|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Igor O. Ladygin 2:5020/400 08 Sep 2006 03:18:57
To : Aleksey Barabanov
Subject : Re: сниффер как найти
--------------------------------------------------------------------------------
"Aleksey Barabanov" <abb@wessen.ru> wrote in message
news:1dcjs3-3t4.ln1@abb.wessen.ru...
> Oleg Sehin wrote:
>
>> /ъ щ ш ъ `щ ш щъ щ/ *Пpиветствyю тебя, All !* /.` . щ .ъ шъ щ ъ/
>> /щ ` .ъ ъ щ щш ъ ш щ ш щ ъ ш ъ . ` щ ш ` ш ъ щ
>> щ ш
>> шъ/
>>
>> как найти сабж в локалке ?
>> что вообще можно увидеть tcpdump"ом ?
>
> Почти... Точнее надо воспользоваться отсутствием апаратной фильтрации
> и тем
> фактом, что стандартный стек на неё расчитывает. Т.е. сниффер обычно
> пропускает "несвои" пинги, т.е. пинги со "своим" адресом, но чужим
> маком.
> Hо их можно заблокировать. Правда тоже не стандартно. Hапример с
> помощью
> http://www.barabanov.ru/patches/iptables-mac-dst.patch.
tcpdump можно запустить на интерфейсе без IP...
> А вот в отношении
> arp теста простого решения нет. Т.е. в линуксовом стеке просто нет
> нужного
> средства. Дописывать arptable меня что-то пока ломает. И поэтому
> небродкастный арп сниффером воспринимается как бродкастный.
>
> Это в отношении линукса. С виндой чуть хуже. Hо арп-тест и её
> прошибает.
>
> И совсем экзотика - наблюдение за активностью резолвера. Hапример если
> подозреваем что некоторый траффик сниффится, то вставляем в него
> какой-нибудь совершенно нереальный fqdn и ждем, кто его попытается
> отрезолвить. Кто запросил или с локального dns или с траффика наружу
> на 53
> именно этот fqdn, тот и гад!
Это уж для совсем тупых любопытных...
> --
> Bye.
> Aleksey Barabanov <alekseybb at mail.ru>
>
> Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
Sent by ASSA
--- ifmail v.2.15dev5.3
* Origin: Zabaykal Computer Networks (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
