сниферы сети

Общие вопросы защиты программного обеспечения и других данных.

Сообщение Mutter Duhastovich » Ср апр 13, 2005 7:01 am

со снифером сети использующий простой hub все понятно на каждый порт информация дублируется и получать ее не составляет большого труда.

теперь вопрос как осужествляется сниферство в сети использующей свитчи с маршрутизацией?

Вопрос возник из-за того что в сети на свичах админом был запушен снифер (название не скажу не знаю) и все он мог наблюдать. Я всегда считал что снифер в таких сетях не работает потомучто свитч маршртутизирует пакеты.

Вопрос номер два как защитить свою передаваемую информацию? только шифрованием? если только таким образом то как это осуществить на практике? (интересуют в частности такие сервисы как irc, icq и майл)
Последний раз редактировалось Mutter Duhastovich Ср апр 13, 2005 7:03 am, всего редактировалось 1 раз.
Самец ласки перед тем, как овладеть своей любимой лаской, овладевает еще несколькими ласками. Это и есть "предварительные ласки" =)

Любой день хорош, чтобы быть прожитым или быть последним.
Mutter Duhastovich
Генерал-лейтенант
 
Сообщений: 3229
Зарегистрирован: Сб ноя 29, 2003 7:34 pm
Откуда: Россия г. Новосибирск
Пункты репутации: 5

Сообщение Magister » Ср апр 13, 2005 10:01 am

2Mutter Duhastovich
А как сетка организована? Снифер тут скорее всего ни при чем. Если это админ, то он вполне может запустить троянов на все компы и получать инфу на серваке.
<!--sizeo:1--><span style="font-size:8pt;line-height:100%"><!--/sizeo--><!--coloro:red--><span style="color:red"><!--/coloro-->все беды - от недостатка информации<!--sizec--></span><!--/sizec--><!--colorc--></span><!--/colorc-->
Magister
Генерал-майор
 
Сообщений: 2501
Зарегистрирован: Вт авг 06, 2002 4:22 am
Пункты репутации: 0

Сообщение -=NV=- » Ср апр 13, 2005 10:45 am

2Mutter Duhastovich все то что ты написал (аська, ирка и мыло) через админа твоего идет. вернее через его сервак. о какой защите, кроме шифрования, может идти речь? почти то же самое что от бухгалтерии скрывать размер своей зарплаты <!--emo&:)-->[img]style_emoticons/<#EMO_DIR#>/smile.gif[/img]<!--endemo-->
недавно ковырялся с аськой - вроде у нее есть возможность держать защищенный канал
кстати с мылом можно обойтись не только ПЖП - есть еще проги типа invisible secrets - можно файлы прятать в картинки - размер - не сильно увеличивается. достаточно прикольно.
Еще щас походу мысль пришла - есть программы для транслита. вешаются на хоткей. если есть необходимость вести полусекретные разговоры - можно поставить на обоих концах эту прогу а словарь переделать "под себя" т.е. будет, например, не A=F и Ц=W, а A=L и Ц=М
текст будет зашифрован довольно простым способом.

<span style='color:gray'>добавлено чуть позже</span>
по первому вопросу - ARP спуфинг.
работает по-разному. либо работает, либо не работает (у меня дома в локальной сетке)
еще вариант - просто, тупо валит сервак. (последний вариант как раз у меня на работе) (это бронепоезд который стоит у меня на запасном пути <!--emo&:ph34r:-->[img]style_emoticons/<#EMO_DIR#>/ph34r.gif[/img]<!--endemo--> )
Последний раз редактировалось -=NV=- Ср апр 13, 2005 10:55 am, всего редактировалось 1 раз.
<!--coloro:#3333FF--><span style="color:#3333FF"><!--/coloro-->Однажды окунувшись в мир виртуальной реальности, ты можешь навсегда остаться в Глубине, в блистательном городе Диптауне, где люди обретают свободу, или, хотя бы видимость свободы.<!--colorc--></span><!--/colorc--> <a href="http://www.google.com.ua/search?hl=ru&q=%D0%BB%D0%B0%D0%B1%D0%B8%D1%80%D0%B8%D0%BD%D1%82+%D0%BE%D1%82%D1%80%D0%B0%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&meta=" target="_blank">Лабиринт Отражений</a> Сергей Лукьяненко
-=NV=-
Подполковник
 
Сообщений: 949
Зарегистрирован: Ср дек 08, 2004 1:11 pm
Откуда: Deeptown
Пункты репутации: 0

Сообщение Mutter Duhastovich » Ср апр 13, 2005 1:21 pm

2Magister
как организована сеть не скажу.
админ запускал точно снифер.

2-=NV=-
про картинку и шифрование своим словарем это я вкурсе.
а вот в icq про защищеный режим можно по подробней?

Ладно с админом понятно что трафик весь через него. А вот для остальных компьютеров в сети на сколько доступна информация?
Самец ласки перед тем, как овладеть своей любимой лаской, овладевает еще несколькими ласками. Это и есть "предварительные ласки" =)

Любой день хорош, чтобы быть прожитым или быть последним.
Mutter Duhastovich
Генерал-лейтенант
 
Сообщений: 3229
Зарегистрирован: Сб ноя 29, 2003 7:34 pm
Откуда: Россия г. Новосибирск
Пункты репутации: 5

Сообщение -=NV=- » Ср апр 13, 2005 3:48 pm

из практики употребления 2х сниферов:
- icqsnif, icqdump - аська логится нормально в пределах хаба. при включении arp-spoofing сеть мгновенно умирает (в конкретной, не настроенной по-людски локалке у меня на работе) успевают записаться только несколько сообщений в лог.
- GiveMeToo 2.40 - "мягко" обходит свичи (краш сетки не происходит, присутствие в сети админами не обнаружено). аккурано складывает все по папочкам (по протоколу, по пользователю и т.д.) за день работы - все просмотренные странички (с их содержимым), файлы скачанные по фтп, вся исходящая/входящая почта - все лежало у меня в кэше. аська - логилась коряво, как-то избирательно. в целом только урывки разговора. причем с компа, сидящего со мной на одном свиче (клиент &RQ, хотя это наверное и не важно) - пусто, а вто через 2 свича (клиент Lite) логи вело... странно
Вывод - почта и вэб 100% открыты. (причем у меня даже пару раз пароль кэшировался на внешнее мыло)
Ничего радостного.


пишу как обычно не попорядку.
по поводу защищенных соединений - в IM2 точно есть. поставил специально чтобы проверить. в аське вроде тоже было. в окне чата есть спец. кнопка для установления защищенного соединения.
только второй клиент должен быть таким же. насколько это спасает от сниферов - не знаю не пользовался.
Последний раз редактировалось -=NV=- Ср апр 13, 2005 4:04 pm, всего редактировалось 1 раз.
<!--coloro:#3333FF--><span style="color:#3333FF"><!--/coloro-->Однажды окунувшись в мир виртуальной реальности, ты можешь навсегда остаться в Глубине, в блистательном городе Диптауне, где люди обретают свободу, или, хотя бы видимость свободы.<!--colorc--></span><!--/colorc--> <a href="http://www.google.com.ua/search?hl=ru&q=%D0%BB%D0%B0%D0%B1%D0%B8%D1%80%D0%B8%D0%BD%D1%82+%D0%BE%D1%82%D1%80%D0%B0%D0%B6%D0%B5%D0%BD%D0%B8%D0%B9&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&meta=" target="_blank">Лабиринт Отражений</a> Сергей Лукьяненко
-=NV=-
Подполковник
 
Сообщений: 949
Зарегистрирован: Ср дек 08, 2004 1:11 pm
Откуда: Deeptown
Пункты репутации: 0

Сообщение LU » Пт апр 15, 2005 2:47 am

по поводу защищенного соединение на icq.
точно есть на Trillian`e, только у собиседника должен стоять такойже клиент.
Храни меня, Господь, от тех, кому я верю.
Кому не верю - тех остерегусь я сам. © Ж. Санд
Изображение
Компьютерный гений в первую очередь творческая личность и только потом пьяная скотина.
LU
Полковник
 
Сообщений: 1424
Зарегистрирован: Пт янв 31, 2003 12:11 am
Откуда: Владивосток
Пункты репутации: 0

Сообщение igorl » Сб апр 16, 2005 9:41 am

2Mutter Duhastovich
Если свитч достаточно умный, то на нем обычно бывает так называемый "порт администратора", на который перенаправляется весь трафик, приходящий на свитч. Вполне может быть, что твой админ пользовался этой фишкой (хотя свитчи такие - не самая дешевая штука).
Больше нормально работающих способов сниффинга сетки на свитчах не знаю (ну кроме случая, когда сниффится, скажем, комп с прокси сервером <!--emo&:)-->[img]style_emoticons/<#EMO_DIR#>/smile.gif[/img]<!--endemo--> ).
igorl
Капитан
 
Сообщений: 167
Зарегистрирован: Вт апр 09, 2002 8:33 am
Откуда: Санкт-Петербург
Пункты репутации: 0

Сообщение Klinker » Вт дек 13, 2005 10:00 pm

Какой прогой можно определить снифер в локальной сети ?
Klinker
Ст. лейтенант
 
Сообщений: 120
Зарегистрирован: Сб апр 03, 2004 10:20 am
Откуда: Земшар
Пункты репутации: 0

Сообщение SiMM » Ср дек 14, 2005 4:36 am

Снифер лишь подслушивает работу сети, а не проявляет себя в ней активно. Любая сетевушка - суть снифер (слушает все пакеты в сети, отфильтровывая свои). Соответственно с точки зрения ЛВС что есть у кого-то сниффер, что нет - сети по барабану. Разве что на подозрительном компе поиметь удалённый доступ и контролировать на запуск на нём сниффера. Но это уже уголовно-наказуемое деяние.
IRC: <a href='http://www.fileforum.ru/irc.php' target='_blank'>RUSNET #fileforum</a> (irc.tsk.ru:6669)
SiMM
Подполковник
 
Сообщений: 588
Зарегистрирован: Чт июн 13, 2002 8:41 am
Пункты репутации: 0

Сообщение Kovax » Ср дек 14, 2005 10:48 am

2SiMM<!--QuoteBegin-SiMM+Dec 14 2005, 06:36--><div class='quotetop'>QUOTE(SiMM @ Dec 14 2005, 06:36)</div><div class='quotemain'><!--QuoteEBegin-->Снифер лишь подслушивает работу сети, а не проявляет себя в ней активно.
[right][snapback]194515[/snapback][/right]
<!--QuoteEnd--></div><!--QuoteEEnd-->
я ламер в этом вопросе, но разве сниферы не делятся на активные и пассивные?
<a href='http://fileforum.ru/index.php?s=&act=SF&f=25' target='_blank'>Обсуждение он-лайн игр</a>
Kovax
Полковник
 
Сообщений: 1288
Зарегистрирован: Пт мар 29, 2002 9:55 am
Откуда: Одесса
Пункты репутации: 0

Сообщение sm@rt » Ср дек 14, 2005 4:12 pm

<a href='http://www.gazeta.ru/techzone/2004/08/18_a_150723.shtml' target='_blank'>Источник</a> говорит нам, что
Вот как это делается (работает и в сети разделенной на сегменты свитчами):
-- послать ping с IP адресом подозрительного компьютера, но не с MAC адресом карты. В идеале никто из компьютеров "не увидит" этого запроса, так как в сети Ethernet карты будут отвергать такой запрос – их MAC не соответствует запросу. Но компьютер, слушающий сеть в promiscuous режиме ответит на этот запрос, – он-то перехватывает TCP/IP пакеты. Правда, такой метод считается устаревшим, так как большинство современных программ-снифферов умеют не поддаваться на такие провокации.
-- воспользоваться тем, что машина кэширует ARP запросы. Пошлем"нешироковещательный" пакет с ARP запросом, машина со сниффером ухватит егои положит в кэш наш ARP адрес. Затем пошлем широковещательный ping с нашимIP адресом, но подделаем MAC адрес. На эту уловку "купится" только машина со сниффером и вернет нам наш ping, потому что она знает наш настоящий MAC адрес.
-- так как большинство снифферов занимаются базовым анализом входящейинформации (parsing), можно попытаться определить сниффер по времени задержки с ответом. Машина с работающим сниффером должна обрабатывать гигантский объем информации, особенно в "час пик" на сети. Таким образом, она будет отвечать на ping с задержкой. Однако этот метод ненадежен – карта с дефектом или просто на плохой линии тоже может реагировать на запросы с задержкой.
-- воспользоваться утилитами (arpwatch - Linux), мониторящими ARP кэш на машинах, чтобы определить, не появился ли в сети дубль. Такая система может сбоить в сетях, где IP адреса распределяются DHCP серверами, но это можно обойти, увеличив срок, на который выдается IP адрес.
– воспользоваться системами выявления вторжения (IDS - Intrusion Detection System). На Линуксе есть, например, Snort, который в числе других своих функций следит за тем, чтобы не подделывались ARP адреса.
– вручную проверить все машины

Но в то же время <a href='http://www.xakep.ru/post/16381/default.asp' target='_blank'>другой источник</a> говорит:
По совету одного злобного хакера (мнению которого я весьма доверяю), если ты не хочешь, чтобы кто-нибудь смог обнаружить твой сниффер в принципе, просто сними поддержку TCP/IP с интерфейса, на котором ты поднимаешь сниффер. Либо запрети любую реакцию ядра на входящий TCP/IP'шный траффик. Либо сочно настрой файерволл.

Т.е. если кто захочет спрятаться - спрячется. Как выловить клуьхацкера написано... только проги надо искать
Красота и массовые расстрелы спасут мир.
sm@rt
Генерал-майор
 
Сообщений: 2935
Зарегистрирован: Вт фев 25, 2003 4:42 pm
Пункты репутации: 0


Вернуться в Hacking & Cracking

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3

cron