BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 17 ] 
Автор Сообщение
 Заголовок сообщения: Антиснифер
СообщениеДобавлено: Чт 28 апр, 2005 6:57 pm 
Не в сети

Зарегистрирован: Чт 23 сен, 2004 3:59 pm
Сообщения: 495
Откуда: Sumy
Такая ситуация - в сети похоже завелся сниферильщик. Порылся по портам - сниферов валом, а утилок для обнаружения сниферов нету совсем (по крайней мере я так и не нашел).
Может кто подскажет - чем можно по пользоваться, возможно у кого-то есть опыт такой борьбы и сможет дать дельный совет?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 29 апр, 2005 10:00 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 01 ноя, 2004 12:17 am
Сообщения: 1189
Откуда: Tallinn
Совет очень прост, перевести сеть на свичи(switch). Если это не ваша сеть, и вы можете каким то образом доказать что есть человек который "сниферит" трафик, то есть смысл пожаловаться администрации сети!
Софта никакого нет, так как это пассивный тип атаки, и его почти невозможно обнаружить!

_________________
Single-user mode
unscheduled in the nighttime?
Something just went "boom!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 29 апр, 2005 10:30 am 
Не в сети

Зарегистрирован: Чт 23 сен, 2004 3:59 pm
Сообщения: 495
Откуда: Sumy
Перевести все на свичи к сожалению я не имею возможности :( Администрации сети на это глубоко плевать похоже...
ПРо методы поиска нашел хотя бы здесь: http://www.opennet.ru/base/sec/detect_sniff.txt.html . Писать что-то по этим заметкам лениво, хотя видимо придется в виду отсутствия готового софта :(.

_________________
http://dl.sm.ua


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 29 апр, 2005 12:40 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 24 дек, 2002 3:55 pm
Сообщения: 3960
Откуда: Россия, Ростов-на-Дону
Если на свичи перейти проблемно , то рекомендую IPSEC.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 29 апр, 2005 12:57 pm 
Не в сети

Зарегистрирован: Чт 23 сен, 2004 3:59 pm
Сообщения: 495
Откуда: Sumy
Тоже, к сожалению не совсем то, чего нужно. Соединений может быть масса, как в пределах сегмента, так и с другими сегментами и с глобальной сетью.
Вобщем цель - поймать снифера на гарячем, а не просто защитится от снифинга.

_________________
http://dl.sm.ua


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 03 май, 2005 4:03 pm 
Не в сети
Newsmaker
Аватара пользователя

Зарегистрирован: Пт 05 мар, 2004 9:34 am
Сообщения: 754
Откуда: Новосибирск
Перевод сетевой катры в режим promiscuous mode не есть тип атаки, и не может являться доказательством работы снифера. Как пример - многие коллекторы трафика работают в этом режиме по дефолту.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 04 май, 2005 9:36 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 31 дек, 2004 10:55 am
Сообщения: 51
Откуда: Абакан
Хм... Кто нибудь знает как отследить "активный" снифф?
Т.Е. с применением ARP спуффинга :twisted:

_________________
Software is like sex: it's better when it's free. © Linus Torvalds


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 04 май, 2005 12:21 pm 
Не в сети

Зарегистрирован: Чт 23 сен, 2004 3:59 pm
Сообщения: 495
Откуда: Sumy
Следить в логах за сообщениями от арп про смену мак адреса?

_________________
http://dl.sm.ua


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 05 май, 2005 6:27 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 31 дек, 2004 10:55 am
Сообщения: 51
Откуда: Абакан
Ага, а примерчик "подозрительного" лога можно?

_________________
Software is like sex: it's better when it's free. © Linus Torvalds


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 05 май, 2005 8:34 am 
Не в сети
Newsmaker
Аватара пользователя

Зарегистрирован: Пт 05 мар, 2004 9:34 am
Сообщения: 754
Откуда: Новосибирск
Цитата:

/kernel: arp: 192.168.66.99 moved from 4c:00:10:74:50:43 to 00:0c:6e:3e:bd:47 on rl0


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 05 май, 2005 1:53 pm 
Не в сети

Зарегистрирован: Сб 26 июн, 2004 2:21 pm
Сообщения: 3567
Откуда: Рига
dl писал(а):
Следить в логах за сообщениями от арп про смену мак адреса?


arpwatch хорош для этой цели


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 12 май, 2005 2:25 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 16 авг, 2004 12:24 pm
Сообщения: 184
Пробовал:
anti_sniff_researchv1-1-1
anti_sniff_researchv1-1-2
bogon.c
cpm.1.2
neped.c
remarp-0.05
scanpromisc.c
sentinel-1.0
sniffdet-0.9
spidernet-1.2
Может у меня, конечно, руки кривые, но ни один из них под FreeBSD не смог засечь tcpdump на машине в сети.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 12 май, 2005 2:50 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 16 авг, 2004 12:24 pm
Сообщения: 184
Цитата:
/kernel: arp: 192.168.66.99 moved from 4c:00:10:74:50:43 to 00:0c:6e:3e:bd:47 on rl0

Атака ettercap'ом на FreeBSD хост в режиме ARP-poisoning подобных сообщений в /var/log/messages не выявила.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 12 май, 2005 2:57 pm 
Не в сети
Site Admin
Аватара пользователя

Зарегистрирован: Вт 10 авг, 2004 2:24 am
Сообщения: 3314
Откуда: Харьков
tcpdump пасивный снифер... он только слушает ... потому с другой машины его никак необнаружить


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт 12 май, 2005 3:35 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 16 авг, 2004 12:24 pm
Сообщения: 184
Tcpdump переводит сетевую карту в PROMISC режим.
Существуют средства, позволяющие отслеживать переход сетевой карты в PROMISC режим.
Но работают эти средства судя по всему только под Linux.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 18 май, 2005 3:08 pm 
Не в сети

Зарегистрирован: Пн 10 мар, 2003 7:23 pm
Сообщения: 261
Откуда: St. Petersburg
А на чём основано подозрение в сущестовани сниффера?

_________________
Мы выросли в поле такого напряга, где любое устройство сгорает на "раз"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 06 сен, 2005 12:20 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 16 авг, 2004 12:24 pm
Сообщения: 184
dl писал(а):
Следить в логах за сообщениями от арп про смену мак адреса? arpwatch хорош для этой цели

Средствами arpwatch удается засечь ettercap в режиме arp poisoning mode только в том случае, если атака производится на хост, на котором запущен arpwatch.
Кроме того, выявить ip-адрес злоумышленника исходя из сообщений arpwatch не представляется возможным.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 17 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: нет зарегистрированных пользователей


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика