БИН НАРОД ПЛИЗ ХЭЛП!!!!!!!!!!!!!!!!!срочно

http://www.packetfactory.net/projects/sentinel/

встречное предложение начальству перейти срочно на свичи со статической arp таблицей ;-)

у него HUB небось

Бля а как ты догадался???????!!!!!!! Умник откуда только Вы беретесь??

SKULL

Собирался ответить, потом думаю - обматерят, скажут умник выискался, на... мне это ??????

#define MODERATOR

Во-первых, надо делать значащие темы для сообщений.
Во-вторых, если Вам пытаются помочь, не надо оскорблять человека - если бы вы хотели помочь а Вас бы оскорбили, Вам бы, наверное, это не понравилось.
В-третьих, одноуровневой защиты не бывает. Поэтому свичи пришлись бы очень кстати, если ценность информации такова, что вы готовы в это вложиться. Подробнее о балансе написано в FAQ.
В-четвертых, можно сделать сниффер, который указанным способом детектироваться не будет.

#undef MODERATOR

Дело в том что 3-е сообщение никак не относится к разряду советов..... Человек ничего умного не высказал и не дал ни какого совета...... Безусловно тем кто дал хоть какой то совет тем я ОЧЕНЬ благодарен и в свою очередь готов буду помочь в чем либо....... А тех кто высказывает подобные фразы "У него HUB небось" Более умного чем послать я не придумал ( возможно это и есть моя ошибка ).

Что касаемо свичей с арп таблицами это конечно идея хорошая но это тоже не выход из ситуации поскольку можно и эти таблици обойти....Да он не сможет всю сеть прослушивать но стать мостом между двумя машинами он запросто может..... Я вот думаю сделать для умника отдельный сегмент и ускай он там сидит :))))..........

С уважением SKULL

4oxonian....

Мне наоборот надо научиться выявлять сниферы работающие в моей сети а как это сделать я незнаю......Свичи это не выход из положения......

SKULL

IMHO, обычный сниффер штука пассивная, так просто ее не обнаружить. Сетка у Вас Ethernet 10Base-T ( ну раз уж HUB :)))) ), стало быть рассылка по всей сетке ВСЕХ пакетов. Т.е. помешать сетевой карте реагировать на все, в том числе и проходящие пакеты, а так же вычислить, кто на них реагирует, IMHO ТЕОРЕТИЧЕСКИ не представляется возможным. Просто по определению протокола :((. На мой взляд, помочь могут только оперативные оргмероприятия :))) Извиняюсь, если пишу прописные истины или полную чушь.

Снифер никак не реагирует на пакеты он просто их через себя пропускает и все и обнаружить его практически НЕВОЗМОЖНО..... Вот я и обратился сюда за помощью может есть супер юзверы которые гденибуть на аппаратном уровне умеют вычислять эту карту в сети :)))...Если есть такие то откликнитесь :))).......В долгу не останусь пива будет много :)))

SKULL

Про аппаратный уровень речь и идет, засечь потребление тока микросхемой при отработке пакета - вечь нереальная. Тем более программно это не делается. Ессесно, IMHO.

Мы наверное друг друга не понимаем.....Потому что мне надо сидеть на своей машине и если находится умник, который запускает снифер в моей сети, то его надо выявить и надовать по шапке..........А потребление тока это точно не реально :)))

SKULL

я то ли непонятно выразился, то ли одно из двух.

Итак, сниффер - пассивная программа. При правильной реализации сниффер не оказывает никакого влияния на сеть и не может быть обнаружен программными методами.

Существующие методики обнаружения снифферов основываются на ошибках в реализации. Примером такого способа является следуюший:

проверяющий создает ethernet хрейм содержащий к качестве MAC адреса получателья адрес, неравный адресу подозреваемой машины. В качестве IP адреса получателья используется тем не менее IP подозреваемой машины. Пакет высылается в сеть. Идея состоит в том, что если сетевой интерфейс находится в promisc режиме то пакет с MAC не соответствующий MAC адресу карточки все равно пройдет через нее и достигнет уровня OS. Остается в качестве IP payload положить например ICMP echo-request или TCP SYN для некоторого well-known открытого порта. Если вы получили ответ, значит карточка находится в смешаном режиме. Если нет - то мозможно что автор сниффера умнее вас.

Второй способ проверки основан на том, что теоретически OS машины сетевой интерфейс которой находится в смешаном режиме, должна обрабатывать бОльшее число пакетов чем та, которая слушает только пакеты для себя. Проверка производится так - в сегменте сети создается болшое количество траффика, не имеющего в качестве адреса получателя подозреваемую машину. После этого сравнивается время отклика (например на ping) для подозреваемой машины и гарантированно "чистой". Если подозреваемая машина сниффит сеть то на нее должна возрасти нагрузка по сравнению с "чистой" машиной. Способ не работает, если вы не способны создать загрузку в сети достаточно серьезную для "прогрузки" сниферящей машины. Т.е. прогрузить E15K на 10Mb ethernet врят ли возможно.

Вот написал. Надо теперь это в FAQ положить. ;)

да. еще.

вышеупомянутый sentinel (собственно, ввиду несложности софта есть много work-alike, я не знаю, что из них лучше или хуже) реализует указанные две проверки плюс еще одну, основанную на том, что если сниффер увидит в сети незнакомый ip он сделает reverse DNS look-up, который можно увидеть. собственно, опять же "правильный" сниффер ничего такого делать не будет. я не помню на счет tcpdump но вот у snoop в Solaris есть такой ключ.

незнаю мож уже и нашел но зайди на рамблер и поиском, поиском его :)))

─ RU.NETHACK (2:5015/42) ───────────────────────────────────────── RU.NETHACK ─ From : Sergey Ternovykh 2:5020/996.40 21 Nov 02 21:12:52 To : All 22 Nov 02 01:34:40 Subj : к вопpосy о ловле сниффеpов ;)

@Real: Name: Сеpгей "Тpолль" Теpновых Здpассьте, All!

Для опpеделения факта нахождения сетевой каpты на каком-либо хосте в promisc-mode, достаточно послать на этот хост arp-request, icmp-echo-request, или любой дpyгой запpос, на котоpый машина в ноpмальном состоянии гаpантиpованно отвечает. Пpи этом младший бит старщего байта dst-mac'а должен быть yстановлен в 1. То есть, адpес должен иметь вид Xn:XX:XX:XX:XX:XX, где n - нечетное. В слyчае, если если сетевая каpта находится в promisc-mode, этот запpос бyдет обpаботан и исследyемая система пpишлет ответ. В пpотивном слyчае ответа не бyдет. Желающие понять, почемy так пpоисходит, могyт найти необходимyю инфоpмацию в исходниках сетевого стека. Для FreeBSD начинать нyжно с 'grep "_dhost\[0\] & 1" *' в каталоге /sys/net/, для линyха - 'grep -r "& 0x01" *' в /usr/src/linux/net/. Cобственно, пpичина в том, что такие адpеса считаются мyльтикастовыми, и пеpедаются по стекy пpотоколов навеpх, где на маки yже не смотpят. Пpи этом включение или отключение опции мyльтикаста пpи конфигypации ядpа значения не имеет, - стек пpотоколов считает, что, pаз сетевyха пакет с таким адpесом пpиняла, значит все пpавильно. Работает это не только для ethernet'а, но и для дpyгих технологий. Защититься, насколько я понимаю, можно только пpавкой исходников (несложной), посколькy файеpволом от такой пpовеpки не закpоешься: на фpюхе mac'и вообще никто не фильтpyет, а на линyхе iptables может фильтpовать только src-mac'и, - а в данном слyчае нyжно закpывать dst. Кpоме FreeBSD и линyха пpовеpялись также соляpисы (8-й и 9-й). Они на такyю подставy не ведyтся ;). Винды и полyось пока не тестиpовали. Hо, как мне тyт подсказывают, полyосевый стек делается на основе bsd'шного, так что, скоpее всего, там тоже сниффеp не спpячешь.

* Crossposted in RU.NETHACK * Crossposted in RU.INTERNET.SECURITY

Таки не пpощаюсь. Тpолль (не Муми).

... Мышь малютка дышит чутко ... --- Мышь полевка дышит ловко --- * Origin: Мышь лесная, как дышит - не знаю (2:5020/996.40)

Почитай мож мисли прояснятся :) http://www.dibr.nnov.ru/issue021202.html

В догонку :) http://securitylab.ru/tools/?ID=34784

Усё народ спасибо большое!!!!! Вот теперь вреде бы понятненько.......

SKULL

Skull a ne proshe li ves traffic cherez stunnel? just IMHO :)

Best wishes, RoolzNET

Хе хеееее.......... если я начну всю сеть настраивать через stunnel я помру :) У меня в сети около 70 ти машин :)))

SKULL