|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Aleksey Barabanov 2:5020/400 31 Aug 2006 19:40:18
To : Oleg Sehin
Subject : Re: сниффер как найти
--------------------------------------------------------------------------------
Oleg Sehin wrote:
> /ъ щ ш ъ `щ ш щъ щ/ *Пpиветствyю тебя, All !* /.` . щ .ъ шъ щ ъ/
> /щ ` .ъ ъ щ щш ъ ш щ ш щ ъ ш ъ . ` щ ш ` ш ъ щ щ ш
> шъ/
>
> как найти сабж в локалке ?
> что вообще можно увидеть tcpdump"ом ?
Почти... Точнее надо воспользоваться отсутствием апаратной фильтрации и тем
фактом, что стандартный стек на неё расчитывает. Т.е. сниффер обычно
пропускает "несвои" пинги, т.е. пинги со "своим" адресом, но чужим маком.
Hо их можно заблокировать. Правда тоже не стандартно. Hапример с помощью
http://www.barabanov.ru/patches/iptables-mac-dst.patch. А вот в отношении
arp теста простого решения нет. Т.е. в линуксовом стеке просто нет нужного
средства. Дописывать arptable меня что-то пока ломает. И поэтому
небродкастный арп сниффером воспринимается как бродкастный.
Это в отношении линукса. С виндой чуть хуже. Hо арп-тест и её прошибает.
И совсем экзотика - наблюдение за активностью резолвера. Hапример если
подозреваем что некоторый траффик сниффится, то вставляем в него
какой-нибудь совершенно нереальный fqdn и ждем, кто его попытается
отрезолвить. Кто запросил или с локального dns или с траффика наружу на 53
именно этот fqdn, тот и гад!
--
Bye.
Aleksey Barabanov <alekseybb at mail.ru>
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
--- ifmail v.2.15dev5.3
* Origin: home (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: сниффер как найти 
