[Sysadmins] Сниферство в локальной сети

[Sysadmins] Сниферство в локальной сети

[Airgunster]

Всем привет, прошу у вас помощи, у меня в сети появился снифер, который грабит весь трафик, включая ICQ, POP и т.д.
Подскажите как боротся с сниферами в сети?

Re: [Sysadmins] Сниферство в локальной сети

[Andrey Rahmatullin]

On Mon, Aug 25, 2008 at 04:48:55PM +0400, Airgunster wrote:
> Всем привет, прошу у вас помощи, у меня в сети появился снифер, который грабит весь трафик, включая ICQ, POP и т.д.
> Подскажите как боротся с сниферами в сети?
Топором и свитчами.

Re: [Sysadmins] Сниферство в локальной сети

[Alex Gorbachenko]

[-- Attachment #1: Type: text/plain, Size: 338 bytes --]

On Mon, 25 Aug 2008 16:48:55 +0400
Airgunster wrote:

>Всем привет, прошу у вас помощи, у меня в сети появился снифер,
>который грабит весь трафик, включая ICQ, POP и т.д. Подскажите как
>боротся с сниферами в сети?

умные свичи + arpwatch чтобы отследить mac change у атакующего. 

-- 
np: All That Remains - I Die in Degrees

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Sysadmins] Сниферство в локальной сети

[Vladimir V. Kamarzin]

>>>>> On 25 Aug 2008 at 18:48 "a" == airgunster  writes:

a> Всем привет, прошу у вас помощи, у меня в сети появился снифер, который
a> грабит весь трафик, включая ICQ, POP и т.д.  Подскажите как боротся с
a> сниферами в сети?

Засунуть каждого юзера в отдельный vlan.

-- 
vvk

Postfix page on f.i: http://freesource.info/wiki/Dokumentacija/Postfix

Russian Postfix irc: irc.freenode.net #postfix-ru

Re: [Sysadmins] Сниферство в локальной сети

[Vyatcheslav Perevalov]

В сообщении от 25 августа 2008 Airgunster написал(a):
> Подскажите как боротся с сниферами в сети?

Бейсбольной битой (как гуманный вариант - линейкой). Как выявить - искать 
интерфейсы в promisc-mode. Более точно подсказать сейчас не могу, давно 
дело было...

-- 
Всего хорошего
		/vip

Re: [Sysadmins] Сниферство в локальной сети

[Vyatcheslav Perevalov]

В сообщении от 25 августа 2008 Alex Gorbachenko написал(a):
> умные свичи + arpwatch чтобы отследить mac change у атакующего.

В promisc-mode мак интерфейса не меняется.

-- 
Всего хорошего
		/vip

[Sysadmins] [JT] Re: Сниферство в локальной сети

[Alexei V. Mezin]

Vyatcheslav Perevalov пишет:
> В сообщении от 25 августа 2008 Airgunster написал(a):
>> Подскажите как боротся с сниферами в сети?
> 
> Бейсбольной битой (как гуманный вариант - линейкой). Как выявить - искать 
> интерфейсы в promisc-mode. Более точно подсказать сейчас не могу, давно 
> дело было...
> 

А чего, интерфейс в promisc-mode уже преступление? Как впрочем и снифер 
(в пассивном режиме, без подмены адресов и т.п.)? Пользователь вполне 
легально и безвредно может у себя тот же arpwatch или wireshark 
запустить. А кто пароли по сети plain-текстом шлет, тот ССЗБ.

Re: [Sysadmins] [JT] Re: Сниферство в локальной сети

[Vyatcheslav Perevalov]

В сообщении от 25 августа 2008 Alexei V. Mezin написал(a):
> А чего, интерфейс в promisc-mode уже преступление? Как впрочем и снифер
> (в пассивном режиме, без подмены адресов и т.п.)? Пользователь вполне
> легально и безвредно может у себя тот же arpwatch или wireshark
> запустить.

А зачем ему это надо, позвольте поинтересоваться? Учитывая то, что к 
администрированию сети пользователь не имеет никакого отношения? К тому же 
plain-текстом по сети идут не только пароли, но и другая инфа. К примеру, 
IRC. Или аська. Да элементарно, набрать статистику посещения сайтов 
определённого содержания, а потом шантажировать посещающего. Да мало-ли 
чего ещё.

-- 
Всего хорошего
		/vip

Re: [Sysadmins] [JT] Re: Сниферство в локальной сети

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 528 bytes --]

Vyatcheslav Perevalov пишет:
> В сообщении от 25 августа 2008 Alexei V. Mezin написал(a):
>> А чего, интерфейс в promisc-mode уже преступление? Как впрочем и снифер
>> (в пассивном режиме, без подмены адресов и т.п.)? Пользователь вполне
>> легально и безвредно может у себя тот же arpwatch или wireshark
>> запустить.
> 
> А зачем ему это надо, позвольте поинтересоваться?

   А шлюз в виртуалке держать, например. (Внешний интерфейс в бридж, 
один из интерфейсов VN -- туда же).

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]

Re: [Sysadmins] [JT] Re: Сниферство в локальной сети

[Vyatcheslav Perevalov]

В сообщении от 25 августа 2008 Aleksey Avdeev написал(a):
>  А шлюз в виртуалке держать, например. (Внешний интерфейс в бридж,
> один из интерфейсов VN -- туда же).

А алиас на реальный интерфейс - не?

Это корпоративный юзер? Тогда с ним и отношения должны быть несколько иные. 
И ответственность должна быть расписана в соответствующих документах. И 
сеть, согласно этим документам, должна быть построена несколько по-иному. И 
тогда таких вопросов быть не должно.

-- 
Всего хорошего
		/vip

Re: [Sysadmins] [JT] Re: Сниферство в локальной сети

[Alexei V. Mezin]

Vyatcheslav Perevalov пишет:
> В сообщении от 25 августа 2008 Alexei V. Mezin написал(a):
>> А чего, интерфейс в promisc-mode уже преступление? Как впрочем и снифер
>> (в пассивном режиме, без подмены адресов и т.п.)? Пользователь вполне
>> легально и безвредно может у себя тот же arpwatch или wireshark
>> запустить.
> 
> А зачем ему это надо, позвольте поинтересоваться? 
Да мало ли зачем?
- посмотреть по MAC-ам, какие сетевухи нынче в моде
- половить tcpdump'ом обращения своей программы ко внешнему серверу
- почитать книжку по TCP-Сетям, и на примерах изучать структуру пакетов 
в сети

Я, к примеру, часто запускал wireshark, чтоб поглядеть, какие компы 
активны в локалке, чтоб потом зайти на них, и посмотреть, что там 
расшарено (особенно актуально при падении сервера с отключением всего 
сегмента-района от основной сети).

И arpwatch всегда был запущен, чтоб видеть, кто в сети MAC меняет, и мой 
адрес себе пытается присвоить.


>  К тому же 
> plain-текстом по сети идут не только пароли, но и другая инфа. К примеру, 
> IRC. Или аська. 
И почему проблемы кривой реализации IM-систем должны как-то мешать 
пользоваться вполне законными программами?

CC: smoke-room@

Re: [Sysadmins] [JT] Re: Сниферство в локальной сети

[Yuri Bushmelev]

В сообщении от Понедельник 25 августа 2008 Vyatcheslav Perevalov написал(a):
> В сообщении от 25 августа 2008 Alexei V. Mezin написал(a):
> > А чего, интерфейс в promisc-mode уже преступление? Как впрочем и снифер
> > (в пассивном режиме, без подмены адресов и т.п.)? Пользователь вполне
> > легально и безвредно может у себя тот же arpwatch или wireshark
> > запустить.
>
> А зачем ему это надо, позвольте поинтересоваться? Учитывая то, что к
> администрированию сети пользователь не имеет никакого отношения? К тому
> же plain-текстом по сети идут не только пароли, но и другая инфа. К
> примеру, IRC. Или аська. Да элементарно, набрать статистику посещения
> сайтов определённого содержания, а потом шантажировать посещающего. Да
> мало-ли чего ещё.

А какая собственно, разница, зачем юзеру держать интерфейс в promisc'е?
Может ему это доставляет чувство глубокого удовлетворения? :)
Засунуть каждого юзера в отдельный vlan, и пусть они там себе что хотят 
делают. Ну или хотя бы свитч поставить так, чтобы к этому юзеру не попадало 
то, чего ему знать не положено. И вот когда этот юзер зафлудит свитч, чтобы 
насниффить паролей - тогда его просто надо сдать соответствующим органам. 
Хотя сначала все-таки принято договариваться по-хорошему..

-- 
С уважением,
Бушмелев Юрий

Re: [Sysadmins] [JT] Re: Сниферство в локальной сети

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 742 bytes --]

Vyatcheslav Perevalov пишет:
> В сообщении от 25 августа 2008 Aleksey Avdeev написал(a):
>>  А шлюз в виртуалке держать, например. (Внешний интерфейс в бридж,
>> один из интерфейсов VN -- туда же).
> 
> А алиас на реальный интерфейс - не?

   Я не помню упоминания алиасов реального интерфейса в XEN`овской и/или 
OVZ`шной документации (как альтернатива использованию бриджей там 
проброс железки идёт).

> 
> Это корпоративный юзер?

   Нет, вполне себе домашний. Но успевший вкусить прелесть виртуалок 
(понравилось).

PS: Я, например, при подключении к Корвине виртуалку с pptp клиентом 
использую.

PPS: Среди простых домашних юзверей и админы с разработчиками 
попадаются... ;-)

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]

Re: [Sysadmins] [JT] Re: Сниферство в локальной сети

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 725 bytes --]

Alexei V. Mezin пишет:
> Vyatcheslav Perevalov пишет:
>> В сообщении от 25 августа 2008 Alexei V. Mezin написал(a):
>>> А чего, интерфейс в promisc-mode уже преступление? Как впрочем и снифер
>>> (в пассивном режиме, без подмены адресов и т.п.)? Пользователь вполне
>>> легально и безвредно может у себя тот же arpwatch или wireshark
>>> запустить.
>>
>> А зачем ему это надо, позвольте поинтересоваться? 
> Да мало ли зачем?
> - посмотреть по MAC-ам, какие сетевухи нынче в моде
> - половить tcpdump'ом обращения своей программы ко внешнему серверу

   Или обращения из вне к себе.

> - почитать книжку по TCP-Сетям, и на примерах изучать структуру пакетов 
> в сети
> 

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]

Re: [Sysadmins] [JT] Re: Сниферство в локальной сети

[Vyatcheslav Perevalov]

В сообщении от 25 августа 2008 Yuri Bushmelev написал(a):
> А какая собственно, разница, зачем юзеру держать интерфейс в promisc'е?
> Может ему это доставляет чувство глубокого удовлетворения? :)

...в  виде перехваченного трафика POP, ICQ, IRC, etc. (смотри первое 
сообщение по теме). Я предложил вариант ответа на вопрос "как выявить". 
Согласитесь, из множества обычных клиентов сети вряд-ли наберётся один-два 
у кого постоянно включен promisc. А уж коли у кого включен, у того имеется 
возможность (дальнейшие рассуждения относятся к области юрипруденции, 
здесь - офтоп)...

-- 
Всего хорошего
		/vip

Re: [Sysadmins] [JT] Re: Сниферство в локальной сети

[Vyatcheslav Perevalov]

В сообщении от 25 августа 2008 Aleksey Avdeev написал(a):
> PPS: Среди простых домашних юзверей и админы с разработчиками
> попадаются... ;-)

Ну ни за что не поверю, что админ сети-провайдера ни одного из них в лицо 
или за бутылочкой "чего-нибудь" ни разу не видел.

-- 
Всего хорошего
		/vip

Re: [Sysadmins] [JT] Re: Сниферство в локальной сети

[Alexei V. Mezin]

Vyatcheslav Perevalov пишет:
> В сообщении от 25 августа 2008 Yuri Bushmelev написал(a):
>> А какая собственно, разница, зачем юзеру держать интерфейс в promisc'е?
>> Может ему это доставляет чувство глубокого удовлетворения? :)
> 
> ...в  виде перехваченного трафика POP, ICQ, IRC, etc. (смотри первое 
> сообщение по теме). Я предложил вариант ответа на вопрос "как выявить". 

Так в том и дело, что выявить нельзя. Есть множество вполне законных 
причин держать интерфейс в promisc. А то получается как в анекдоте "ну 
тогда и за изнасилование судите, инструмент ведь тоже есть".

Re: [Sysadmins] [JT] Re: Сниферство в локальной сети

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 588 bytes --]

Vyatcheslav Perevalov пишет:
> В сообщении от 25 августа 2008 Aleksey Avdeev написал(a):
>> PPS: Среди простых домашних юзверей и админы с разработчиками
>> попадаются... ;-)
> 
> Ну ни за что не поверю, что админ сети-провайдера ни одного из них в лицо 
> или за бутылочкой "чего-нибудь" ни разу не видел.

   А смысл мне _специально_ знакомится с админом провайдера? ;-) (Не все 
люди любят общаться.)

PS: Вот если просьба чего нибудь этового (типа возможности внешнего IP 
через vlan) переросла в знакомство и общение -- тогда да. ;-)

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]

Re: [Sysadmins] [JT] Re: Сниферство в локальной сети

[Aleksey Avdeev]

[-- Attachment #1: Type: text/plain, Size: 1045 bytes --]

Alexei V. Mezin пишет:
> Vyatcheslav Perevalov пишет:
>> В сообщении от 25 августа 2008 Yuri Bushmelev написал(a):
>>> А какая собственно, разница, зачем юзеру держать интерфейс в promisc'е?
>>> Может ему это доставляет чувство глубокого удовлетворения? :)
>>
>> ...в  виде перехваченного трафика POP, ICQ, IRC, etc. (смотри первое 
>> сообщение по теме). Я предложил вариант ответа на вопрос "как выявить". 
> 
> Так в том и дело, что выявить нельзя. Есть множество вполне законных 
> причин держать интерфейс в promisc. А то получается как в анекдоте "ну 
> тогда и за изнасилование судите, инструмент ведь тоже есть".

   +1

   Вот если свич специально глушит начинают -- тогда повод разбираться 
уже есть.

   В противном же случаи (при отсутствии с моей стороны деструктивных 
действий) -- не вижу причин заставляющих админа провайдера 
интересоваться тем, что и как именно у меня (на моём оборудовании) 
сделано. (Повторюсь: Вот если я начинаю сетку рушить -- тогда другое дело.)

-- 

С уважением. Алексей.



[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 552 bytes --]

Re: [Sysadmins] [JT] Re: Сниферство в локальной сети

[Vyatcheslav Perevalov]

В сообщении от 25 августа 2008 Alexei V. Mezin написал(a):
> Так в том и дело, что выявить нельзя. Есть множество вполне законных
> причин держать интерфейс в promisc. 

Не обязательно каждый promisc-интерфейс ворует трафик. Но обязательно каждый 
интерфейс, ворующий трафик, находится в promisc. Это его неотъемлимое 
свойство. Дальнейшее доказательство - из области формальной логики, 
социальной инженерии, юриспруденции.

> А то получается как в анекдоте "ну 
> тогда и за изнасилование судите, инструмент ведь тоже есть".

Для доказательства вины необходимо наличие:
1. Возможность совершения деяния.
2. Мотив.
3. Инструмент.
4. Наличие желания совершения деяния (дословно не помню, как называется, я 
не юрист).

При условии доказанности этих четырёх пунктов вину наши отечественные юристы 
считают доказанной. В данном же случае доказаны только два пункта - 
инструмент и возможность (считаем, что физическое присутствие субъекта за 
компом необязательно). 

ЗЫ: Более по данной теме я беседу прекращаю, ибо сваливаемся в жестокий 
офтоп

-- 
Всего хорошего
		/vip

Re: [Sysadmins] Сниферство в локальной сети

[Denis Kuznetsov]

[-- Attachment #1: Type: text/plain, Size: 464 bytes --]

В сообщении от Monday 25 August 2008 16:18:20 Vladimir V. Kamarzin написал(а):
> >>>>> On 25 Aug 2008 at 18:48 "a" == airgunster  writes:
>
> a> Всем привет, прошу у вас помощи, у меня в сети появился снифер, который
> a> грабит весь трафик, включая ICQ, POP и т.д.  Подскажите как боротся с
> a> сниферами в сети?
>
> Засунуть каждого юзера в отдельный vlan.

ихо не поможет... не будем забывать о переполнении таблицы мак-адресов у 
свича...

-- 
Денис Кузнецов

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Sysadmins] Сниферство в локальной сети

[Alex Gorbachenko]

[-- Attachment #1: Type: text/plain, Size: 198 bytes --]

On Mon, 25 Aug 2008 20:59:33 +0700
Vyatcheslav wrote:

>В promisc-mode мак интерфейса не меняется.

promisc mode в сети со свичами бесполезен. 

-- 
np: All That Remains - I Die in Degrees

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Sysadmins] [JT] Re: Сниферство в локальной сети

[Airgunster]

25.08.08, 18:17, "Vyatcheslav Perevalov":

> В сообщении от 25 августа 2008 Alexei V. Mezin написал(a):
> > А чего, интерфейс в promisc-mode уже преступление? Как впрочем и снифер
> > (в пассивном режиме, без подмены адресов и т.п.)? Пользователь вполне
> > легально и безвредно может у себя тот же arpwatch или wireshark
> > запустить.
> А зачем ему это надо, позвольте поинтересоваться? Учитывая то, что к 
> администрированию сети пользователь не имеет никакого отношения? К тому же 
> plain-текстом по сети идут не только пароли, но и другая инфа. К примеру, 
> IRC. Или аська. Да элементарно, набрать статистику посещения сайтов 
> определённого содержания, а потом шантажировать посещающего. Да мало-ли 
> чего ещё.
> -- 
> Всего хорошего
> 		/vip
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins

Хотел ответить тоже что и Вы написали, впринципе понятно решение этой проблемы, найти и уничтожить :)

Re: [Sysadmins] [JT] Re: Сниферство в локальной сети

[Airgunster]

А может кто подскажет ещё как в Wireshark определить снифер в сети?

Re: [Sysadmins] Сниферство в локальной сети

[ABATAPA]

25 августа 2008, Denis Kuznetsov написал:
> ихо не поможет... не будем забывать о переполнении таблицы мак-адресов у
> свича...
Тогда уж не забывает о port security, и о "прямых руках" администратора.

-- 
ABATAPA

Re: [Sysadmins] Сниферство в локальной сети

[Sergey Shilov]

В сообщении от Monday 25 August 2008 22:59:03 Denis Kuznetsov написал(а):

> > Засунуть каждого юзера в отдельный vlan.
>
> ихо не поможет... не будем забывать о переполнении таблицы мак-адресов у
> свича...
С isolated vlan на каждом юзер-порту?


-- 
С уважением
Сергей Шилов.

Re: [Sysadmins] Сниферство в локальной сети

[Vladimir V. Kamarzin]

>>>>> On 26 Aug 2008 at 01:59 "DK" == Denis Kuznetsov writes:

>> a> Всем привет, прошу у вас помощи, у меня в сети появился снифер,
>> a> который грабит весь трафик, включая ICQ, POP и т.д.  Подскажите
>> a> как боротся с сниферами в сети?
>> Засунуть каждого юзера в отдельный vlan.

DK> ихо не поможет... 

btw, я конечно не имею в виду использование говносвитчей. Каждого юзера
следует засунуть в нормальный untagged vlan, которые следует пробросить
транком на рутер. Т.е. весь трафик пойдёт через рутер.

DK> не будем забывать о переполнении таблицы мак-адресов
DK> у свича...

Для предотвращения переполнения MAC-таблицы включается port-security. Опять
же, даже в случае переполнения MAC-таблицы vlan-ы продолжают
работать, т.е. свитч переходит в режим хаба, но трафик не выходит за пределы
того vlan, которому принадлежит атакующий.

Небольшая обзорная статья на тему ethernet-атак:
http://www.uni.ru/articles.php?action=show&id=1

-- 
vvk

Postfix page on f.i: http://freesource.info/wiki/Dokumentacija/Postfix

Russian Postfix irc: irc.freenode.net #postfix-ru

Re: [Sysadmins] [JT] Re: Сниферство в локальной сети

[Alex Gorbachenko]

[-- Attachment #1: Type: text/plain, Size: 182 bytes --]

On Tue, 26 Aug 2008 10:52:21 +0400
Airgunster wrote:

>А может кто подскажет ещё как в Wireshark определить снифер в сети?

никак.

-- 
np: Fear My Thoughts - Soul consumer

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Sysadmins] [JT] Re: Сниферство в локальной сети

[Airgunster]

27.08.08, 09:41, "Alex Gorbachenko":

> On Tue, 26 Aug 2008 10:52:21 +0400
> Airgunster wrote:
> >А может кто подскажет ещё как в Wireshark определить снифер в сети?
> никак.
> -- 
> np: Fear My Thoughts - Soul consumer

Хорошо, а тогда как это можно сделать имея OS Linux на борту своей машины?)

Re: [Sysadmins] [JT] Re: Сниферство в локальной сети

[Alex Gorbachenko]

[-- Attachment #1: Type: text/plain, Size: 272 bytes --]

On Wed, 27 Aug 2008 10:03:54 +0400
Airgunster wrote:

>Хорошо, а тогда как это можно сделать имея OS Linux на борту своей
>машины?)

никак. в общем случае нет способа гарантированно найти интерфейс в
promiscuous mode. 

-- 
np: Fear My Thoughts - Lost in black

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Sysadmins] [JT] Re: Сниферство в локальной сети

[Alex Gorbachenko]

[-- Attachment #1: Type: text/plain, Size: 375 bytes --]

On Wed, 27 Aug 2008 10:18:31 +0400
Alex wrote:

>никак. в общем случае нет способа гарантированно найти интерфейс в
>promiscuous mode. 

но если очень хочется попробовать, то:

http://web.archive.org/web/20050221103207/http://www.robertgraham.com/pubs/sniffing-faq.html

читать "2.5 How can I detect a packet sniffer?"

-- 
np: Fear My Thoughts - Lost in black

[-- Attachment #2: signature.asc --]
[-- Type: application/pgp-signature, Size: 197 bytes --]

Re: [Sysadmins] [JT] Re: Сниферство в локальной сети

[Airgunster]

27.08.08, 10:23, "Alex Gorbachenko":

> On Wed, 27 Aug 2008 10:18:31 +0400
> Alex wrote:
> >никак. в общем случае нет способа гарантированно найти интерфейс в
> >promiscuous mode. 
> но если очень хочется попробовать, то:
> http://web.archive.org/web/20050221103207/http://www.robertgraham.com/pubs/sniffing-faq.html
> читать "2.5 How can I detect a packet sniffer?"
> -- 
> np: Fear My Thoughts - Lost in black

Попробовать хочется) Спасибо.

Re: [Sysadmins] [JT] Re: Сниферство в локальной сети

[Mykola S. Grechukh]

2008/8/27 Alex Gorbachenko <agent_>:
> On Wed, 27 Aug 2008 10:03:54 +0400
> Airgunster wrote:
>
>>Хорошо, а тогда как это можно сделать имея OS Linux на борту своей
>>машины?)
>
> никак. в общем случае нет способа гарантированно найти интерфейс в
> promiscuous mode.

можно искуственно сформировать ethernet пакет на левый mac, внутрь
сунуть icmp echo на ip предполагаемого сниффера в promiscuos. Если
ответит - значит он действительно в promisc.

Re: [Sysadmins] Сниферство в локальной сети

[Vladimir A. Svyatoshenko]

On Mon, 25 Aug 2008 20:58:38 +0700
Vyatcheslav Perevalov wrote:

> В сообщении от 25 августа 2008 Airgunster написал(a):
> > Подскажите как боротся с сниферами в сети?
> 
> Бейсбольной битой (как гуманный вариант - линейкой). Как выявить -
> искать интерфейсы в promisc-mode. Более точно подсказать сейчас не
посмотрите на ettercap. Если память не
изменяет он умеет определять машины с интерфейсами в режиме
прослушивания.

Re: [Sysadmins] Сниферство в локальной сети

[Airgunster]

Спасибо за дельную штуку.

> On Mon, 25 Aug 2008 20:58:38 +0700
> Vyatcheslav Perevalov wrote:
> > В сообщении от 25 августа 2008 Airgunster написал(a):
> > > Подскажите как боротся с сниферами в сети?
> >
> > Бейсбольной битой (как гуманный вариант - линейкой). Как выявить -
> > искать интерфейсы в promisc-mode. Более точно подсказать сейчас не
> посмотрите на ettercap. Если память не
> изменяет он умеет определять машины с интерфейсами в режиме
> прослушивания.
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>

Re: [Sysadmins] [JT] Re: Сниферство в локальной сети

[Sergey Alembekov]

В сообщении от Monday 25 August 2008 19:40:12 Vyatcheslav Perevalov 
написал(а):
> 4. Наличие желания совершения деяния (дословно не помню, как называется, я
> не юрист).
Преступный умысел


-- 
Regards, Sergey Alembekov
ALTLinux Team
xmpp: rt at jabber.ru

Re: [Sysadmins] [JT] Re: Сниферство в локальной сети

[Evgeny Karpuhin]

В сообщении от Wednesday 27 August 2008 11:20:26 Mykola S. Grechukh 
написал(а):
> 2008/8/27 Alex Gorbachenko <agent_>:
> > On Wed, 27 Aug 2008 10:03:54 +0400
> >
> > Airgunster wrote:
> >>Хорошо, а тогда как это можно сделать имея OS Linux на борту своей
> >>машины?)
> >
> > никак. в общем случае нет способа гарантированно найти интерфейс в
> > promiscuous mode.
>
> можно искуственно сформировать ethernet пакет на левый mac, внутрь
> сунуть icmp echo на ip предполагаемого сниффера в promiscuos. Если
> ответит - значит он действительно в promisc.

http://www.xakep.ru//magazine/xa/079/046/1.asp

-- 
WBR, Evgeny Karpuhin.

Re: [Sysadmins] [JT] Re: Сниферство в локальной сети

[Gennadiy Redko]

Airgunster пишет:
> 27.08.08, 09:41, "Alex Gorbachenko":
> 
>> On Tue, 26 Aug 2008 10:52:21 +0400
>> Airgunster wrote:
>>> А может кто подскажет ещё как в Wireshark определить снифер в сети?
>> никак.
>> -- 
>> np: Fear My Thoughts - Soul consumer
> 
> Хорошо, а тогда как это можно сделать имея OS Linux на борту своей машины?)

Вообще-то это задача коммутатора.
Если пакеты не широковещательные и не многоадресные, то коммутатор 
не должен их отсылать куда-либо, кроме порта назначения.

Можно заставить коммутатор транслировать все пакеты на все порты, 
генерируя больше макадресов, чем способен хранить кэш коммутатора.
Но в этом случае такой узел легко найти по базе данных макадресов 
коммутатора.

Можно, для борьбы со снифингом,  выставить на портах коммутатора 
ограничение в 1 макадрес на порт.

Но все это решается другими средствами.
Как бы Вы не старались обойти в связи с решением этой проблемы 
покупку нормального управляемого коммутатора не получится...

Re: [Sysadmins] [JT] Re: Сниферство в локальной сети

[Airgunster]

Нормального это какого? У меня вот такой стоит http://www.3com.com/products/en_US/detail.jsp?tab=features&pathtype=purchase&sku=3CBLSG48 тоже управляемый, но говорят не очень хороший. 

> Airgunster пишет:
> > 27.08.08, 09:41, "Alex Gorbachenko":
> >
> >> On Tue, 26 Aug 2008 10:52:21 +0400
> >> Airgunster wrote:
> >>> А может кто подскажет ещё как в Wireshark определить снифер в сети?
> >> никак.
> >> --
> >> np: Fear My Thoughts - Soul consumer
> >
> > Хорошо, а тогда как это можно сделать имея OS Linux на борту своей машины?)
> Вообще-то это задача коммутатора.
> Если пакеты не широковещательные и не многоадресные, то коммутатор
> не должен их отсылать куда-либо, кроме порта назначения.
> Можно заставить коммутатор транслировать все пакеты на все порты,
> генерируя больше макадресов, чем способен хранить кэш коммутатора.
> Но в этом случае такой узел легко найти по базе данных макадресов
> коммутатора.
> Можно, для борьбы со снифингом,  выставить на портах коммутатора
> ограничение в 1 макадрес на порт.
> Но все это решается другими средствами.
> Как бы Вы не старались обойти в связи с решением этой проблемы
> покупку нормального управляемого коммутатора не получится...
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>

Re: [Sysadmins] [JT] Re: Сниферство в локальной сети

[Gennadiy Redko]

Airgunster пишет:
> Нормального это какого? У меня вот такой стоит http://www.3com.com/products/en_US/detail.jsp?tab=features&pathtype=purchase&sku=3CBLSG48 тоже управляемый, но говорят не очень хороший. 
Не могу Вам сказать.
Посмотрите сами, можно ли включить ограничение на количество 
макадресов и мониторить макадреса на портах.

"Нормальный" - это :
http://www.3com.com/products/en_US/detail.jsp?tab=features&pathtype=purchase&sku=3CR17662-91
например.