--> Archiwum Forum
kerrang [ Chor��y ]
podsłuch w sieci
witam wszystkich
mam taka sprawe. pracuje w sieci LAN i podejrzewam, e ktos podsluchuje przesylane pomiedzy informacjami informacje. glownie GG. podejrzewam, ze ktos to robi, bo wiem o rzeczach, o ktorych wiedziec nie powinien.
i teraz pytanie, jak mozna sprawdzic czy ktos podsluchuje i jak go ewentualnie namierzyc?
---
pozdrawiam
kerrang
Azzie [ Senator ]
kerrang: Jesli robi to za techniki zwanej sniffowaniem, to ani tego nie wykryjesz ani nie zapobiegniesz. Jedyna rzecza mozliwa do zrobienia jest szyfrowanie transmisji a tego GG nie umozliwia...
Powiem wiecej: Twoje maile tez nie sa bezpieczne :)
Eliash [ Generaďż˝ ]
kerrang --> Rozmowy GG nie są przesyłane otwartym tekstem, chyba że powstał jakiś cwany programik
po sniffowania i dekodowania pakietów GG.
Azzie [ Senator ]
Eliash: Glupoty pleciesz i to na maksa :>
I zaraz Ci to udowodnie :)
Eliash [ Generaďż˝ ]
Azzie --> Nie głupoty, bo już próbowałem czytać pakietyprzechodzące przez ruter :], te z GG to były krzaczki podczas gdy maile widziałem bez problemu.
PS. Czekam na dowód :)
Azzie [ Senator ]
Eliash:
Prosze bardzo: Oto pakiet z mojej rozmowy na gg
0000: 00 30 4F 22 5F 17 00 50 BF 08 32 24 08 00 45 00 .0O"_..P..2$..E.
0010: 00 47 E7 B7 40 00 80 06 EB AA C0 A8 64 3C D9 11 [email protected]<..
0020: 29 58 13 20 1F 8A 68 2E F4 7D 15 6A 98 46 50 18 )X. ..h..›.j.FP.
0030: 44 70 98 20 00 00 0B 00 00 00 17 00 00 00 AD 69 Dp. ...........i
0040: 14 00 78 CB CD 00 28 00 00 00 6A 61 6B 20 73 65 ..x...(...jak se
0050: 73 6A 61 3F 00 sja?.
Troche sie rozsuwa bo spacje poznikaly ale jak widzisz na samym koncu zawsze jest otwartym tekstem wiadomosc. Nie widoczne natomiast jest numer gg obu rozmowcow.
A to drugi pakiet:
0000: 00 30 4F 22 5F 17 00 50 BF 08 32 24 08 00 45 00 .0O"_..P..2$..E.
0010: 00 99 E8 95 40 00 80 06 EA 7A C0 A8 64 3C D9 11 [email protected]<..
0020: 29 58 13 20 1F 8A 68 2E F4 9C 15 6A 98 46 50 18 )X. ..h....j.FP.
0030: 44 70 0A 06 00 00 0B 00 00 00 69 00 00 00 DB 9B Dp........i.....
0040: 31 00 70 7A D2 00 28 00 00 00 68 65 6A 20 3A 29 1.pz..(...hej :)
0050: 0D 0A 20 0D 0A 50 69 73 7A 65 20 74 61 20 77 69 .. ..Pisze ta wi
0060: 61 64 6F 6D 6F 73 63 20 61 62 79 20 75 64 6F 77 adomosc aby udow
0070: 6F 64 6E 69 63 20 6B 6F 6C 65 64 7A 65 20 45 6C odnic koledze El
0080: 69 61 73 68 6F 77 69 20 7A 65 20 73 6E 69 66 66 iashowi ze sniff
0090: 75 6A 61 63 20 77 73 7A 79 73 74 6B 6F 20 77 69 ujac wszystko wi
00A0: 64 61 63 20 3A 29 00 dac :).
Sniffer: Spynet
Owen [ ]
kerrang ---> Azzie ma rację. Nic nie wskórasz. Jeżeli masz sieć na switchach, sniffowanie będzie trudniejsze, ale nadal możliwe. Sniffowanie jest passywną formą ataku i nie wiąże się z bezpośrdnią penetracją docelowego hosta, więc host nawet o tym nie wie, bo go nikt nie atakuje.
Azzie [ Senator ]
Gwoli wyjasnienia dla malo kumatych, napisze co widac w tym co wkleilem :)
Na poczatku z prawej strony widac znaczniki linii - numerki ulatwiajace podanie heksadecymalnie numeru kazdego bitu w pakiecie. Dalej mamy 16 liczb heksadecymalnie okreslajace wartosc kazdego bitu w pakiecie. A z samej lewej strony widac juz te bity zamienione na znaki ASCII.
Jak widac wystarczy taki pakiet wyswietlic w ASCII aby kazda wiadomosc na GG stala sie jawna :)
Eliash: Nie wiem czemu Ci nie wychodzilo. Albo sluchales na zlym porcie albo moze odbierales tylko wiadomosci o zmianie statusu (zaraz wracam/dostepny) - bo statusy opisowe ida juz otwartym tekstem :)
Eliash [ Generaďż˝ ]
Hmmm, być może się myliłem. Sprawdzę jeszcze raz jakie pakiety mi wypluwa tcpdump
Jeśli się potwierdzi zyskam nową narzędzie kontroli na (L)userami he he he.
W każdy razie dziękuje za oświecenie mnie :)
Eliash -> Bastard Operator From Hell
Azzie [ Senator ]
Eliash: Zainstaluj pakiet sniffit :)
_Robo_ [ Generaďż˝ ]
Jest posrednia metoda wykrycia podsluchu, karta sieciowa ktora podsluchuje transmisje pracuje w trybi "promiscous" (czy jakos podobnie nie pamietam ja sie to pisze. Oczywiscie sam stan karty nie gwarantuje, ze ktos podsluchuje ale to nie jest normalny tryb pracy sieciowki wiec mozna cos podejrzewac.
Eliash [ Generaďż˝ ]
Azzie -> Popatrze i sprawdzę, ale właściwie nie jest mi potrzebny (no chyba żę ma jakieś suuuper opcje).
Kontroluje wszystkie rutery w firmie, tcpdump wszystko mi wypluwa tylko trzeba go ustawić a i tak większość userów jest w innej podsieci więc sniffer na niewiele się zda, chyba zeby go zainstalować na ruterze ale wole takich śladów tam nie zostawiać :]
Azzie [ Senator ]
Ja jeszcze powiem tylko tyle ze kiedys jako admin usilowalem walczyc ze snifferami. Pomoca do tego jest anti-sniffer.
Polega to na tym ze program bada predkosc odpowiedzi z testowanej karty. Chodzi o minimalne opoznienie w odsylaniu pakietow nie adresowanych do danej karty, jesli jest ona ustawiona w trybie promiscous. Czyli ze pakiety najpierw docieraja do systemu a pozniej dopiero sa przekazywane dalej.
Niestety w szybkich kompach takie opoznienie jest mniejsze niz margines bledu pomiarow... A sam program ma skutecznosc porownywalna ze skutecznoscia prewencji polskiej Policji :)
Dodatkowym klopotem jest to ze ww program porownuje wyniki karty ustawionej w trybie promiscous i w normalnym. Czyli najpierw trzeba zebrac wyniki pomiarow z podejrzanego kompa, kiedy na pewno nie sniffuje, zeby pozniej moc porownac to z wynikami z podejrzanego momentu :) Komplikacje duze, skutecznosc niska. Szybko dalem sobie spokoj.
I taka mala plota :) Slyszalem ze ktos juz napisal anti-anti-sniffera :) po prostu po wykryciu anti-sniffera w sieci wysyla mu mnostwo smieciowych pakietow, niweczac pomiary :) Ale jak mowie: to tylko plotka jaka slyszalem w sieci.