BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 17 ] 
Автор Сообщение
 Заголовок сообщения: Антиснифер
СообщениеДобавлено: Чт 28 апр, 2005 6:57 pm 
Не в сети

Зарегистрирован: Чт 23 сен, 2004 3:59 pm
Сообщения: 495
Откуда: Sumy
Такая ситуация - в сети похоже завелся сниферильщик. Порылся по портам - сниферов валом, а утилок для обнаружения сниферов нету совсем (по крайней мере я так и не нашел).
Может кто подскажет - чем можно по пользоваться, возможно у кого-то есть опыт такой борьбы и сможет дать дельный совет?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 29 апр, 2005 10:00 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 01 ноя, 2004 12:17 am
Сообщения: 1189
Откуда: Tallinn
Совет очень прост, перевести сеть на свичи(switch). Если это не ваша сеть, и вы можете каким то образом доказать что есть человек который "сниферит" трафик, то есть смысл пожаловаться администрации сети!
Софта никакого нет, так как это пассивный тип атаки, и его почти невозможно обнаружить!

_________________
Single-user mode
unscheduled in the nighttime?
Something just went "boom!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 29 апр, 2005 10:30 am 
Не в сети

Зарегистрирован: Чт 23 сен, 2004 3:59 pm
Сообщения: 495
Откуда: Sumy
Перевести все на свичи к сожалению я не имею возможности :( Администрации сети на это глубоко плевать похоже...
ПРо методы поиска нашел хотя бы здесь: http://www.opennet.ru/base/sec/detect_sniff.txt.html . Писать что-то по этим заметкам лениво, хотя видимо придется в виду отсутствия готового софта :(.

_________________
http://dl.sm.ua


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 29 апр, 2005 12:40 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 24 дек, 2002 3:55 pm
Сообщения: 3959
Откуда: Россия, Ростов-на-Дону
Если на свичи перейти проблемно , то рекомендую IPSEC.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 29 апр, 2005 12:57 pm 
Не в сети

Зарегистрирован: Чт 23 сен, 2004 3:59 pm
Сообщения: 495
Откуда: Sumy
Тоже, к сожалению не совсем то, чего нужно. Соединений может быть масса, как в пределах сегмента, так и с другими сегментами и с глобальной сетью.
Вобщем цель - поймать снифера на гарячем, а не просто защитится от снифинга.

_________________
http://dl.sm.ua


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 03 май, 2005 4:03 pm 
Не в сети
Newsmaker
Аватара пользователя

Зарегистрирован: Пт 05 мар, 2004 9:34 am
Сообщения: 754
Откуда: Новосибирск
Перевод сетевой катры в режим promiscuous mode не есть тип атаки, и не может являться доказательством работы снифера. Как пример - многие коллекторы трафика работают в этом режиме по дефолту.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 04 май, 2005 9:36 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 31 дек, 2004 10:55 am
Сообщения: 51
Откуда: Абакан
Хм... Кто нибудь знает как отследить "активный" снифф?
Т.Е. с применением ARP спуффинга :twisted:

_________________
Software is like sex: it's better when it's free. © Linus Torvalds


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 04 май, 2005 12:21 pm 
Не в сети

Зарегистрирован: Чт 23 сен, 2004 3:59 pm
Сообщения: 495
Откуда: Sumy
Следить в логах за сообщениями от арп про смену мак адреса?

_________________
http://dl.sm.ua


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 05 май, 2005 6:27 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 31 дек, 2004 10:55 am
Сообщения: 51
Откуда: Абакан
Ага, а примерчик "подозрительного" лога можно?

_________________
Software is like sex: it's better when it's free. © Linus Torvalds


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 05 май, 2005 8:34 am 
Не в сети
Newsmaker
Аватара пользователя

Зарегистрирован: Пт 05 мар, 2004 9:34 am
Сообщения: 754
Откуда: Новосибирск
Цитата:

/kernel: arp: 192.168.66.99 moved from 4c:00:10:74:50:43 to 00:0c:6e:3e:bd:47 on rl0


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 05 май, 2005 1:53 pm 
Не в сети

Зарегистрирован: Сб 26 июн, 2004 2:21 pm
Сообщения: 3567
Откуда: Рига
dl писал(а):
Следить в логах за сообщениями от арп про смену мак адреса?


arpwatch хорош для этой цели


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 12 май, 2005 2:25 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 16 авг, 2004 12:24 pm
Сообщения: 184
Пробовал:
anti_sniff_researchv1-1-1
anti_sniff_researchv1-1-2
bogon.c
cpm.1.2
neped.c
remarp-0.05
scanpromisc.c
sentinel-1.0
sniffdet-0.9
spidernet-1.2
Может у меня, конечно, руки кривые, но ни один из них под FreeBSD не смог засечь tcpdump на машине в сети.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 12 май, 2005 2:50 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 16 авг, 2004 12:24 pm
Сообщения: 184
Цитата:
/kernel: arp: 192.168.66.99 moved from 4c:00:10:74:50:43 to 00:0c:6e:3e:bd:47 on rl0

Атака ettercap'ом на FreeBSD хост в режиме ARP-poisoning подобных сообщений в /var/log/messages не выявила.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 12 май, 2005 2:57 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3305
Откуда: Харьков
tcpdump пасивный снифер... он только слушает ... потому с другой машины его никак необнаружить


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 12 май, 2005 3:35 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 16 авг, 2004 12:24 pm
Сообщения: 184
Tcpdump переводит сетевую карту в PROMISC режим.
Существуют средства, позволяющие отслеживать переход сетевой карты в PROMISC режим.
Но работают эти средства судя по всему только под Linux.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 18 май, 2005 3:08 pm 
Не в сети

Зарегистрирован: Пн 10 мар, 2003 7:23 pm
Сообщения: 261
Откуда: St. Petersburg
А на чём основано подозрение в сущестовани сниффера?

_________________
Мы выросли в поле такого напряга, где любое устройство сгорает на "раз"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 06 сен, 2005 12:20 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 16 авг, 2004 12:24 pm
Сообщения: 184
dl писал(а):
Следить в логах за сообщениями от арп про смену мак адреса? arpwatch хорош для этой цели

Средствами arpwatch удается засечь ettercap в режиме arp poisoning mode только в том случае, если атака производится на хост, на котором запущен arpwatch.
Кроме того, выявить ip-адрес злоумышленника исходя из сообщений arpwatch не представляется возможным.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 17 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика