Jak wykryć sniffing ?

29.08.2004

14:29

[3]

Arcy Hp [ Pan i Władca ]

Mam osiedlówke i sam kiedyś sniffowałem choć bylo to ciężkie bo bałem sie adminów którzy lubią sie przywalać :/ Trojanów ani innych wormów nie mam ponieważ skanowałem wpełni zupdateowanym Nortonem 2004 .

Trohben [ Chor��y ]

Jeśli masz sieć na routerze, to bez obaw. Sniffingu się nie pozbędziesz, nie ma antysniffera. Możesz puścić ettercapa i sprawdzić, który interfejs działa w trybie mieszanym, jeśli czyjaś sieciówka będzie w takim trybie to całkiem możliwe, że sniffuje. Jedyne wyjście to wypersfadowanie mu tego w sposób dowolny, zdaję się na Twoją wyobraźnię. Jakby coś to pisz tutaj.

Włącz SSH w GG, niech Twoi znajomi również to zrobią. (BTW jeszcze nie ma SSH na stałe w GG?)

29.08.2004

14:32

[5]

_Robo_ [ Generaďż˝ ]

Genralnie sniffing jest pasywny wiec mozesz zapomniec. Ewentulanie sprawdz czy ktoras karta sieciowa w Twojej sieci nie dziala w trybie promiscuous (o ile masz huba). Generalnie mozliwosc wkrycia przez Ciebie jest minimalna skoro sie o to pytasz. Metody obrony tez sa, ale skoro o nie pytasz to tez beda wymagaly od Ciebie duuuzo zdobytej wiedzy.

Trohben [ Chor��y ]

Metod odobrony jako takich chyba nie ma - jedynie ingerencja w strukturę sieci, albo półśrodek - szyfrowanie.

29.08.2004

14:38

[7]

Arcy Hp [ Pan i Władca ]

Z tego co pamiętam mam bodajże routery gdyż kiedy chciałem sniffowac kogoś innego o musiałem ściągać jakiś dodatkowy programik abym mógł przechwycić jakiekolwiek pakiety .
Trohben <<<--- dzięki , jeśli to zapewnienie o routerach jest prawdziwe to kamień spadł mi z serca :)

Pozdro

Trohben [ Chor��y ]

Acha! Z dobrych programów polecam polskiego Anasila. Naprawdę kawał dobrej roboty, dużo opcji.

Arcy Hp [ Pan i Władca ]

Trohben <<<--- odpowiadając na Twoje pytanie nt. SSH . Występuje on chyba tylko z POWER GG . Choć nie jestem pewien czy przypadkiem nie pisali o dodaniu SSH na stronie www.gadu-gadu.pl

Trohben [ Chor��y ]

Na routerze z zasady pakiety, które od Ciebie wychodzą mają określony cel - router - i nie latają gdzie dusza zapragnie (czytaj: do snifferów), jest jednak pewna zależność w budowie sieci - w wielkich sieciach do routera jest podpiętych masa hubów i wtedy MOŻNA sniffować, ale wymaga to olbrzymiej wiedzy. Najczęściej jednak duże LANy oparte są o router + serwer + switche, a w takim układzie sniffing jest PRAWIE niemożliwy.

Trohben [ Chor��y ]

Z tego co mi wiadomo sms-express miał dodać takową opcję już w 6.0 i SSL wg www.gadu-gadu.pl niby już w niej jest, tyle, że "nie wszystkie sesje są szyfrowane" co jest nonsensem. Pozostaje Power GG i GaduCrypt.

zielony_telefon [ Pretorianin ]

Trohben
z tym routerem to chyba ci sie cos pomylalo...
jak jest hub to zadnej wiedzy nie trzeba a jest bo skoro on sniffowal to i jego moga sniffowac a router nierouter nie ma tu nic do gadania

Trohben [ Chor��y ]

Jeżeli pod router jest podłączony hub, a pod hub Arcy Hp i sniffujący to są oni wzajemnie w sieci półprzełączanej i ISTNIEJE MOŻLIWOŚĆ sniffowania, aczkolwiek mi się to nie udało. Może zależy od modelu routera, ale w większych sieciach na pewno nie mają takiego śmiecia jak mój Linksys za 200 zł.

zielony_telefon [ Pretorianin ]

heh
chodzi o zasade dzialania hubow... one wysylaja pakiety na wszystkie porty a kompy do ktorych pakiet nie jest zaadresowany po prostu go odrzucaja... sniffer kolekcjonuje wszystkie pakiety wiec tym sposobem mozesz podsluchiwac innych w sieci... i zaden router nic na to nie pomoze...
na swichach triko nie dziala bo te wysyla tylko do adresata dzieki czemu sa duzo wydajniejsze a cenowo roznica jest minimalna

Trohben [ Chor��y ]

Tak, ale w takim układzie większość pakietów jest już nadpisana przez router, one płyną tylko przez hub, który nie rozpiżdza ich po całej sieci. W sieci półprzełączanej przy zwykłym sniffingu można znaleźć jedynie komuniakty routera (nawiązanie połączenia z komputerem, reset, dhcp, weryfikacja i tak dalej).

29.08.2004

19:43

[16]

_Robo_ [ Generaďż˝ ]

zielony -> a w jakis sposob switch wie gdzie poslac pakiet? :) => a co bedzie jesli podepniesz dwa kompy o identycznych MACach do switcha? :D poza tym sa jeszcze conajmniej dwa sposoby na sniffowanie w przypadku switcha ARP spoofing i MAC flooding.

Werter [ 1488 ]

hub rozgłasza wszędzie pakiety, bo taka jego natura, nie wiem co ma z tym wspólnego router?

sniffować w sieci opartej o switche się da, jak najbardziej, chyba, że sobie kupisz switcha za parę tysięcy złotych z możliwością bindowania maców do portu.

zielony_telefon [ Pretorianin ]

Trohben
no widzisz tu sie nie zgadzamy... hub nie potrafi wyslac pakietu do jednego konkretnego portu/kompa lub nie potrafi rozszyfrowac pakiety i nadac go na odpowiedni port... huby powoli staja sie zabytkiem
i tak na marginesie... jestes pewien ze masz huba? :P
linksys za 200zl hmm... przypuszczam ze z wbudowanym 4-portowym wyjsciem lan i ze jest to swich nie hub :P

_Robo_
nie ma pojecia co bedzie jak ustawisz na 2 sieciowkach ten sam MAC... jestem za leniwy zeby sprawdzac :P
a czemu pytasz? wiesz ze to dziala czy sie tylko zastawiawiasz? jestem bardziej sklonny przypuszczac ze swich bedzie wysylal pakiety do pierwszego MAC ktory zajdzie w tablicy ARP niz do obu aczkolwiek to tylko moje przypuszczenia :)

_Robo_ [ Generaďż˝ ]

zielony -> bedzie rozsylal do kazdego komputera o tym samym MACu :) (nie wiem jak w tych drogich switchach z bindowaniem do portu, ale na normalnych dziala)