Показано с 1 по 7 из 7.

Сниффер в сети

  1. #1
    Full Member Репутация Репутация Репутация Репутация
    Регистрация
    10.11.2008
    Сообщений
    104
    Вес репутации
    37

    Сниффер в сети

    Как по вашему мнению, есть ли возможность поймать сниффер в локальной сети, или хотя бы определить, есть ли он?
    Краем уха слышал, что есть определенные программные средства для исследования сети на снифферы, но при этом бытует мнение, что они малоэффективны и вообще грамотно поставленный сниффер невозможно поймать.

    Был ли опыт в этом вопросе у кого-либо?

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от Kornev Посмотреть сообщение
    Как по вашему мнению, есть ли возможность поймать сниффер в локальной сети, или хотя бы определить, есть ли он?
    Краем уха слышал, что есть определенные программные средства для исследования сети на снифферы, но при этом бытует мнение, что они малоэффективны и вообще грамотно поставленный сниффер невозможно поймать.

    Был ли опыт в этом вопросе у кого-либо?
    В грамотно построенной сети сниффер (точнее и грамотнее сказать "компьютер с активным сниффером") не нужно ловить, ибо:
    1. в современной сети он попросту не будет работать Причина проста - современная сеть строится на базе свитчей. А свитч как известно
    - "раскидывает" трафик сообразно бортовой базе соответствия "порт-MAC". Таким образом если каждый ПК сети включен в индивидуальный порт свитча, то он будет получать только адресованный ему трафик и ничего более (плюс еще конечно широковещательны трафик, но он на то и широковещательный - он изначально адресован всем). При этом любой управляемый свитч позволяет админу мониторить трафик любого порта, зеркалируя его на назначенный админом порт мониторинга
    - Свитчи позволяют организовывать VLAN, что позволяет изолировать различные отделы и группы друг от друга ...
    - более или менее продвинутые свитчи позволяют в реальном времени мониторить загрузку портов и кучу иных данных, для поиска аномалий и шутников
    Последствие - без направленных против свитчей ухищрений прослушивать чужой трафик в такой сети физически невозможно. А любое ухищрение - это уже активные действия, основанные на генерации и отправке специальным образом формированных пакетов - и это весьма заметное действие ... подробнее для начала советую почитать про ARP-спуфинг http://ru.wikipedia.org/wiki/ARP-spoofing
    2. Любая более или менее серьезная и современная программа, передающая или принимающая что-то ценное, будет применять шифрование, что делает перехват данных практически бессмысленным. Это наиболее эффективная мера - куда проще зашифровать все передаваемое (применяя подключения через VPN-туннели, или шифрование в различном ПО - например SSL), чем вести "охоту на ведьм"

    В остальном классический сниффер - это чисто пассивная система, которая только "слушает сеть" и ничего никуда не передает - такой сниффер может быть аппаратным (это портативное устройство, имеет вход и выход, включается в разрыв кабеля либо подключается к кабелю как обычный ПК, и пропускает данные в оба направления, но при этом захватывает все проходящие пакеты) обнаружить его крайне сложно ... в некоторых случаях (к аппаратным решениям это не относится) можно выловить ПК, сетевые карты которых стоят в promiscuous mode - есть разные методики, но 100% эффективных нет (я когда-то довольно успешно ловил снифферы в сети, используя знания о механизмах их работы)

  4. #3
    Full Member Репутация Репутация Репутация Репутация
    Регистрация
    10.11.2008
    Сообщений
    104
    Вес репутации
    37
    Спасибо.
    Такого подробного ответа и не ожидал прочесть

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,208
    Вес репутации
    3387
    Цитата Сообщение от Kornev Посмотреть сообщение
    Спасибо.
    Такого подробного ответа и не ожидал прочесть
    Это же моя основная работа - в корпоративных сетях чего только не поймаешь В добавление к вышесказанному - админу крупной сети (а точнее - службе информационной безопасности, если таковая есть) в положение о защите информации или регламент по работе в сети позиции о то, что строжайше запрещается:
    - самостоятельное подключение компьютера к сети или изменение сетевых настроек подключенного к сети компьютера: имя компьютера, IP-адрес, MAC-адрес, параметры протоколов и т.п.
    - самостоятельная установка и использование программного обеспечения, взаимодействующего с локальной компьютерной сетью, сетью Интернет и электронной почтой, в том числе реализующее
    - маршрутизацию пакетов и раелизацию функционала Proxy-серверов;
    - обмен с использованием нестандартных высокоуровневых протоколов, не прошедших согласование и не зарегистрированных в базе данных протоколов, разрешенных к использованию;
    - мониторинг локальной сети или ее отдельных сегментов, анализ топологии компьютерной сети;
    - сканирование портов TCP/IP и воздействие на них, перехват и генерацию пакетов;
    - тестирование защищенности серверов и персональных компьютеров от хакерских атак и вирусов;
    - сканирование локальной сети с целью поиска открытых ресурсов;
    - атаку хосты и сервера любого типа

    Пока это не сдалано, наказать пойманного юзера нереально, так как он в принципе не нарушает закона (злой умысел в использовании синиффера еще нужно доказать - а это крайне сложно). А так сниффер сразу подпадает под несколько выше перечисленных запретов, и расписавшемуся в регламенте юзеру можно впорлне законно и официально сделать очень больно (например, лишить премии или вкачать выговор). И это же дает базис для проведения поисков пресловутых снифферов, инспекций и т.п.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Jolly Rojer
    Регистрация
    15.12.2004
    Адрес
    Россия,Новосибирск
    Сообщений
    989
    Вес репутации
    281
    Согласен с Олегом, особенно если снифер работает без установки за исключением некоторых вариантов которые используют сторонние драйвера, коих установить невозможно без наличия прав администратора. В лучшем случае можно на компьютере пользователя найти папку со складом файлов... опять таки надо доказать что пользователь чтото паерехватывал а не принес файлы из дома хотя во многих организациях флешку к компу не подключить... как сказал Олег в момент работы машинку со снифером поймать можно, тут многое зависит от желания и опыта Поведение такой машинки в сети бывает очень интересное
    Начинающим КуЛьХаЦкЕрАм, а так же продвинутым! - http://www.uk-rf.com/glava28.html

  7. #6
    Junior Member Репутация
    Регистрация
    23.01.2010
    Адрес
    интернет и комната
    Сообщений
    100
    Вес репутации
    29
    Простите уж...Я пользовался снифферами, чтобы отследить свою подругу...Знаю- это неэтично и тд....
    Так вот - сниффер снятый мною с ХАКЕР_пака принес с собой не только сведения но и кучу вредоносов...Проклятье...Да простит меня мирная сетевая общественность...

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ВодкуГлыть
    Регистрация
    08.05.2006
    Адрес
    Омск
    Сообщений
    399
    Вес репутации
    132
    digitally uknown, били потом больно?
    Быстро, Качественно, Дёшево - вычеркните лишнее слово.
    http://www.pcmag.ru/images/pcm_it_specialist.png

Похожие темы

  1. Скорость внутри своей сети(сети Wi-Fi роутера)
    От PORSHEvchik в разделе Софт - общий
    Ответов: 0
    Последнее сообщение: 19.11.2011, 16:48
  2. Нет сети и еще ...
    От Smals в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 15.01.2011, 08:53
  3. Ответов: 5
    Последнее сообщение: 15.09.2010, 18:28
  4. Ответов: 3
    Последнее сообщение: 06.11.2009, 18:21

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01032 seconds with 16 queries