Блин. Прости конечно. Но столько слов написал что я нихера непонял. Либо учись учить (кстати я пользуюсь твоими советами). А по человечески можно понять ребетенка тянущего ручки к огню. И обьяснить по простому, как собутыльнику в заведении.

Я, собственно, и попытался объяснить. По простому. Жаль, если не получилось. Но тяга к знаниям - вещь полезная и похвальная. Но только, если она не сопряжена с желанием кому-нибудь нагадить или что-то украсть (в данном случае - трафик, за который абсолютно непричастный человек платит свои собственные кровные деньги). Впрочем, это тема уже на уровне оффтопика. Прошу прощения - просто мысли вслух. Думаю, никому бы не понравилось, если бы кто-то тренировал свое умение снимать защиту сигнализации на его машине. Или, например, учился бы открывать замки на его квартире. Или я неправ?

мдаа. как всегда - в основном юмористы !

Все что я делаю - это в цельях обучения. мне просто надо сниферами немного возится, по делу. Я не школьник и не хочу тупо убить время.
Вот как я думал и что делал:
перенес DSL модем с режима Route в режим Bridge, чтоб иметь белый IP сразу, а не за NAT_ом сидеть.
потом сканировал свой диапазон LanScope_ом. нашел несколько рабочих узлов. хотел ARP скан делать потом CAIN_ом, но он отказался почему то ввод IP адресов кроме из классна С.
Открыл тогда 0x4553 Intercepter, там во время настройки спуфинга потрабовался адрес основного шлюза, но не смог найти стандартными путями: в ipconfig место DG написано мой IP. а в модеме - именно DG пусто.. обе DNS адреса есть, а вот адрес шлюза нету Не знаю это как они так делают..
я угадал адрес по другому, но не знаю правильно делал или нет. сделал tracert www.ya.ru и из первой строки брал IP - полагая, что это и есть основной шлюз.
в обшум, сделал вроде спуфинг и запустил, но как не странно - только мой трафик ловился хотя мой адрес там не писал.

полагаю, что мои ошибка была в следующем:
- на 0x4553 Intercepter не сделал ARP сканирование..

что можете на это сказать? не ужели нереально спуфить ?

там кажет все узлы. а нахера они те?
скорее всего провайдер следит за АРП спуфингом (в твоем случае за флудом сетевым(читаем про стелс)) и режет непонятливых клиентов (иначе это необьяснить).

lkesh
если я долеко от ARP спуфа, то ты походу даже не слышал об этом - такое вот ощушение складываются о тебе !

SOLDIER

И причем тут чукотский мальчик? А что, у провайдера место свичей(коммпутаторов) стоит что -то другое ? они как раздают пользователей интернет? Если не приминять спец-технологии защиты от ARP спуфинга, то можно легко применять это. И уверен на 80%, что работники нашего провайдера не знают что это вообше такое )))) попадают даже такие, что незнают отличие от DSL и DNS. Так что ненадо меня за наивного держать.
P.S. А ссылки почитаю. может че нить новогоузнаю.

А вообще занятно слышать мнение человека об уровне квалификации работников ISP, который сам имеет знания о сетевых технологиях в лучшем случае чуть выше выпускника средней школы/студента-первокурсника.
2ALL - ей Богу - сейчас опять начну фразы из "Собачьего сердца" цитировать.  

Я сказал уже, что ВАМ ЛИЧНО надо делать. Учить матчасть! Тогда, возможно, толк из вас и получится. И Вы попадете в те 20 процентов, которые, по Вашему мнению, хоть что-то понимают у ISP. А что и как организовано у НАС - я вон написал выше. Вы хотя бы 20 процентов из этого поняли? Как это организовано у Вашего провайдера - я не знаю и знать не хочу. Мне своей работы хватает.

По порядку. У нас протокол НетБИОС блокируется (порты 135-139 и 445) на цисках. Соответственно, "сетевое окружение" не работает. Сделано так - во избежание распространения заразы - которая в случае использования НетБИОС очень даже успешно распространяется. Хотя, разумеется, на 100 процентов это не защитит сеть от распространения троянов - многие из них используют свои собственные порты. Теперь по поводу ARP спуфинга, раз уж о нем идет речь (не понимаю - зачем Вы в него уперлись - ну да ладно). Предположим, что мы имеем сеть 192.168.1.0/24 (255.255.255.0 стало быть сетевая маска), наш IP-адрес - 192.168.1.2, шлюз - 192.168.1.1. Необходимо прослушать трафик, идущий ОТ 192.168.1.3 c использованием ARP-спуфинг. Для этого можно (например) использовать программу send_arp.c (или её аналог), исходники которой (для Линукс) приведены в одной из приведенной выше ссылок. Суть в том, что Вы со своего компьютера посылаете для 192.168.1.3 пакет ARP-ответ, из которого следует, что MAC-адрес шлюза (192.168.1.1) соответствует Вашему MAC-адресу. Посылать надо достаточно часто - чаще, чем время жизни ARP-кэша (чтобы жертва сама не послала ARP-запрос). Теперь весь трафик идущий ОТ 192.168.1.3 к шлюзу (то есть - весь НЕЛОКАЛЬНЫЙ трафик) на втором уровне будет идти на Вашу машину. Вы получаете возможность смотреть пакеты, идущие от 192.168.1.3. Вот это и есть ARP спуфинг. Более сложный и изощрённый вариант - вариант атаки типа MiTM ("мужик посреди канала") - когда Вы полностью контролируете весь трафик идущий КАК к жертве, так и ОТ жертвы. Методы борьбы с этим есть. Расписывать что и как более подробно - неохота, да и смысла не вижу.

В самом простейшем случае - да. По поводу атак на коммутатор Эзернет - вот нашел в архивах. Статья на НАГе - http://www.nag.ru/2007/0617/0617.shtml Хотя это больше к АРП-флуду относится. Кстати - там же и меры защиты изложены.