|
ru.internet.security
- RU.INTERNET.SECURITY ---------------------------------------------------------
From : Vadim Naimushin 2:5080/101 26 Jul 2002 07:57:56
To : Ivan Fedulov
Subject : Re: про сниферы
--------------------------------------------------------------------------------
26 Jul 2002 00:39, you wrote to me:
AM>>>>>> как в _свичyемой_ сети найти комп-снифеp?
AM>>>>>> заpанее пpимного благодаpен, бyдy pад любомy Вашемy ответy...
IF>>>>> А разве в свичуемых сетях сниффинг возможен?
IF> [...skipped...]
VN>> Угу. В свичуемой сетке сниффер эффективен только в твоем сегменте. Из
VN>> других только бродкасты долетать будут. Это если не официальный
VN>> сниффинг, а если официальный, например в целях обнаружения вторжений,
VN>> то можно сниффер посадить на мониторящий порт коммутатора. Там весь
VN>> трафик увидишь.
IF> А нельзя ли свич какнть заставить, посылать пакеты тебе, подменив свой
IF> MAC? Как то же свич в начале узнаёт, у какой карты какой MAC...
Атакуемую тачку ложными ARP пакетами можно заставить вместо например сервера в
серверном сегменте посылать пакеты в твой сегмент. А чтоб атакуемый ничего не
заметил тебе нужно переправлять его пакеты на тот сервер. Hу естественно в своем
сегменте поставив сниффер :) Атака называется ARP Poisoning.
Тулзы есть, но не дам, так как эха всеж не про хак, а про секурити :)
Избавиться от этой атаки практически невозможо. Все, за редким исключением,
реализации IP стека в различных ОС не помнят посылали ли они ARP запросы или
нет, а по приходду ARP ответов просто правят свою ARP таблицу.
В принципе на ответственных информационных потоках можно использовать
статическую ARP таблицу, но это гиморно.
Vadim
--- GEcho 1.20/Pro
* Origin: Good night everybody. (2:5080/101)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
