|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Vladimir Stepanov 2:469/130 10 Sep 2004 11:29:08
To : Cybervlad
Subject : Сниффер по исходящему порту...
--------------------------------------------------------------------------------
09 Sep 04 12:43, Cybervlad wrote to Vladimir Stepanov:
C> В любимом tcpdump Tcp-пакеты с порта >=1024 ловятся так:
C> tcpdump 'ether[35] & 128 > 0' and proto \\tcp
Ага. Я уже успел его полюбить в лице WinDump'a. =)
VS>> hint: по номеру "исходящего порта" я собираюсь отлавливать net send
VS>> сообщения. Причём решение удачно, по-моему, так как, к примеру,
VS>> Commview 4.0 производит захват всех пакетов, которые мне нужны.
C> А другие снифферы - не всех пакетов ловят? ;)
Хехе. Знаешь, в том же Commview я так и не понял, умеет ли он создавать фильтр
типа того что ниже?
=== Cut ===
(src port 137 or src port 138 or src port 139) and (dst port 137 or dst port 138
or dst port 139) and not (dst host 192.168.1.255 or dst host 192.168.2.255)
=== Cut ===
По-моему, нет.
VS>> А при том, что после релогона на машине со сниффером, последний
VS>> отрубается и ничего не сниффит.
C> Релогон обязательно делать? Залочь клавиатуру, да и все, если машина
C> только твоя. А если ты таким способом пытаешься ловить юзеров на их же
C> машинах, так кто им мешает сразу после логона вырубить твой сниффер и
C> делать свое черное дело?
Hее, конечно же. Всё гораздо обычнее... злоумышленник пишет на машину обычного
юзера от имени другого компьютера, на машине юзера я установил сниффер. Потом я
смотрю лог пакетов и нахожу, кто отправил сообщение с поддельным именем.
Я пока что telnet'ом удалённо запускаю WinDump, юзер работает себе и ничего
лишнего не видит. Правда, думаю, поставить его в автозагрузку при логоне.
Vladimir
--- GoldED+/W32 1.1.5-040120
* Origin: (2:469/130)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
