URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 2057
[ Назад ]
Исходное сообщение
"скрытность при перехвате пакетов"
Отправлено proglammer , 01-Май-05 02:42 
допустим есть два юзера "A" и "B" - оба в онлайне
A: 10.1.1.1/MAC_1
B: 10.1.1.1/MAC_2

если юзер "A" сменит ip/MAC на 10.1.1.2/MAC_2 и запретит весь исходяший трафик вот так:
ipchains -P output DENY
то он сможет читать весь трафик "B".

как его обнаружить если они оба в одном сегменте сетки ?
и как обнаружить свитч?

большое спасибо всем ответившим.

Содержание
Сообщения в этом обсуждении
"скрытность при перехвате пакетов"
Отправлено proglammer , 01-Май-05 02:48 
блин!

B:10.1.1.2


"скрытность при перехвате пакетов"
Отправлено _KAV_ , 02-Май-05 12:55 
>блин!
>
>B:10.1.1.2
Сможет читать? сомневаюсь...
ибо пакет идет на один порт. Либо он не прочтет, либо к нему пойдет трафик - но юзер А тогда не станет получать пакеты... Либо переведется свич в режим хаба - но тогда это легко обнаруживается любым анализатором
"скрытность при перехвате пакетов"
Отправлено proglammer , 02-Май-05 14:06 
понятно,
осталось узнать как определить свич... :)


"скрытность при перехвате пакетов"
Отправлено _KAV_ , 04-Май-05 14:41 
>понятно,
>осталось узнать как определить свич... :)

Он травит пакеты - работает при переполнении стека как простой хаб

"скрытность при перехвате пакетов"
Отправлено proglammer , 05-Май-05 05:08 
>Он травит пакеты - работает при переполнении стека как простой хаб

ээ... и что мне всем подозрительным аипи стек переполнять?
мнеж пипец полный наступит.

может есть какойто другой способ?

"скрытность при перехвате пакетов"
Отправлено _KAV_ , 05-Май-05 10:36 
>>Он травит пакеты - работает при переполнении стека как простой хаб
>
>ээ... и что мне всем подозрительным аипи стек переполнять?
>мнеж пипец полный наступит.
>
>может есть какойто другой способ?
Ты не понял - при атаке на свич он шлет в сегмент пакеты не только для этого сегмента, а и другие тоже. Поэтому можно отслеживать - как пошел лишний трафик, так кто-то пытается сниферить.
Впрочем, свичи Alied Tesign как минимум просто падают через пару минут - тут уж не поснифферишь
"скрытность при перехвате пакетов"
Отправлено proglammer , 05-Май-05 17:20 
понял,но ведь чтобы чтото атаковать надо знать что! а я не умею находить свичи!
да и странный он у меня:
я(10.1.1.5) сменил ip/mac на отключенного юзера(10.1.1.213) и попробовал ping -b 10.1.0.0
и ничего мне не пришло! хотя в моем сегменте был включенный народ!
любой мой пакет(icmp/arp/tcp) просто пропадал.
впечатление такое что для каждого лично свич поставили :).
но ведь не со своего айпи мне свич портить...

и может есть гдето документация по настройке свичей? было-бы интересно почитать!

"скрытность при перехвате пакетов"
Отправлено _KAV_ , 06-Май-05 10:33 
Мдя....
О том, что такое сеть и свич, знать нужно.
Рекомендую для начала Microsoft Networking Essentials и Microsoft TCP/IP Essentials. Это для начала...

"скрытность при перехвате пакетов"
Отправлено proglammer , 08-Май-05 22:45 
а эти Essentials на русском гденибуть есть?
чтото не нашел...
"скрытность при перехвате пакетов"
Отправлено _KAV_ , 10-Май-05 10:02 
>а эти Essentials на русском гденибуть есть?
>чтото не нашел...
Издательство Microsoft Press, русская редакция. Правда, при переводе они несколько шикарных ляпов допустили...

"скрытность при перехвате пакетов"
Отправлено proglammer , 10-Май-05 21:18 
нее видно не судьба...
я кучу этих ссылок нащел, но большинство "99р.99коп! только у нас!",
или "Издательство Microsoft Press(R) предлагает широкий спектр книг по продуктам Microso..."
и мелкософт.ру излазил, все платно..
может ты бесплатную ссылку знаешь?
ведь если про ляпы сказал, то читал.
спасибо вообщем.
"скрытность при перехвате пакетов"
Отправлено _KAV_ , 11-Май-05 11:21 
Я в свое время покупал....
"скрытность при перехвате пакетов"
Отправлено proglammer , 11-Май-05 17:43 
денег мало