-
Сниффер в сети
Как по вашему мнению, есть ли возможность поймать сниффер в локальной сети, или хотя бы определить, есть ли он?
Краем уха слышал, что есть определенные программные средства для исследования сети на снифферы, но при этом бытует мнение, что они малоэффективны и вообще грамотно поставленный сниффер невозможно поймать.
Был ли опыт в этом вопросе у кого-либо?
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
Kornev
Как по вашему мнению, есть ли возможность поймать сниффер в локальной сети, или хотя бы определить, есть ли он?
Краем уха слышал, что есть определенные программные средства для исследования сети на снифферы, но при этом бытует мнение, что они малоэффективны и вообще грамотно поставленный сниффер невозможно поймать.
Был ли опыт в этом вопросе у кого-либо?
В грамотно построенной сети сниффер (точнее и грамотнее сказать "компьютер с активным сниффером") не нужно ловить, ибо:
1. в современной сети он попросту не будет работать Причина проста - современная сеть строится на базе свитчей. А свитч как известно
- "раскидывает" трафик сообразно бортовой базе соответствия "порт-MAC". Таким образом если каждый ПК сети включен в индивидуальный порт свитча, то он будет получать только адресованный ему трафик и ничего более (плюс еще конечно широковещательны трафик, но он на то и широковещательный - он изначально адресован всем). При этом любой управляемый свитч позволяет админу мониторить трафик любого порта, зеркалируя его на назначенный админом порт мониторинга
- Свитчи позволяют организовывать VLAN, что позволяет изолировать различные отделы и группы друг от друга ...
- более или менее продвинутые свитчи позволяют в реальном времени мониторить загрузку портов и кучу иных данных, для поиска аномалий и шутников
Последствие - без направленных против свитчей ухищрений прослушивать чужой трафик в такой сети физически невозможно. А любое ухищрение - это уже активные действия, основанные на генерации и отправке специальным образом формированных пакетов - и это весьма заметное действие ... подробнее для начала советую почитать про ARP-спуфинг http://ru.wikipedia.org/wiki/ARP-spoofing
2. Любая более или менее серьезная и современная программа, передающая или принимающая что-то ценное, будет применять шифрование, что делает перехват данных практически бессмысленным. Это наиболее эффективная мера - куда проще зашифровать все передаваемое (применяя подключения через VPN-туннели, или шифрование в различном ПО - например SSL), чем вести "охоту на ведьм"
В остальном классический сниффер - это чисто пассивная система, которая только "слушает сеть" и ничего никуда не передает - такой сниффер может быть аппаратным (это портативное устройство, имеет вход и выход, включается в разрыв кабеля либо подключается к кабелю как обычный ПК, и пропускает данные в оба направления, но при этом захватывает все проходящие пакеты) обнаружить его крайне сложно ... в некоторых случаях (к аппаратным решениям это не относится) можно выловить ПК, сетевые карты которых стоят в promiscuous mode - есть разные методики, но 100% эффективных нет (я когда-то довольно успешно ловил снифферы в сети, используя знания о механизмах их работы)
-
-
Спасибо.
Такого подробного ответа и не ожидал прочесть
-
Сообщение от
Kornev
Спасибо.
Такого подробного ответа и не ожидал прочесть
Это же моя основная работа - в корпоративных сетях чего только не поймаешь В добавление к вышесказанному - админу крупной сети (а точнее - службе информационной безопасности, если таковая есть) в положение о защите информации или регламент по работе в сети позиции о то, что строжайше запрещается:
- самостоятельное подключение компьютера к сети или изменение сетевых настроек подключенного к сети компьютера: имя компьютера, IP-адрес, MAC-адрес, параметры протоколов и т.п.
- самостоятельная установка и использование программного обеспечения, взаимодействующего с локальной компьютерной сетью, сетью Интернет и электронной почтой, в том числе реализующее
- маршрутизацию пакетов и раелизацию функционала Proxy-серверов;
- обмен с использованием нестандартных высокоуровневых протоколов, не прошедших согласование и не зарегистрированных в базе данных протоколов, разрешенных к использованию;
- мониторинг локальной сети или ее отдельных сегментов, анализ топологии компьютерной сети;
- сканирование портов TCP/IP и воздействие на них, перехват и генерацию пакетов;
- тестирование защищенности серверов и персональных компьютеров от хакерских атак и вирусов;
- сканирование локальной сети с целью поиска открытых ресурсов;
- атаку хосты и сервера любого типа
Пока это не сдалано, наказать пойманного юзера нереально, так как он в принципе не нарушает закона (злой умысел в использовании синиффера еще нужно доказать - а это крайне сложно). А так сниффер сразу подпадает под несколько выше перечисленных запретов, и расписавшемуся в регламенте юзеру можно впорлне законно и официально сделать очень больно (например, лишить премии или вкачать выговор). И это же дает базис для проведения поисков пресловутых снифферов, инспекций и т.п.
-
-
Согласен с Олегом, особенно если снифер работает без установки за исключением некоторых вариантов которые используют сторонние драйвера, коих установить невозможно без наличия прав администратора. В лучшем случае можно на компьютере пользователя найти папку со складом файлов... опять таки надо доказать что пользователь чтото паерехватывал а не принес файлы из дома хотя во многих организациях флешку к компу не подключить... как сказал Олег в момент работы машинку со снифером поймать можно, тут многое зависит от желания и опыта Поведение такой машинки в сети бывает очень интересное
-
-
Junior Member
- Вес репутации
- 53
Простите уж...Я пользовался снифферами, чтобы отследить свою подругу...Знаю- это неэтично и тд....
Так вот - сниффер снятый мною с ХАКЕР_пака принес с собой не только сведения но и кучу вредоносов...Проклятье...Да простит меня мирная сетевая общественность...
-
digitally uknown, били потом больно?
-