BSDPORTAL.RU
http://bsdportal.ru/

Антиснифер
http://bsdportal.ru/viewtopic.php?f=23&t=5223
Страница 1 из 1

Автор:  dl [ Чт 28 апр, 2005 6:57 pm ]
Заголовок сообщения:  Антиснифер

Такая ситуация - в сети похоже завелся сниферильщик. Порылся по портам - сниферов валом, а утилок для обнаружения сниферов нету совсем (по крайней мере я так и не нашел).
Может кто подскажет - чем можно по пользоваться, возможно у кого-то есть опыт такой борьбы и сможет дать дельный совет?

Автор:  btw [ Пт 29 апр, 2005 10:00 am ]
Заголовок сообщения: 

Совет очень прост, перевести сеть на свичи(switch). Если это не ваша сеть, и вы можете каким то образом доказать что есть человек который "сниферит" трафик, то есть смысл пожаловаться администрации сети!
Софта никакого нет, так как это пассивный тип атаки, и его почти невозможно обнаружить!

Автор:  dl [ Пт 29 апр, 2005 10:30 am ]
Заголовок сообщения: 

Перевести все на свичи к сожалению я не имею возможности :( Администрации сети на это глубоко плевать похоже...
ПРо методы поиска нашел хотя бы здесь: http://www.opennet.ru/base/sec/detect_sniff.txt.html . Писать что-то по этим заметкам лениво, хотя видимо придется в виду отсутствия готового софта :(.

Автор:  sys [ Пт 29 апр, 2005 12:40 pm ]
Заголовок сообщения: 

Если на свичи перейти проблемно , то рекомендую IPSEC.

Автор:  dl [ Пт 29 апр, 2005 12:57 pm ]
Заголовок сообщения: 

Тоже, к сожалению не совсем то, чего нужно. Соединений может быть масса, как в пределах сегмента, так и с другими сегментами и с глобальной сетью.
Вобщем цель - поймать снифера на гарячем, а не просто защитится от снифинга.

Автор:  ch [ Вт 03 май, 2005 4:03 pm ]
Заголовок сообщения: 

Перевод сетевой катры в режим promiscuous mode не есть тип атаки, и не может являться доказательством работы снифера. Как пример - многие коллекторы трафика работают в этом режиме по дефолту.

Автор:  banderas [ Ср 04 май, 2005 9:36 am ]
Заголовок сообщения: 

Хм... Кто нибудь знает как отследить "активный" снифф?
Т.Е. с применением ARP спуффинга :twisted:

Автор:  dl [ Ср 04 май, 2005 12:21 pm ]
Заголовок сообщения: 

Следить в логах за сообщениями от арп про смену мак адреса?

Автор:  banderas [ Чт 05 май, 2005 6:27 am ]
Заголовок сообщения: 

Ага, а примерчик "подозрительного" лога можно?

Автор:  ch [ Чт 05 май, 2005 8:34 am ]
Заголовок сообщения: 

Цитата:

/kernel: arp: 192.168.66.99 moved from 4c:00:10:74:50:43 to 00:0c:6e:3e:bd:47 on rl0

Автор:  vadblm [ Чт 05 май, 2005 1:53 pm ]
Заголовок сообщения: 

dl писал(а):
Следить в логах за сообщениями от арп про смену мак адреса?


arpwatch хорош для этой цели

Автор:  praying_mantis [ Чт 12 май, 2005 2:25 pm ]
Заголовок сообщения: 

Пробовал:
anti_sniff_researchv1-1-1
anti_sniff_researchv1-1-2
bogon.c
cpm.1.2
neped.c
remarp-0.05
scanpromisc.c
sentinel-1.0
sniffdet-0.9
spidernet-1.2
Может у меня, конечно, руки кривые, но ни один из них под FreeBSD не смог засечь tcpdump на машине в сети.

Автор:  praying_mantis [ Чт 12 май, 2005 2:50 pm ]
Заголовок сообщения: 

Цитата:
/kernel: arp: 192.168.66.99 moved from 4c:00:10:74:50:43 to 00:0c:6e:3e:bd:47 on rl0

Атака ettercap'ом на FreeBSD хост в режиме ARP-poisoning подобных сообщений в /var/log/messages не выявила.

Автор:  grayich [ Чт 12 май, 2005 2:57 pm ]
Заголовок сообщения: 

tcpdump пасивный снифер... он только слушает ... потому с другой машины его никак необнаружить

Автор:  praying_mantis [ Чт 12 май, 2005 3:35 pm ]
Заголовок сообщения: 

Tcpdump переводит сетевую карту в PROMISC режим.
Существуют средства, позволяющие отслеживать переход сетевой карты в PROMISC режим.
Но работают эти средства судя по всему только под Linux.

Автор:  ssh [ Ср 18 май, 2005 3:08 pm ]
Заголовок сообщения: 

А на чём основано подозрение в сущестовани сниффера?

Автор:  praying_mantis [ Вт 06 сен, 2005 12:20 pm ]
Заголовок сообщения: 

dl писал(а):
Следить в логах за сообщениями от арп про смену мак адреса? arpwatch хорош для этой цели

Средствами arpwatch удается засечь ettercap в режиме arp poisoning mode только в том случае, если атака производится на хост, на котором запущен arpwatch.
Кроме того, выявить ip-адрес злоумышленника исходя из сообщений arpwatch не представляется возможным.

Страница 1 из 1 Часовой пояс: UTC + 4 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/