сниффер

[Николай]

Подскажи мне как ты определишь, что я сниферю ВСЕ пакеты в сети, если я начну сниферить под например юниксом, запретив отсылку любых пакетов с интерфейса и юзая корректно снифер? Любопытно, честно...

ipchains -F
ipchains -P input ACCEPT
ipchains -P output DENY
ipchains -P forward DENY

ifconfig eth0 -arp

echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

Возможно можно получше, но это запретит, если не ошибаюсь, любую активность машины снифера. На крайняк перерезать жилы сетевого кабеля, ответственные за отправку И тишина...

[Broken Sword]

Tasya, насчет статьи http://void.ru/content/1131. Вот ее начало:

Большинство пакетных снифферов работают на обычных компьютерах с обычныс стеком TCP/IP. Это значит, что если ты отправишь запрос на эти компьютеры, они ответят.

Все. Именно данное положение принято авторами всех подобных статей за аксиому, что является абсурдом. Это всего лишь правило, изложенное в RFC к TCP/IP.

Не исключаю варианта, что 90% снифферов именно потому и палятся, что попросту никак себя не скрывают, но если добавить в любой снифер пару строк кода, (как то - запрет отсылки ответов на запросы), или установить простой фаер, то обнаружить их будет невозможно.

[Lray]

Tasya, тебя очень беспокоит, что тебя снифферят?
Ты передаешь по своему каналу особо ценные и секретные данные?

Если да, подыми грамотное шифрование и забудь о снифферах.

[Ananda Soul]

Lray пасиба большое за совет, так и сделала
если бы меня интересовало как защититься - я бы так и спросила - для меня это не вопрос и какие бы данные я не передавала - это мои данные - и пусть это будет разговор о погоде - мне не приятно что его прочли.
Вопрос принципа - доказать, что воровство имеет место быть.
Я спросила как и сказала что на 98 винде получилось (просто провели в локалке следственный эксеримент - получилось)
снифф не спрятан и пославлен ногами, доказать надо на 2000 винде.
Вот и все, я думала кто-то сталкивался с подобным, потому тема и была создана.
Спасибо за участие

[mancurt]

Tasya, ну и как же ты подняла грамотное шифрование по совету Lray ?
просто интересно.

И еще, каким способом тебе удалось ввчислить снифер под W98 и почему не получается под W2K?

[Ananda Soul]

mancurt я не экзамене?
Есть прога - ссылку на нее я дала - она написана просто под 98 (запускается и работает только под 98 виндой) - она показала у кого асечный снифер, поэтому на миранду было поставлено шифрование (дать ссылку плугина?) или использую скайп (в нем передача зашифрована автоматически как голоса, как переписки, так и передачи данных: файлов и т.д.) - остальное что выловят - это бесполезная инфа - ничего из нее не вынесут.
Да не в том дело.. просто не приятно что есть крыса, а доказать практически я не могу а чел использует полученную ранее инфу в своих целях

[Hedin]

Tasya, ну если вы определили, что сниффер есть, то наверное и IP машины определили? Что тогда мешает взять админу пару пива, поставить пинговаться сей IP, а админ будет передергивать кабели в свиче. Как только пинг пропадет, так по шнуру к негодяю и попадете (заодно и посмотрев, есть ли сабж на его машине)... потом этим же шнуром его и того... отлупить )

ЗЫ.
98ю винду можно поставить скажем на виртуальную машину (VMware).

[Inky]

Tasya, Брр... Если подходить к вопросу с точки зрения использования софта, написанного другими, то спорить просто неочем...

[Ananda Soul]

Hedin, сниффер спалился утечкой инфы кот была написана 1 раз и никогда не произносилась, далее чел сам прзнался что да, использует сниффер в локалке - но я это никогда не докажу.
Стало дело принципа.
Есть подозрение что сниффер стоит не тока на его машине.
С админом сложнее - он не хочет волны на работе, к тому же говорит что ему не до этого - "ставь шифрование и отстань - работы и так полно"... либо докажи сама...
ладно...
Inky, если ты будешь писать не тока ехидные посты, а и читать ЧТО я прошу - а именно рассказать КАК это сделать не тока при помощи чьего-то софта, то буду тока благодарна,
(это личное к Inky) а комментровать чужие разговоры это может и девченка с мозгами уровня ПТУ и выпускник политеха, (среднестатистический) который косинус угла найти не может...

[Inky]

Tasya,

в локалке стоит сниффер - просекла случайно, доказать сложно, но ведь как-то можно?

1. Если сниф грамотный, ты его НИКАК не спалишь. Существует только возможность дать ему подставные пароли и спалить, когда он попытается ими воспользоватся. Для этого необходимо участие администрации.

пытаются поставить спая на комп - это можно сделать как-то что я не увижу - если на моей машине стоит KillWatcher?
ну конечно помимо этого стоит и антиспай, и AnVir ... если есть дыры в винде я ведь могу и не увидеть что ко мне кто-то залазил по сети?

2. Можно написать трой, который не ловится ничем вышеперечисленным (проверено). Этот софт работает только против того дерьма, которое гуляет по сети и всем давно уже известно. Против грамотных эксклюзивов оно почти бессильно.

3. Дыры на то они и дыры, чтоб в них незаметно влезать. А против них существуют заплатки - единственные эффективные меры.

[Hedin]

Tasya, может это поможет:
http://www.void.ru/content/652
http://www.dengiforum.com/showthread.php?threadid=32934

А вообще вот по этому запросу не так мало всего, причем вроде как толковое. Сам не проверял, просто нет надобности...
http://www.yandex.ru/yandsearch?text...2%E8&stype=www

[Ananda Soul]

ок, пасиб, поглядим... но многое уже читала и оно не подходило но все равно попробуем есче раз
Inky если я к любому делу буду подходит что все сделано грамотно и правильно у меня руки опустятся не поднявшись
но пасиб за совет хоть раз ответил - я заценила

[Inky]

Tasya, к любому делу нужно подходить грамотно. Это вырабатывает полезную привычку. То, что сделано не с полной отдачей - сделано зря.

[Ananda Soul]

Inky не стоит недооценивать противника, но и переоценивать тож
не бывает ничего идеального все ошибаются
а с подходом "не, всё бесполезно, у него наверно все грамотно написано" далеко не поедишь...
чел сам ничего не пишет и использует готовое....
вот и проверим... с отдачей чел работал... или балуемси...
Есть иногда ситуации когда я жалею что я не парень... а так бы "рассказала" что не хорошо воровать...

[Inky]

Tasya, то, что он ворует - еще надо доказать. Показания программного обеспечения ещё не доказательство. Вот если ты впаришь ему какой - то пароль, а он им воспользуется - можно схватить за руку.

[Ananda Soul]

Inky... да как раз мысль о сниффере в сети возникла тока тогда, когда ушла инфа и у него всплыла... всплыла с глазу-на-глаз... и никто этого не слышал... и в глаза впоследствии мне было сказано "да, я включаю снифф - и никому ты ничего не докажешь"...
админ говорит - докажи, буду его шманать - без предлога не имею права лазить в его тачку... уговорила тока посмотреть есть ли в машине такая прога - она там оказалась, но доказать что он ее использует - нет возможности получаецца

[Inky]

Tasya, какого рода инфа к нему попадает? Если это дает ему несанкционированный доступ - то это статья. Тогда тебе прямая дорого в правоохранительные органы - там и админу дадут на всё разрешение.

[InnoSanctum]

Tasya
Эээ.. А можно ли поставить какой-нибудь софт на его машине, который бы высылал тебе инфу о использовании памяти и процессора? вроде ничего уголовного тут нет, тем более если он под подозрением..

Если удастся, делаешь небольной сеанс флуда, следя за его машиной.
Включаешь флудер - у него показатели резко полскакивают, выключаешь - падают.. Потому что сниффер - достаточно ресурсоемкое приложение, особенно если ему приходится обрабатывать 10000 пакетов в секунду

Правда вот где взять такой софт?...

[InnoSanctum]

Tasya, а нельзя ли как-то отслеживать по сети, на сколько используется процессор и память злоумышленника? Если можно, устраиваешь сеанс флуда (пакеты на несуществующий адрес), и у него при включенном сниффере сразу подскакивают все показатели. Прекращаешь флуд - все возвращается в норму.
Но флуд - тоже наказуем

[NoXX]

Tasya, Посмотри ShadowScan - хороший сканер сетки. Имеет кучу функций.
Найдешь здесь: http://www.rsh.kiev.ua/