Обнаружение шлюзов и сетевых карт с promiscuous mode в сети.

[karabas1]

Поделитесь информацией какими механизмами (программными/аппаратными) можно обнаружить в сети:

1. Шлюзы

2. Сетевые интерфейсы установленные в promiscuous mode.

[GateKeeper]

У нага, кажется, выпуск целый на эту тему был.

 

По шлюзам - не везде, но по TTL можно попробовать.

[IvanI]

c 8 до 10 вечера поснифить инфу отправляемую браузерами(имя компа, имя юзверя, браузер)

[LostSoul]

c 8 до 10 вечера поснифить инфу отправляемую браузерами(имя компа, имя юзверя, браузер)

а почему не делать этого постоянно?

с учётом количества вариантов user agent к примеру)

[karabas1]

У нага, кажется, выпуск целый на эту тему был.

 

По шлюзам - не везде, но по TTL можно попробовать.

Обзоры читал. а вот про "TTL" если можно по подробнее.

 

c 8 до 10 вечера поснифить инфу отправляемую браузерами(имя компа, имя юзверя, браузер)

 

c 8 до 10 вечера поснифить инфу отправляемую браузерами(имя компа, имя юзверя, браузер)

а почему не делать этого постоянно?

с учётом количества вариантов user agent к примеру)

Интересна автоматическая реализация на базе правил для IDS

[csa]

promiscuous mode никак не определяется если снифер сделан правильно и ничего никогда не отправляет в сеть (ни на что не отвечает).

где-то читал, что таких идеальных нет, на какие-то запросы система с картой в promiscuous mode все же отвечает

статья была в интернете, нужно поискать

[extremist]

Про снифферы - http://www.void.ru/content/1131

Возможная последовательность действий:

1) Не пытаться обнаружить промиски, провести разъяснительную работу с обычными юзерами (апдейты, антивирусы, адекватное отношение к незащищенному каналу) и пообещать дождь из серы хулиганам. Все-таки геморройно это, в шпиенов играть.

2) В сложных ситуациях (при большой концентрации студентов-айтишников например) - попробовать применить методики из вышеупомянутой статьи на всю сеть.

3) Если есть подозрение на конкретный сегмент (юзеры жалуются) - тут уж ничего не остается кроме серьезных мер и показательной казни. Однако серьезный дядя ерундой страдать не будет, а несерьезный вьюнош вряд ли предусмотрит все (попадет на п2). Сниффить же самостоятельно весь сегмент на предмет использования "ворованной" информации - незаконно. Опять же есть вероятность, что человек использует pcap для учета трафика - false positive. Т.е. радикального варианта нет.

 

С шлюзами... Обычный "общий доступ к соединению" на немодифицированной винде вычисляется по TTL, однако это обходится (была статья на RSDN с практически готовым инструментов) - и задача становится нетривиальной и требует опять же глубокого анализа данных.

 

Это при условии, что топикстартер не страдает фанатизмом, иначе - сниффер в руки и писать парсеры месяц.

[extremist]

http://www.rsdn.ru/article/net/hidennat.xml

это про шлюзы

 

Я ведь правильно понимаю, что анализ User-Agent и прочего на высоких уровнях - это уже личная информация клиента, и, в отличие от флажков транспортного пакета, "трогать" ее не стоит? :)

[LostSoul]

Интересна автоматическая реализация на базе правил для IDS

Найдете -- не забудьте скинуть сюда ссылку пожалуйста :)

 

 

promiscuous mode никак не определяется если снифер сделан правильно и ничего никогда не отправляет в сеть (ни на что не отвечает).

где-то читал, что таких идеальных нет, на какие-то запросы система с картой в promiscuous mode все же отвечает

статья была в интернете, нужно поискать

Делается очень просто. достаточно замкнуть накоротко TX-пару в в патч-корде, идущем к прослушивающей сетевухе.

[csa]

>замкнуть накоротко TX-пару в в патч-корде

радикально, да.. :)

[extremist]

Ну ttl!=128 except known hosts наверное еще можно в IDS загнать, подмену arp'а тоже, а большего добиться имхо нельзя без активных телодвижений.

[LostSoul]

>замкнуть накоротко TX-пару в в патч-корде

радикально, да.. :)

Надёжно зато... особенно когда в чужую охраняемую сеть врезаезаешься иголочками )))