LINUX.ORG.RU
ФорумSecurity

Прослушка траффика на физическом уровне OSI.


0

1

Приветствую!

Предположим, что есть некое устройство, назовём его «blackbox» (см. вопрос 1). Blackbox умеет слушать траффик на физическом уровне и «изменять» его.

Т.е. к примеру, мой компьютер отправляет запрос на обновление системы, в ответ приходит обновление ядра. Wireshark показывает, что система обновляется с ip, которое принадлежит %дистрибутив%. Но на самом деле, обновление приходит с «blackbox» который стоит посередине. Т.е. мой запрос даже не попадает на сервер %дистрибутива%.

Вопросы:
1) как называется устройство «blackbox»?
2) какие способы защиты от этого, если этот «blackbox» находится в не зоны физического доступа (к примеру, у провайдера).
3) Спасет ли VPN отца русской демократии? Если нет, что какая защита от этого может быть?

p.s. сейчас меня назовут паранойком, скажут что я никому не интересен. Да, я это знаю. Но вопросы от этого менее интересными не становятся. Наверняка у спец служб, да и не только, есть что-то похожее ;)

Если Вам показалось, что я переизобрел MITM, то скорее всего, Вы не внимательно прочитали топик.

Rimbaud
() автор топика

1) какирдевайс
2) в нормальных системах перед установкой пакеты проверяются ключом
3) спасет

warmate
()
Ответ на: комментарий от warmate

1) какирдевайс

Google:
Не найдено результатов по запросу какирдевайс

2) в нормальных системах перед установкой пакеты проверяются ключом

ок, с этим пунктом я действительно напутал.

Rimbaud
() автор топика
Ответ на: комментарий от Rimbaud

Не найдено результатов по запросу какирдевайс

ну так а что ты хотел? купить на ибее такое?
это почти всега самосбор

warmate
()
Ответ на: комментарий от warmate

ну так а что ты хотел? купить на ибее такое?

Нет. Я хочу знать, как называется такой класс устройств. Есть же у них настоящее имя?

Rimbaud
() автор топика
Ответ на: комментарий от Rimbaud

как называется такой класс устройств

Думаю такое можно запилить из обычного пк, ноута, embedded железки (которых в последнее время развелось как грязи), планшета и даже телефона. Поэтому какирдевайс вполне подходящее название.

warmate
()
Ответ на: комментарий от leave

p.s. подмена трафика на физическом уровне ИМХО бессмысленна из-за высокой сложности процесса: нужно подавить «честный» сигнал, и вместо него подсунуть в линию свой. По сути, проще терминировать линк на себе - но если уже сделано, то зачем заморачиваться с подменой ethernet-кадров, если проще давать сразу подложный http(например) трафик?

leave ★★★★★
()
Ответ на: комментарий от leave

терминировать линк на себе

Можно поподробнее на этом месте?

P.S. Скорее всего, вы описали именно ту ситуацию, что я хотел, просто из-за недостатка знания ушел не в те «дебри». Браво!

Rimbaud
() автор топика
Ответ на: комментарий от leave

если проще давать сразу подложный http(например) трафик?

Единственный вопрос — при этом, Wireshark запущенный на конечном компьютере будет показывать IP злоумышленника или же у злоумышленника не будет своего IP?

Rimbaud
() автор топика

Если Вам показалось, что я переизобрел MITM, то скорее всего, Вы не внимательно прочитали топик.

Мы внимательно прочитали топик и да, ты изобрел MITM.

thesis ★★★★★
()
Ответ на: комментарий от Rimbaud

Ставишь фейковый src ip от себя и перехватываешь весь трафик, адресованный ему

leave ★★★★★
()
Ответ на: комментарий от Rimbaud

Сниффинг эзернета осложняется исключительно электрическим током :) А для внедрения своего трафика тебе нужно, грубо говоря, воткнуть посреди кабеля трехпортовую сетевую розетку, в которой первый и третий порты соединены через второй. В таком случае достаточно будет подделать arp-адрес (собственно, это сильно похоже на обычный arp-спуфинг на хабах)

leave ★★★★★
()

Ты переизобрел MitM. Топик не несет смысловой нагрузки

vasily_pupkin ★★★★★
()
Последнее исправление: vasily_pupkin (всего исправлений: 1)
Ответ на: комментарий от flant

защита - заморозка arp, но это не на 100%

Каким боком arp соотносится с

«blackbox» находится в не зоны физического доступа (к примеру, у провайдера)

red_eyed_peguin
()

На физическом смысла нет. А в остальном:
1. DPI
2. Зависит от системы и ее настроек. Теоретически - нестандартный протокол.
3. Скорее всего
Сейчас большие компании закупают такие системы. Цель: знать что у них в сети, назначать нужные политики в зависимости от того, что ты делаешь в сети (например, торрент могут задавить или вообще порубить, а на youtube поставить правильный QoS), вставлять в трафик свою рекламу, кешировать торренты (да, и такое есть) и т. п.

Kroz ★★★★★
()
Ответ на: комментарий от Rimbaud

Если Вам показалось, что я переизобрел MITM, то скорее всего, Вы не внимательно прочитали топик

таки переизобрел

Blackbox умеет слушать траффик на физическом уровне и «изменять» его.

не принципиально, на каком уровне изменяется трафик - физическом, канальном, сетевом. Внутри себя железка всё равно должна имплементировать вышележащие уровни, чтобы выдавать осмысленные поддельные пакеты

Harald ★★★★★
()

1) wireshark + dsniff или paraproxy или любая другая http-прокси, т.к. обычно всё идёт через http.
2) В нормальных дистрибутивах всегда проверяется цифровая подпись и листа обновлений и пакетов.
3) VPN спасёт от прослушки и подмены (подмена не эффективна, как уже выше сказано) только в стране нахождения, но от страны точки выхода. В России Вы можете не бояться, т.к. у нас информация получается путём прихождения на дом и изъятия оборудования, а не всякими хитрыми троянами.

ktulhu666 ☆☆☆
()
Ответ на: комментарий от ktulhu666

Самый толковый ответ.

VPN поможет только если её правильно настроить (взаимная аутентификация). Плюс оба конца VPN должны быть защищены. Плюс в аутентификации не зависеть от кого то (не использовать сертификаты, подписанные VeriSign, например).

Но вообще думать надо много, чтобы «ну совсем крутецки секурно» было.

saper ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security