когда программа-глушилка включена, чат грузит машину на 100%, когда нет - чат безпроблемно работает дальше, и к его работе вопросов не возникает.

[Abai]

Цитата: Сообщение от reksar подразумевается под "покопаться"

посмотреть логи самой программы

[miLord Corwin]

Все версии VP подвержены DoS-атаке посредством специально составленных пакетов. Способа решения разработчики не искали.

Обнаружить легко - ищем автора пакетов VCBAN - он и виноват в Ваших бедах. Ах да, чуть не забыл - ему не нужно быть в чате, чтобы использовать данную уязвимость.

И небольшой вопрос: сколько клиентов VP в сети в момент атак?..

[Abai]

Цитата: Сообщение от miLord Corwin Все версии VP подвержены DoS-атаке посредством специально составленных пакетов. Способа решения разработчики не искали.

Это понятно, а как думаешь, фаервол должен зафиксировать откуда идет запрос? Если да то ставить и ловить

[miLord Corwin]

Цитата: Сообщение от Abai Это понятно, а как думаешь, фаервол должен зафиксировать откуда идет запрос?

Брандмауер в данной ситуации не поможет - нужно не просто видеть соединения (коих VP держит огромное количество), а анализировать пакетные данные (т.е. искать, как и было сказано, нужный "плохой" пакет). Вещь очень трудоемкая и т.п. Кроме того, рассмотрим ситуацию: нашли спамера... что дальше?.. Вариант только один: отключить его от сети - блокировка в чате никоим образом не поможет...

Кроме того, вопрос касательно количества пользователей чата также задан не просто так: VP с трудом держит более 100 пользователей и симптомы "недержания" довольно сильно похожи с описанными в данной ситуации.

В любом случае, я бы советовал поставить нормальный, цетрализированный серверный чат (IRC, Comfort, либо любой устраивающий Вас по функциональности).

[Abai]

Про Брандмауер я так и подумал, просто у меня не было практики с Vypress chat, но он ведь должен писать свои логи? И еще разные версии стоят, могут в сети по разному работать. Ради интереса попробую на днях где нибудь поставить Vypress chat и посмотреть.

[miLord Corwin]

Цитата: Сообщение от Abai он ведь должен писать свои логи

Вряд ли будут полные пакетные логи...

Цитата: Сообщение от Abai Ради интереса попробую на днях где нибудь поставить Vypress chat и посмотреть.

А мне все лень попробовать - не очень... очень не хорошие отзывы, поэтому даже не интересовался, кроме общих вопросов касательно VP.