Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
AntonD
Зарегистрирован: 17.04.2003 Сообщения: 3
|
Добавлено: Чт Апр 03 2003 12:34 Заголовок сообщения: Q:Анализаторы трафика в сети |
|
|
Как можно определить, работает ли в сети анализатор трафика (на чьем либо компьютере)? |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Чт Апр 03 2003 21:58 Заголовок сообщения: Никак (+) |
|
|
Пассивный анализатор невозможно обнаружить ничем. Да и сама природа Ethernet продполагает прослушивание трафика на предмет наличия пауз.
Если интересует защита от прослушки, то либо используйте зашифрованные соединения (VPN, SSL) либо используйте системы ограничения трафика (коммутаторы с VLAN или роутеры, они же маршрутизаторы). |
|
Вернуться к началу |
|
|
bss Гость
|
Добавлено: Сб Апр 05 2003 09:22 Заголовок сообщения: не совсем верно |
|
|
Пассивный анализатор невозможно обнаружить ничем. Не совсем верно! В некоторых случаях можно обнаружить работу снифера в сети
по крайней мере года три назад я знал способ как обнаружить снифер работающий под линуксом возможно на новых ядрах это уже не работает давно не пробовал.
если надо расскажу попозже счас некогда |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вс Апр 06 2003 15:59 Заголовок сообщения: Ну не верю я в чудеса (+) |
|
|
Имеем сеть на хабах. Топология Ethernet на витой паре. Когда комп передает пакет - его принимают ВСЕ компы. Обрабатывают только те, кому он предназначен. Сниферы ловят и обрабатывают все пакеты.
Перефразирую для непонятливых: Едете вы в автобусе, разговариваете. Все вас слышат. Внимание вопрос: как определить, кто из пассажиров записывает (не важно как) весь ваш разговор?
Ответ: Никак. Боитесь, чтоб вас не слышали - говорите на другом языке (этакий VPN) или говорите в специательную трубочку, через которую фразы слышит только ваш собеседник (этакий свитч). |
|
Вернуться к началу |
|
|
bss Гость
|
Добавлено: Пн Апр 07 2003 09:55 Заголовок сообщения: Re: Ну не верю я в чудеса (+) |
|
|
Все правильно! Никто не спорит! Обнаружить работающий снифер сложно. Мне известно два спрсоба: 1) Я сам опробовал когда-то давно на каком-то старом ядре линукс. запускаешь снифер интерфейс переводится в промиск режим затем на другом компутере делаешь в в арп таблице статическую запись с ип-адресом интерфейса линукс и каким-нибудь левым мак-адресом затем делаешь пинг ип-адрес интерфейса линукс по хорошему ответа быть не должно но поскольку интерфейс в промиск режиме то получишь ответ говорят также этот способ работает на вин98 но сам не проверял
2)пишешь прогу которая рассылает кучу мелких пакетов с левыми мак-адресами сетевые адаптеры работающие в обычном режиме эти пакеты игнорируют а вот запущенный снифер их все хавает нагрузку в сегменте надо создать близкую к пиковой
а затем сидишь и делаешь пинг всех рабочих станций те которые отвечают очень быстро значит с ними все в порядке а вот та которая с задержкой на ней как раз и может работать снифер |
|
Вернуться к началу |
|
|
Andy_user Гость
|
Добавлено: Пн Апр 07 2003 10:53 Заголовок сообщения: Детектировать sniffer иногда возможно. |
|
|
Прошу прощения, в чем-то повторю пост "bss". Есть 3 основных способа распознать promiscuous режим. 1. Особенности обработки разными ОС кадров Ethernet,содержащими IP пакты. Например, некоторые ОС, находясь в режиме прослушивания, передают стеку IP пакет, независимо от того, совпадает ли MAC получателя пакета с MAC сетевой карты. Другие ОС в режиме прослушивания воспринимают MAC FF:00:00:00:00:00 как широковещательный. Поэтому, послав ICMP Echo внутри неправильного пакета и получив от него ответ, можно сделать предположение что работает Sniffer. 2. Можно предположить, что работающий Sniffer пытается узнать имя компьютера по IP-адресу (обратное DNS-преобразование). Создаем пакеты с несуществующими IP и слушаем сеть на предмет наличия DNS-запросов для этих IP. 3. При прослушивании обработка всех кадров ложится на программное обеспечение. Замеряем время отклика в обычном режиме, затем наводняем сеть шквалом кадров, напрвленных на несуществующие адреса, при этом продолжаем тестировать время отклика. Если прослушивания нет - время отклика растет, но незначительно. Если прослушивание имеет место быть - время отклика вырастет в разы (2-4 раза). |
|
Вернуться к началу |
|
|
|