Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
IP-спуффинг
 
Имеется сетка на свичах. Работает снифер спуфингом и выуживает пароли на аськи и почту + ложит всю сеть. Постоянно ведутся логи изменения маков и айпишников + срабатывает фаер (слава сигейту :)).

Пожалуйста, умные люди, ответьте на следующие вопросы:
1*. Как вычислить машину на которой работает снифер?
2.  Какой фаер умеет закрывать все сетевые соединения при обнаружении спуфинга (Sygate PF тока фиксирует, но никакх действий не производит)?
3.  Как на вингейтовской проксе настроить поддрежку TLS для почты?

З.Ы. по первой смере айпишника или мака не узнать, т.к. изначально ставят произвольный мак и айпишник, а потом уже запускают снифер.

Задолбали уже сниферить :(
Заранее благодарен
 
http://www.securiteam.com/securitynews/6W00N1P5PI.html
последний абзац :)
так же поищи на форуме. эта тема уже подымалась
 
Здесь первоисточник того как работает Antisniff.
Сам антисниффер тут можно скачать.

мы тут обсуждали эту тему (ARP спуфинга). Вывод: что надо ограничивать число MAC адресов на каждом порту свитча, тогда его таблицы никогда не переполнятся. Ну и надо ставить статически (arp -s) MAC адрес маршрутизатора по умолчанию. Еще тонкость что работает это начиная с Windows XP. В других виндах это сбрасывается.
 
TeckLord, ksiva - спасибо за отзывчивость.

2 TeckLord: фаер так и не посмотрел, насколько понял он тока под 2к, а лишней машины, с которой можно поэксперементировать не нашлось, НО
не знаю почему я раньше этого не надумал... проблема решается созданием четырех правил - два разрешающие, и два соответственно запрещающие на аську и бат. Всего то навсего надо было запретить передачу на все МАКи кроме мака сервера (опять же слава сигейту, он это умеет). Т.е. если даже идет подмена айпишника, фаер не пускает пакеты на левый мак :) Извращенцев, которые ставят начальный мак сервака пока еще не было (появятся - еще че-нить придумаю :)

2 ksiva: скачал этот антисниф, по настройкам понял что вещь нормальная, примерно тоже самое реализованно у нас, только не так "шустро", НО
поюзать его не смог, т.к. первое что он мне написал - не могу найти твою карточку... :( подскажи плиз если было такое же и сделал.
А насчет привязки МАКа к порту - дык это решает данную проблему полностью, но где ж взять денюжку на такие девайсы...

Как придумал эту тему с правилами, сразу же появился вопрос:
как создать правило в ipchains для конкретного приложения + как в адресе получателя прописать не айпишник, а МАК??
И вообще, какие в этом плане приемущества Линуха?

Заранее благодарен.
 
а почему ты не хочешь использовать статическую таблцу ARP?
 
Буду весьма признателен если расскажешь как это осуществить, в смысле просто написать батик и сделать жесткую привязку или это делается какими нибудь доп средствами? Или как это ваабще будет проиходить?
Но сразу же возникает вопрос, насколько сильно это меня привяжет. Т.е. неужели ко мне не будет приходить/от меня исходить трафик от адресов вне таблицы? Если это так, то вариант не совсем удобный, ибо я не смогу сканировать сеть на появление новых маков и делать какие-либо запросы...

Разъясни пожалуйста...
Если что то не так сказал, то сорри, всему надо учиться.

Заранее благодарен.
 
Кстати, что думаешь по поводу выявления машины на которой работает снифер? Вроде ситуация тупиковая :(
 
>Кстати, что думаешь по поводу выявления машины на которой работает снифер?

Если имеется ввиду снифер в чистом виде (т.е. абсолютно пассивный), то никак ты его вычислишь
 
Привязка IP+MAC не должна дать сниферу работать с прописанными адресами.
пример для виндовс:
arp -s IP MAC
если в сети появятся новые устройства с новыми IP и МАС, то данные можно будет спереть:(
Посмотри на uinc.ru. там статья должна быть как раз по этой теме, и поищи на форуме. это темя уже поднималась
 
Пример способа поиска сниффера (ping method):
The machine suspected of running the packet sniffer has an IP address 10.0.0.1, and an Ethernet address of 00-40-05-A4-79-32.
You are on the same Ethernet segment as the suspect (remember, the Ethernet is used only to communicate locally on a segment, not remotely across the Internet).
You change the MAC address slightly, such as 00-40-05-A4-79-33.
You transmit an "ICMP Echo Request" (ping) with the IP address and this new MAC address.
Remember that NOBODY should see this packet, because as the frame goes down the wire, each Ethernet adapter matches the MAC address with their own MAC address. If none matches, then they ignore the frame.
If you see the response, then the suspect wasn't running this "MAC address filter" on the card, and is hence sniffing on the wire.

Другие способы описаны тут
Глава 2.5 "How can I detect a packet sniffer?"

Может мне перевести это в виде статьи?
 
Цитата
Shkoder пишет:
поюзать его не смог, т.к. первое что он мне написал - не могу найти твою карточку... :( подскажи плиз если было такое же и сделал.
я не помню. может она хочет драйвер WinPCap? readme читал? :)


Кстати arp -s фиксирует статически MAC адрес начиная с Windows XP. На w2k она не работает как ожидалось.
 
Я писал на UINC.ru мысли поэтому поводу. Подборка - вот:
http://www.uinc.ru/articles/zametki/003.shtml
Вот мой ответ (основан был в 2001 году на основе изучения этого вопроса):
---------------------------
Кажись, она работает таким образом, что на пакеты, передающиеся на определённые ИП отзываются 2 машины. Машина НАСТОЯЩАЯ и поддельная. То есть отвечают два MAC-адреса. Послав пару-тройку пакетов с разными ИП-адресами получишь MAC-адрес машины, которая реагирует на все пакеты. Вроде так... Но это IMHO. Не ручаюсь на 100%.
 
Спасибо опять же всем.

2 TeckLord: "если в сети появятся новые устройства с новыми IP и МАС, то данные можно будет спереть:(" - дык по-любому появятся, причем сразу же когда сниф  начинает "пыхтеть"...

2 ksiva: смысл понял, НО, способы обнаружения имеются (по тем же арп запросам сечется), т.е. проблем с выявлением работающего снифера нет. Кстати, забавная картинка получается когда во время его работы запустить к примеру LAN Guard`овский сканер и включив весь диапазон айпишников его запустить :)
А к антиснифу (который так и не запустил, даже прочитав мануал и ридми) я питал надежды по поводу выявления именно машины с которой ведется снифинг.

2 SOLDIER: в точку! :) Если определить (тока вот как именно?) самую загруженную станцию, то, думаю, можно уже смело предполагать что снифер работает именно на ней. Видел что творится с машиной при включенном на ней снифере, дык это ваще мама не горюй, мышка забывает что такое движение :) и, кстати, чаще всего люди уходят после этого в ребут (тоже можно попробовать проследить).

З.Ы. в ответ на неизвестно чьи террористические акты, были произведены ракетные удары куда попало :)

Себя защитил, теперь хочется кого-нить наказать... Буду думать.

Кстати, можно ли в Линуксе создать правило для конкретного приложения? Хочется повторить проделанное в винде.

Заранее благодарен.
 
Цитата
Shkoder пишет:
"если в сети появятся новые устройства с новыми IP и МАС, то данные можно будет спереть:(" - дык по-любому появятся, причем сразу же когда сниф начинает "пыхтеть"...
речь идет о новых машинах/сетевых адаптерах. Снифер не сможет использовать спуфинг, если отношение ИП/МАК статически забито, и следственно, не сможет перехватить данные(ИМХО).
Цитата
Shkoder пишет:
Видел что творится с машиной при включенном на ней снифере, дык это ваще мама не горюй, мышка забывает что такое движение :) и, кстати, чаще всего люди уходят после этого в ребут (тоже можно попробовать проследить).
у тебя что, доисторические машины? :) ни разу не видел, чтобы машина висла или перегружалась при работающем снифере.
 
Цитата

Если определить (тока вот как именно?) самую загруженную станцию, то, думаю, можно уже смело предполагать что снифер работает именно на ней
врядли
1) действительно на более менее современных машинах это не заметно...
2) при правильной настройке фильтров (зачем мне ARP и т.д.) память тоже не сильно грузиться
3) А что за организация - кроме Office & IE ничем не пользуются?
Страницы: 1
Читают тему