Jump to content

Можно ли снифить в сети на свитчах?

bombat
 Share

Recommended Posts

bombat

bombat

Posted
Posted

Здравствуйте!

Реально ли это делать?

Вообще интересует не этот вопрос, а противоположный: как вычислить снифера в сети если сниффинг вообще возможен?

Буду очень признателен если кто-нибудь поделится полезной информацией.

Jugernault

Jugernault

Posted
Posted
Здравствуйте!

Реально ли это делать?

Вообще интересует не этот вопрос, а противоположный: как вычислить снифера в сети если сниффинг вообще возможен?

Буду очень признателен если кто-нибудь поделится полезной информацией.

Да вполне реально...

Попытаться вышемить таковых индивидуумов может помоч arpwatch

Barabashka

Barabashka

Posted
Posted

Я в этом не сильно разбираюсь, может, и не тот софт нужен, но пять копеек добавлю:

 

arpmonitor видел в исходниках, можно пересобрать под Win.

arpcachemonitor - видел готовый.

 

Где - не помню. Гугль в помощь. =)

v-m-k

v-m-k

Posted
Posted

А вы снифинг со спуфингом не путаете немного? На свитчах обычный снифинг не доступен, а спуфинг реален...

Есть такая штучка называется antidote

Посмотри на секьюрите лабе, должна помочь, если поставить сможешь. P.S. это под Linux.

А вообще весь взлом сводиться к подмене arp записей на фальшивые, так что факт что что-то происходит установить сможешь, но досканально до порта, где сидит хакер, не доберёшься.

puh

puh

Posted
Posted

А вы снифинг со спуфингом не путаете немного?

снифинг в сети, построенной на свичах, достигается за счёт спуфинга CAM таблицы :)

v-m-k

v-m-k

Posted
Posted

Я это и имел ввиду. А почему САМ таблица? Мне всегда казалось arp... :\

Посылаются ff:ff:ff:ff:ff:ff широковещалки, которые нужный IP присваивают себе, соответственно атакуемый путается и может послать нужную информацию на фальшивый комп...

v-m-k

v-m-k

Posted
Posted

Таблицы свитчей это аттака проходит только наверное на старом оборудование.... Просто на свитчах равномерно удаляются старые записи и пишутся новые. Единственное что получится добиться, это отказ в обслуживание данным свитчём и то не всегда... А вот спуффинг, но arp таблицы должны быть динамическими, что бы сработал этот метод.

Harmer

Harmer

Posted
Posted

При чем тут возраст оборудования? Если забить таблицу всяким хламом, то реальные адреса вытеснятся. На любом оборудовании. Соответственно, когда адреса назначения нет в таблице, пакет передается во все порты.

ShumBor

ShumBor

Posted
Posted

И как это поможет если пользователь в своем влане?

Не думаю что переполнение таблицы вызовет отключение влан модуля. К тому же на комутаторах есть возможность ограничения броадкаст/арп потока, что вприницпе тоже должно помиочь не переполниться таблице.

Барий

Барий

Posted
Posted

Не совсем понятно о чем идет речь.

Sniffing - пассивное прослушивание

Spoofing - обман, выдача себя за другого

Poisoning - отравление МАС/CAM кешей всяким мусором

 

Если нужно определить именно сниффер в сети, например tcpdump/ethereal, то искать нужно в сторону promiscuous mode detect. По умолчанию и тот и другой сниффер использует promiscuous режим, который, опять же, можно легко отключить, только тогда теряется смысл сниффинга, разве что для изучения или устранения локальных/сетевых проблем.

v-m-k

v-m-k

Posted
Posted

Кстати точно, 1 порт не сможет переполнить таблицу, ему контроль arp потока не даст...

 

Речь идёт о непосредственном снифинге в сети, построенном на свитчах.

Соответственно 1е не возможно без применения 2го или 3го

Барий

Барий

Posted
Posted

Не совсем понятно чего автор хочет добиться, толи определить узлы в promisc режиме, толи определить spoofing/poisoning.

Если уж и говорить о сниффинге с пойсонингом вместе, то какой смысл что-то сниффить с "засиранием" CAM/MAC кешей коммутаторов. Ну и будет он работать в режиме концентратора, и будет полный бардак, который сразу будет виден. Кроме всего пойсонить таблицы коммутаторов куда тяжелее (с точки зрения исходящего трафика) нежели использовать спуфинг, с обманом только двух узлов.

 

А для пойсонинга коммутаторов и не нужен АРП, поэтому контроль бродкаст/арп потока тут роли не играет. Достаточно сгенерировать необходимое количество пакетов с постоянно уникальным MAC адресом отправителя и уникальным (которого заведомо нет в сети) MAC адресом получаетля. Любой такой пакет будет передаваться на все коммутаторы сети, т.к. адрес назначения неизвестен, а по дороге, каждый src-MAC будет записываться в соответствующие таблицы коммутаторов.

Harmer

Harmer

Posted
Posted
искать нужно в сторону promiscuous mode detect
Баловство это. Ламеров ловить.

Впрочем, в пассивном сниффинге ничего особо страшного нет.

GateKeeper

GateKeeper

Posted
Posted

Если у Вас в сети достаточно имбицилов (уж иначе рука не подымается их назвать), болеющих, например, Win32.Parite.b, а диапазон адресов в сети превышает объём кеша свичей (для мыльниц достаточно будет и 23 бит, вроде как, для управляемых - битность поменьше), то "ламеру" кроме как запустить tcpdump ничего делать не надо уже. poisoning уже за него зделан.

Nallien

Nallien

Posted
Posted

такого допускать просто нельзя. а затравить можно ЛЮБОЙ неуправляемый свитч, да и управляемый, если он соответственно не настроен. и тогда ваш прекрасный свитч превращается.... в обычный хаб. со всеми вытекающими последствиями для безопасностии конфиденциальности.

Barsick

Barsick

Posted
Posted

Еще вопрос: arpwatch только под UNIX и Linux существует. Под винду не существует такой в природе?

Существует, но лучше-б не существовал... за пару дней работы (сетка<200 хостов) он у меня разбух до 200-от с чем-то метров в оперативке :(

v-m-k

v-m-k

Posted
Posted

А у мя по контролю самописная фигня. Нарушает нормальную работу arp протокола в целом.

Т.е.

Юзер поставил не правильный IP, не пускает (формирует фальшивые пакеты). Если всё же юзер прорвался (firewallы и прочая фигня) срабатывает второй этап при запросе (таким юзером) IP удалённой машины, формирует ответ и в mac вносит IP самого юзверя. Как следствие может просканить всю подсеть, а маки у всех ip, в его arp одинаковые. Соответственно умеет блокировать неизвестных, вносить новых, бороться с заблокированными.

 

Неплохая штуковинка для неуправляемого оборудования. Борьба с ней, это только статическая arp таблица.

Nallien

Nallien

Posted
Posted

этого достаточно. обычно в таком случае у злоумышленника две машины. одна продолжает влудить (не зарегистрированный мак\айпи, а вторая - слушает...

desperado

desperado

Posted
Posted
этого достаточно. обычно в таком случае у злоумышленника две машины. одна продолжает влудить (не зарегистрированный мак\айпи, а вторая - слушает...

между соседними пакетами прослушиваемого нужно каждый раз переполнять таблицу. Или довольствоваться обрывками трафика. Для высканивания паролей от почты или ась может и прокатит, а для чего-то более серьёзного уже нет.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.