|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Oleg Sehin 2:467/116 04 Sep 2006 17:02:31
To : Aleksey Barabanov
Subject : Re: сниффер как найти
--------------------------------------------------------------------------------
31 Авг 06 19:40, Aleksey Barabanov -> Oleg Sehin:
>> что вообще можно увидеть tcpdump"ом ?
AB> Почти... Точнее надо воспользоваться отсутствием апаратной фильтрации
AB> и тем фактом, что стандартный стек на неё расчитывает. Т.е. сниффер
AB> обычно пропускает "несвои" пинги, т.е. пинги со "своим" адресом, но
AB> чужим маком. Hо их можно заблокировать. Правда тоже не стандартно.
AB> Hапример с
AB> помощью http://www.barabanov.ru/patches/iptables-mac-dst.patch. А вот
AB> в отношении arp теста простого решения нет. Т.е. в линуксовом стеке
AB> просто нет нужного средства. Дописывать arptable меня что-то пока
AB> ломает. И поэтому небродкастный арп сниффером воспринимается как
AB> бродкастный.
AB> Это в отношении линукса. С виндой чуть хуже. Hо арп-тест и её
AB> прошибает.
AB> И совсем экзотика - наблюдение за активностью резолвера. Hапример если
AB> подозреваем что некоторый траффик сниффится, то вставляем в него
AB> какой-нибудь совершенно нереальный fqdn и ждем, кто его попытается
AB> отрезолвить. Кто запросил или с локального dns или с траффика наружу
AB> на 53 именно этот fqdn, тот и гад!
а что такое fndn?:)
Всего хорошего, *Oleg*. Bye ! 04 Сен 06 года
... щ ` .ъ ъ щ щш щ ш щ ъ ш ъ . ` щ ш ` ш ъ щ щ ш шъ
--- GoldED+/386 1.1.5-20011130
* Origin: HеТварь а, средство коммуникации. (2:467/116)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: сниффер как найти 