Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
GREG_88
Зарегистрирован: 28.11.2007 Сообщения: 32
|
Добавлено: Сб Мар 22 2008 15:10 Заголовок сообщения: Выявление СНИФФЕРА |
|
|
Нужена помощ:
Дано: 1. Сетка на свичах.
2. В сети чуть больше 400 машин.
3. Завёлся зелёный хаккерёнок... который юзает, вероятнее всего, сниффер ICQSniff. Также есть вероятность что ещё какойнить другой сниффер, но врядли.
4. Подозрение падает на 2их людей. один из них (01) глупый и шубутной (Айпи не меняет, мак не подделывает) Другой (02) самоподключка (АЙПИ неизвестный, но список родных маков всех пользователей которые были или есть в сети у меня есть)
Задача: 1. Найти прогу которая сможет вести наблюдение за АЙПИшником юзверя именуемого выше (01). Получить доказательство использования СНИФФЕРА.
2. Если подозрение не оправдается, найти программу с возможностью следить за всей сетью или списком МАК-адресов в сети на предмет выявления злоумышленика именуемого выше (02) или неизвестного.... Для дальнейшего сбора информации о человеке и получения поверхностных доказательств...
Заранее спасибо за помощ |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вс Мар 23 2008 00:51 Заголовок сообщения: |
|
|
Настрой зеркалирование его порта на свою систему наблюдения.
Если твоя сеть позволяет с абонентского порта сниферить трафик других портов, то это плохая сеть. И лечить надо сеть, а не отгонять от нее мух. Как не отгоняй, один фиг сядут и насрут. |
|
Вернуться к началу |
|
|
GREG_88
Зарегистрирован: 28.11.2007 Сообщения: 32
|
Добавлено: Вс Мар 23 2008 02:22 Заголовок сообщения: |
|
|
Сеть не моя... Ситуация такая... Я бывший монтажник этой сети. В сети появился хаккерёнок который вероятней всего угнал аську у моего друга... Во время когда была угнана ася в сети были все признаки приминения асикьюсниффа - циклические лаги в пинге (ping 192.168.0.1 -t -l 1024)... 3милисек,6милисек,9милисек,12милисек,превышен интервал,3милисек,6милисек,9милисек,12милисек,превышен интервал,3милисек,6милисек,9милисек,12милисек,превышен интервал,3милисек,6милисек,9милисек,12милисек,превышен интервал...
после чего периодически (с интелектуальной последовательностью) это продолжалось... Пресовать подозреваемых не позволяет сетевой этикет...
Есть необходимость выявить... и либо ответить "злом", либо сдать отмину, либо хз ещё чёнить... главное выявить злоумышленика.
З.Ы.: Ася у друга была кривая и девятизначная... вероятность брута из вне отпадает на 90% |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вс Мар 23 2008 22:13 Заголовок сообщения: |
|
|
А ничего вы уже не докажите. Поезд ушел.
Делать предположения только по пингу - это ваще ни о чем. |
|
Вернуться к началу |
|
|
GREG_88
Зарегистрирован: 28.11.2007 Сообщения: 32
|
Добавлено: Вс Мар 23 2008 22:22 Заголовок сообщения: |
|
|
Мистер икс продолжает периодически хулиганить, хотелосьбы поставить постоянное наблюдение за сетью... |
|
Вернуться к началу |
|
|
San_dok
Зарегистрирован: 21.07.2006 Сообщения: 1649 Откуда: Rus\23
|
Добавлено: Пн Мар 24 2008 07:47 Заголовок сообщения: |
|
|
Выносить вердикт по пингу, согласен ниачом. Тем более, если сниффером пользуется не ламер 24 часа в сутки, а человек строго выходящий в "эфир"
Нормальное решение - PromiScan от SecurityFriday. Софтина рассылает по всей сети веер продуманных ARP-запросов, на которые сетевые карты, не работающие в promiscuous-режиме, просто не реагируют. А сетевая со сниффом ответит. ПодгрузИте еще WinPCAP который нюхает "сырые" (raw) данные от сетевой и всё. Ну а потом уже сами смотрите, рутер ли, принт сервер, или злобный буратина юзер.
ЗЫ: шароварная версия работает с 192.168.0.1-255.
А по хорошему, поставьте в сеть "Линукс"-машину и смотрите на ARP-запросы.
Более действенно. _________________ В тёмной комнате завсегда имеются тёмные грабли. |
|
Вернуться к началу |
|
|
|