LINUX.ORG.RU
ФорумAdmin

tcpdump


0

0

Если я запускаю в сети tcpdump на своей машине, то где-нибудь на другой машине это можно узнать (Например на proxy)?

★★★★★

афаик, это почти нереально. слышал про какую-то тулзу, которая может выкупать, работает ли в сети сетевушка в promiscous mode, насколько помню, она с некоторыми интервалами нагружает сеть эзэрнет-фреймами и сравнивает время отклика разных сетевух - у той, которая снифит всё подряд время отклика будет больше... но имхо, это не слишком надёжный метод - наверное, на практике никто не будет заморачиваться и выкупать сниферы таким образом - мне так кажется.

bsh ★★★
()
Ответ на: комментарий от birdie

и что дальше ? как это можно ? интересен механизм .

мы же не виндузятники блин , чтобы пологаться что вот эта мега тулза умеет колдовать ?

j262 ★★
()
Ответ на: комментарий от j262

"Отметим, что сниффер - это пассивная программа. При правильной реализации сниффер не оказывает никакого влияния на сеть и не может быть обнаружен программными методами. Существующие методики обнаружения снифферов основываются на ошибках в реализации. Примером такого способа является следуюший:

Проверяющий создает ethernet фрейм содержащий к качестве MAC адреса получателя адрес, неравный адресу подозреваемой машины. В качестве IP адреса получателья используется тем не менее IP подозреваемой машины. Пакет высылается в сеть. Идея состоит в том, что если сетевой интерфейс находится в promisc режиме то пакет с MAC не соответствующий MAC адресу карточки все равно пройдет через нее и достигнет уровня OS. Остается в качестве IP payload положить например ICMP echo-request или TCP SYN для некоторого well-known открытого порта. Если вы получили ответ, значит карточка находится в смешаном режиме. Если нет - то возможно что автор сниффера умнее вас."

цитата из ЛОРовского секьюрити ФАКа :)

и вот то, о чём я говорил в предыдущем посте:

"Второй способ проверки основан на том, что теоретически OS машины сетевой интерфейс которой находится в смешаном режиме, должна обрабатывать бОльшее число пакетов чем та, которая слушает только пакеты для себя. Проверка производится так - в сегменте сети создается болшое количество траффика, не имеющего в качестве адреса получателя подозреваемую машину. После этого сравнивается время отклика (например на ping) для подозреваемой машины и гарантированно <<чистой.>> Если подозреваемая машина сниффит сеть то на нее должна возрасти нагрузка по сравнению с <<чистой>> машиной. Способ не работает, если вы не способны создать загрузку в сети достаточно серьезную для <<прогрузки>> сниферящей машины. Т.е. прогрузить E15K на 10Mb ethernet врят ли возможно."

http://www.opennet.ru/base/faq/lor_security_faq.txt.html

bsh ★★★
()
Ответ на: комментарий от bsh

> При правильной реализации сниффер не оказывает никакого влияния на сеть

при правильной реализации сети(например свитчи а не хабы) ethernet снифер обязан себя обнаружить, иначе он просто не увидит ничего "полезного".

Chubaka
()
Ответ на: комментарий от Chubaka

например проползти по проводу до свича?

извини за иронию, просто очень интересно как сниффер может себя проявить для перехвата пакета в сети построеной на свичах?

anonymous
()
Ответ на: комментарий от anonymous

> извини за иронию, просто очень интересно как сниффер может себя проявить для перехвата пакета в сети построеной на свичах?

ирония не в тему или не в теме
не "может" а _обязан_
из за особенностей коммутации портов в девайсе
если звездой(хаб), то да, пакет дублируется на все порты и здесь достаточно слушать свой NIC
в свичах она организована "каждый с каждым"( по таблице маков свитч коммутирует только 2 порта, если это не броадкаст) и тут никакие пассивные методы не работают, только вещами вроде arp poisoning/spoofing, которые в общих случаях обнаруживаются на раз.

Chubaka
()
Ответ на: комментарий от Chubaka

>arp poisoning/spoofing спасибо, слова которые я хотел услышать ты сказал, любопытство удовлетворено ;-)

anonymous
()
Ответ на: комментарий от anonymous


> >arp poisoning/spoofing спасибо, слова которые я хотел услышать ты сказал,
> любопытство удовлетворено ;-)
вот это попрошу тоже отметить особо - "в общих случаях обнаруживаются на раз". со всеми вытекающими. :)

Chubaka
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.