Как определить в локалке на каком компе запущен сниффер и как можно "наказать" этого юзера также через сеть?
не как! т.к. снифер работает по принципу просто ливит что летит без всяких отметок в пакете!
а зачем тебе такую инфу узнавать?
А что такое -- сниффер? И чем он вреден?
Ну наказать это затруднительно, т.к это удалённое управление, можно закрыть порты.
Определить - никак. только защищяться. крыть порты, проверять файлы и т.д.
Ybrfr
вот нашел в инете руководство по выявлению сниферов
Начнем с самого простого способа определения снифера. Как ты знаешь, преобразование MAC-адреса в IP осуществляется с помощью протокола ARP. При нормальном режиме работы сетевой карты адаптер будет проверять MAC-адрес в каждом фрейме на соответствие со своим. Если MAC совпал — пакет будет принят, иначе — отброшен. Но при переводе сетевухи в promisc mode MAC-адрес не будет проверяться — абсолютно все пакеты пройдут через компьютер злоумышленника. Предположим, что за адресом 192.168.0.5 скрывается снифер и тебе необходимо убедиться в этом. Твои дальнейшие действия заключаются в выполнении двух команд:
arp -s 192.168.0.5 11-22-33-44-55-66
ping 192.168.0.5
Если ты получишь ответ от узла, то значит, снифер действительно присутствует. Получив пакет с некорректным маком, система увидит в нем ECHO_REQUEST и ответит на него пакетом ECHO_REPLY, выдав себя с потрохами.
Этот прием с блеском работает на большинстве Linux-систем и некоторых Windows. Однако в последнее время стало модным снабжать снифер виртуальным фильтром MAC-адресов. На некоторых перехватчиках проверка ведется лишь по первому байту мака, таким образом, статическое представление MAC-адреса в виде FF-00-00-00-00-00 может привести к положительному результату (система узреет в MAC широковещательный адрес и ответит на него).
2. Провокация с помощью ARP
Второй метод поиска нюхачей заключается в посылке ARP-запроса на обычный, не широковещательный адрес. Когда система хочет узнать IP-адрес машины, она посылает на broadcast-ip запрос who has, который направлен на выявление MAC по известному IP. Исходя из факта, что машина с запущенным снифером примет все пакеты, можно послать ARP-запрос на конкретный IP-адрес. После того как пришел ARP-ответ, необходимо посмотреть айпишник отправителя. В случае, когда он не соответствует адресу, на который был послан запрос, можно судить, что на машине запущен снифер.
Рассмотрим этот прием на конкретном примере. Допустим, ты находишься за компьютером A с IP-адресом 192.168.0.5 и шлешь ARP-запрос на IP-адрес 192.168.0.6. После этого тебе возвращается ответ с MAC-адресом, но уже от 192.168.0.13. Это означает, что за последним хостом скрывается злоумышленник, вооруженный пассивным снифером .
3. DNS — твой друг, товарищ и брат
При приеме данных снифер сразу же пытается резолвнуть IP-адрес в удобочитаемый hostname. Именно за эту зацепку можно ухватиться и таким образом выявить перехватчик. Если ты являешься администратором сети, то твои действия упрощаются. Необходимо лишь выполнить команду tail -f /var/log/named/queries.log и пингануть машинку, которой в данный момент нет в сети. В этот момент снифер умеючи перехватит ICMP-пакет и попытается резолвнуть адрес отправителя и получателя. В логе DNS-запросов сразу же появятся сведения об этом, и ты быстро уличишь хакера.
Сложнее, если ты обычный пользователь локалки. Но даже в таком случае можно воспользоваться этим приемом. Тебе нужно лишь отплатить врагу той же монетой. Запусти любой снифер, установи в нем фильтр на DNS-запросы и пингуй какой-нибудь узел. Если в логе перехватчика появятся сведения об обращении к DNS-серверу, пришедшие с левого IP-адреса, знай: в сегменте завелся хакер. Кстати, этот метод является универсальным и работает даже в том случае, если злоумышленник пользуется сторонним DNS-сервером без логирования запросов.
Однако может случиться так, что взломщик намеренно отключит трансляцию IP-адресов в символьные значения. В этом случае можно прибегнуть к более изощренным способам отлова.
4. Ловушка
В наше время становятся модными сниферы, которые отображают только важную информацию. Сейчас уже мало кто будет пользоваться простыми анализаторами сети типа tcpdump. Хакер лучше скачает умную программу ZXSniffer, умеющую отлавливать пароли к различным сервисам. На таких взломщиков мы и будем искать управу.
Самый простой способ этого метода заключается в следующем: допустим, у тебя есть свой FTP-сервер, на котором ты хранишь различные фильмы и музыку. Твоя задача — заинтересовать хакера, чтобы он зашел на твой FTP’шник. Причем не под обычным логином, а под привилегированным. Для этого создай пользователя root со сложным паролем. Затем зайди с тачки, не принадлежащей твоей локалке, на собственный FTP. Ловушка готова! Теперь, если хакер отловил «привилегированный» аккаунт, он обязательно зайдет посмотреть на твой архив. А ты по логам определишь IP, за которым скрывается злоумышленник. Данный прием чем-то напоминает социальную инженерию, так как ты заранее подстраиваешь исход ситуации. Этот метод действительно универсален и подходит для всех сниферов и типов операционных систем. Если ты озабочен вопросом, что твои данные кем-то перехватываются, обязательно подстрахуй себя этой проверкой.
5. Тест сетевой латентности
Предложу еще один способ определения пассивных сниферов. Он заключается в посылке мусора в сеть. Причем сгенерированные пакеты должны иметь левые MAC-адреса. Параллельно с этим осуществляется пинг всех машин в сети и сравнение результатов. По определению снифер будет кушать все пакеты и тем самым загружать собственный канал. Параллельный опрос времени ответа укажет на виновника. Впрочем, данный прием целесообразен, когда ты точно знаешь топологию твоей локалки. Бывает, что провайдер сам зарезает канал до определенных узлов. В этом случае прием не имеет особой эффективности.
6. Локальное выявление сниферов
Если у тебя есть подозрение, что хакер установил перехватчик данных на маршрутизаторе, либо одним из вышеперечисленных приемов ты доказал этот факт, то следует найти и нейтрализовать снифер. Самый простой способ отыскать нюхача — выполнить команду ifconfig ether_name. Если в выводе результата будет присутствовать слово PROMISC, это означает, что адаптер находится в прослушивающем режиме и, следовательно, в системе есть снифер. Однако даже если атрибута PROMISC не будет, взломщик мог установить руткит и протроянить бинарник /sbin/ifconfig. На всякий случай возьми проверенный исполняемый файл и запусти его на маршрутнике.
Русская версия Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)