WmKing.ru

Здравствуйте, гость ( Вход | Регистрация )

 
Ответить в эту темуОткрыть новую тему
> Снифферы, Как с ними бороться
volkoff
сообщение 18.7.2006, 14:46
Сообщение #1


Знающий
****

Группа: Пользователи
Сообщений: 214
Регистрация: 18.7.2006
Пользователь №: 205


Заработано:0.525$
Выплачено:0$
Штрафы:0$
К выплате:0.525$


Пол: мужской



Репутация:   1  


Как определить в локалке на каком компе запущен сниффер и как можно "наказать" этого юзера также через сеть?


--------------------
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
XpycT
сообщение 27.11.2006, 2:03
Сообщение #2


Вникающий
**

Группа: Пользователи
Сообщений: 37
Регистрация: 27.11.2006
Пользователь №: 529


Заработано:0.28165$
Выплачено:0$
Штрафы:0.1$
К выплате:0.18165$


Пол: мужской



Репутация:   2  


не как! т.к. снифер работает по принципу просто ливит что летит без всяких отметок в пакете!

а зачем тебе такую инфу узнавать?


--------------------
мои любимые спонсоры сдесь. и тут.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Vit
сообщение 28.1.2007, 20:26
Сообщение #3


Знающий
****

Группа: Пользователи
Сообщений: 248
Регистрация: 9.3.2006
Из: Mur
Пользователь №: 27
На форуме:
0d 9h 0m 2s


Заработано:2.2764$
Выплачено:1$
Штрафы:0.54$
К выплате:0.7364$


Пол: мужской



Репутация:   0  


А что такое -- сниффер? И чем он вреден?


--------------------
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
InKogNiTo
сообщение 11.4.2007, 19:06
Сообщение #4


Вникающий
**

Группа: Пользователи
Сообщений: 85
Регистрация: 11.4.2007
Из: Наро-Фоминск
Пользователь №: 1 929


Заработано:0.387$
Выплачено:0$
Штрафы:0.08$
К выплате:0.307$


Пол: мужской



Репутация:   1  


Цитата(Vit @ 28.1.2007, 21:26) *

А что такое -- сниффер? И чем он вреден?

сниффер это такая штучка, которая вставляется в любой файл и при кликанье на файл активируется... тот чей сниффер может перехватить всё что угодно, например пассы от асикю...

З.Ы. вроде ламаку станет понятней так, поэтому не стал вдаваться в определения
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Starsejver
сообщение 4.7.2007, 6:51
Сообщение #5


Подрабатывающий
***

Группа: Пользователи
Сообщений: 195
Регистрация: 3.7.2007
Пользователь №: 2 395


Заработано:1.019$
Выплачено:1.011$
Штрафы:0.03$
К выплате:-0.022$


Пол: мужской



Репутация:   1  


Ну наказать это затруднительно, т.к это удалённое управление, можно закрыть порты.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Sleepy
сообщение 7.7.2007, 23:49
Сообщение #6


Наш человек
*****

Группа: Пользователи
Сообщений: 525
Регистрация: 15.6.2007
Из: Ukraine
Пользователь №: 2 273
На форуме:
1d 2h 52m 25s


Заработано:3.0566$
Выплачено:2.0784$
Штрафы:0.94$
К выплате:0.0382$


Пол: мужской



Репутация:   6  


Определить - никак. только защищяться. крыть порты, проверять файлы и т.д.


--------------------
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
otaliti
сообщение 25.7.2007, 17:47
Сообщение #7


Начинающий
*

Группа: Пользователи
Сообщений: 27
Регистрация: 24.7.2007
Пользователь №: 2 530


Заработано:0.21$
Выплачено:0$
Штрафы:0.08$
К выплате:0.13$


Пол: мужской



Репутация:   0  


Ybrfr
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
fire64
сообщение 6.8.2007, 12:20
Сообщение #8


Вникающий
**

Группа: Пользователи
Сообщений: 62
Регистрация: 5.8.2007
Из: Москва Хорошево Мневники
Пользователь №: 2 611
На форуме:
0d 0h 2m 52s


Заработано:0.216$
Выплачено:0$
Штрафы:0.05$
К выплате:0.166$


Пол: мужской



Репутация:   1  


вот нашел в инете руководство по выявлению сниферов
Начнем с самого простого способа определения снифера. Как ты знаешь, преобразование MAC-адреса в IP осуществляется с помощью протокола ARP. При нормальном режиме работы сетевой карты адаптер будет проверять MAC-адрес в каждом фрейме на соответствие со своим. Если MAC совпал — пакет будет принят, иначе — отброшен. Но при переводе сетевухи в promisc mode MAC-адрес не будет проверяться — абсолютно все пакеты пройдут через компьютер злоумышленника. Предположим, что за адресом 192.168.0.5 скрывается снифер и тебе необходимо убедиться в этом. Твои дальнейшие действия заключаются в выполнении двух команд:

arp -s 192.168.0.5 11-22-33-44-55-66

ping 192.168.0.5

Если ты получишь ответ от узла, то значит, снифер действительно присутствует. Получив пакет с некорректным маком, система увидит в нем ECHO_REQUEST и ответит на него пакетом ECHO_REPLY, выдав себя с потрохами.

Этот прием с блеском работает на большинстве Linux-систем и некоторых Windows. Однако в последнее время стало модным снабжать снифер виртуальным фильтром MAC-адресов. На некоторых перехватчиках проверка ведется лишь по первому байту мака, таким образом, статическое представление MAC-адреса в виде FF-00-00-00-00-00 может привести к положительному результату (система узреет в MAC широковещательный адрес и ответит на него).

2. Провокация с помощью ARP

Второй метод поиска нюхачей заключается в посылке ARP-запроса на обычный, не широковещательный адрес. Когда система хочет узнать IP-адрес машины, она посылает на broadcast-ip запрос who has, который направлен на выявление MAC по известному IP. Исходя из факта, что машина с запущенным снифером примет все пакеты, можно послать ARP-запрос на конкретный IP-адрес. После того как пришел ARP-ответ, необходимо посмотреть айпишник отправителя. В случае, когда он не соответствует адресу, на который был послан запрос, можно судить, что на машине запущен снифер.

Рассмотрим этот прием на конкретном примере. Допустим, ты находишься за компьютером A с IP-адресом 192.168.0.5 и шлешь ARP-запрос на IP-адрес 192.168.0.6. После этого тебе возвращается ответ с MAC-адресом, но уже от 192.168.0.13. Это означает, что за последним хостом скрывается злоумышленник, вооруженный пассивным снифером smile.gif.

3. DNS — твой друг, товарищ и брат

При приеме данных снифер сразу же пытается резолвнуть IP-адрес в удобочитаемый hostname. Именно за эту зацепку можно ухватиться и таким образом выявить перехватчик. Если ты являешься администратором сети, то твои действия упрощаются. Необходимо лишь выполнить команду tail -f /var/log/named/queries.log и пингануть машинку, которой в данный момент нет в сети. В этот момент снифер умеючи перехватит ICMP-пакет и попытается резолвнуть адрес отправителя и получателя. В логе DNS-запросов сразу же появятся сведения об этом, и ты быстро уличишь хакера.

Сложнее, если ты обычный пользователь локалки. Но даже в таком случае можно воспользоваться этим приемом. Тебе нужно лишь отплатить врагу той же монетой. Запусти любой снифер, установи в нем фильтр на DNS-запросы и пингуй какой-нибудь узел. Если в логе перехватчика появятся сведения об обращении к DNS-серверу, пришедшие с левого IP-адреса, знай: в сегменте завелся хакер. Кстати, этот метод является универсальным и работает даже в том случае, если злоумышленник пользуется сторонним DNS-сервером без логирования запросов.

Однако может случиться так, что взломщик намеренно отключит трансляцию IP-адресов в символьные значения. В этом случае можно прибегнуть к более изощренным способам отлова.

4. Ловушка

В наше время становятся модными сниферы, которые отображают только важную информацию. Сейчас уже мало кто будет пользоваться простыми анализаторами сети типа tcpdump. Хакер лучше скачает умную программу ZXSniffer, умеющую отлавливать пароли к различным сервисам. На таких взломщиков мы и будем искать управу.

Самый простой способ этого метода заключается в следующем: допустим, у тебя есть свой FTP-сервер, на котором ты хранишь различные фильмы и музыку. Твоя задача — заинтересовать хакера, чтобы он зашел на твой FTP’шник. Причем не под обычным логином, а под привилегированным. Для этого создай пользователя root со сложным паролем. Затем зайди с тачки, не принадлежащей твоей локалке, на собственный FTP. Ловушка готова! Теперь, если хакер отловил «привилегированный» аккаунт, он обязательно зайдет посмотреть на твой архив. А ты по логам определишь IP, за которым скрывается злоумышленник. Данный прием чем-то напоминает социальную инженерию, так как ты заранее подстраиваешь исход ситуации. Этот метод действительно универсален и подходит для всех сниферов и типов операционных систем. Если ты озабочен вопросом, что твои данные кем-то перехватываются, обязательно подстрахуй себя этой проверкой.

5. Тест сетевой латентности

Предложу еще один способ определения пассивных сниферов. Он заключается в посылке мусора в сеть. Причем сгенерированные пакеты должны иметь левые MAC-адреса. Параллельно с этим осуществляется пинг всех машин в сети и сравнение результатов. По определению снифер будет кушать все пакеты и тем самым загружать собственный канал. Параллельный опрос времени ответа укажет на виновника. Впрочем, данный прием целесообразен, когда ты точно знаешь топологию твоей локалки. Бывает, что провайдер сам зарезает канал до определенных узлов. В этом случае прием не имеет особой эффективности.

6. Локальное выявление сниферов

Если у тебя есть подозрение, что хакер установил перехватчик данных на маршрутизаторе, либо одним из вышеперечисленных приемов ты доказал этот факт, то следует найти и нейтрализовать снифер. Самый простой способ отыскать нюхача — выполнить команду ifconfig ether_name. Если в выводе результата будет присутствовать слово PROMISC, это означает, что адаптер находится в прослушивающем режиме и, следовательно, в системе есть снифер. Однако даже если атрибута PROMISC не будет, взломщик мог установить руткит и протроянить бинарник /sbin/ifconfig. На всякий случай возьми проверенный исполняемый файл и запусти его на маршрутнике.


--------------------
Радости в жизни лишь случайности проблемы же закономерности
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Рекламный бот
сообщение
Сообщение #














Рекламное место свободно!
По вопросам размещения свяжитесь с администрацией форума.
Вернуться в начало страницы
Ответить с цитированием данного сообщения

Ответить в эту темуОткрыть новую тему
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0

 



- Текстовая версия Сейчас: 24.11.2024, 11:56