Alexander Voronin Posted January 7, 2003 Posted January 7, 2003 Доброго времени суток, уважаемые. Долго бродил, много узнавал, эксперементировал, и в конце концов был послан на nag.ru со словами "там где-то было"... :) Пока я не нашел реального способа вычислить снифер в локалке хотя были реальный вариант с имзенением арп таблицы и пингом на измененный адрес - в теории из-за того что интерфейс открыт ему все равно что МАС сменили в арп таблице и он должен отозваться.. Так вот - это НЕ работает (почему может кто-то объяснит?)... Софтина которая "искала открытые интерфейсы на линуксе" с определенной версии ядер не работает ибо там наконец-то пофиксили этот баг, да и собсно снифера не только для линукса есть. Может у кого-нибудь есть еще идеи? Ну там какие-нибудь "кривые" ICMP пакеты тыры-пыры.... Спасибо заранее... Вставить ник Quote
Alexander Voronin Posted January 9, 2003 Author Posted January 9, 2003 Спасибо, я в курсе, но форум называется "Программное обеспечение (software)"... :) Мне интересно именно программное решение, даже я бы сказал не столько решение, сколько идеи и сама возможность реализовать такое... Вставить ник Quote
Akina Posted January 9, 2003 Posted January 9, 2003 Все методы вычисления сниферов основаны на недопофиксенности - так что общего решения нет. Вставить ник Quote
Аркадий Глазырин Posted January 13, 2003 Posted January 13, 2003 А что такое "недопофиксенность"? На простом языке. Вставить ник Quote
Akina Posted January 14, 2003 Posted January 14, 2003 Аркадий Глазырин, Методы основаны на том, что работающая в promiscuous mode карта передает компьютеру все принятые ею пакеты, а следовательно компьютер при отсутствии надлежащей проверки может реагировать на пакеты, не ему предназначенные - штатно-то таких пакетов быть не должно, чего типа проверять? В приличных сниферах эта недоработка фиксится. Вставить ник Quote
Guest Posted May 24, 2004 Posted May 24, 2004 Я тестил машину с XP: включил на ней promiscuous mode, посылал icmp-ping пакеты с правильным ip, но с левым destination-mac, она не отвечала. Потом попробовал arp-ping'ом, отправил такой запрос: eth src xx xx xx xx xx xx dst ff ff ff ff ff fe! arp sender mac xx xx xx xx xx xx sender ip 192.168.0.1 target mac 00 00 00 00 00 00 target ip 192.168.0.2 и она ответила .... Выключил promiscuous mode - ответа не было. Может есть еще способы вычислить карточку в promiscuous mode? Вставить ник Quote
Guest Posted May 24, 2004 Posted May 24, 2004 Я, когда пользуюсь снивером, то гашу весь стек протокола IP и это у меня единственый протокол. Благо на винде это быстро делается. В это случае моей машине глубоко будет все фиолетово до ping-ов, arp-ов и прочих вещей. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.