Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Сниффер или нет?, На что я наткнулся?
 
Решил с одной из локальных машин проверить наличие снифферов в сети (я не админ этой сети, доступа к серваку нет). Сеть работает

на самых простеньких свитчах, которые нельзя настраивать. У 2-х IP-шников (192.168.4.20 и 192.168.4.91) обнаружил одинаковый MAC.

Один из этих IP (192.168.4.20) принадлежит, как я понял, к компу, исполняющему роль моста между нашей сетью и беспроводной.

С виндовой машины выполняю к этому самому мосту: arp -s 192.168.4.20 00-11-22-33-44-55 Это фиктивный MAC - ни у кого в

сети такого нет. Убедившись, что запрос сохранился в таблице как статический (на WinXP SP2 машине), выполняю:

ping 192.168.4.20 - ответы приходят. Т.е. сетевуха у этого компа в promisc режиме.
Выполняю: ping -r 9 192.168.4.20 (кто не в курсе - этот параметр позволяет определить маршрут пакетов от меня до цели) - ответ

приходит как если бы я не запрашивал -r, т.е. возвращается только время пинга, о маршруте ни слова.

Я знаю возможна ситуация когда один MAC на несколько IP - это MAC маршрутизатора, когда я запрашиваю IP из другой подсети. Но я

нахожусь в той же подсети: маска 255.255.255.0

Так это сниффер там или как?

О сети известно немного: есть сервак 192.168.4.1 (из подсети 4.* у него такой адрес, быть может, из других - другой) обеспечивает

несколько сетей инетом.

ping -r9 192.168.4.1 - в маршрутах только сам сервер.
ping -r9 192.168.9.60 - маршрут идёт через 192.168.4.91 и далее ещё 7-8 компов, среди которых НЕТ 192.168.4.1
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
Цитата
Shanker пишет:
Я знаю возможна ситуация когда один MAC на несколько IP - это MAC маршрутизатора, когда я запрашиваю IP из другой подсети. Но я
У моего ПК десятка полтора IP-адресов (причем из разных сетей) и все они связаны с одним адаптером и используют один MAC-адрес. Это снифер или нет?
 
Цитата
Николай Малых пишет:
У моего ПК десятка полтора IP-адресов (причем из разных сетей) и все они связаны с одним адаптером и используют один MAC-адрес. Это снифер или нет?

Это как? Объясни, пожалуйста, для чего или хотя бы скажи что яндексу скормить, чтобы про это почитать. Я в сетях не силен, но мне интересно...
 
Цитата
LcL пишет:
Это как?
Очень просто - UNIX
 
Цитата
Николай Малых пишет:
У моего ПК десятка полтора IP-адресов (причем из разных сетей) и все они связаны с одним адаптером и используют один MAC-адрес.
Цитата
Николай Малых пишет:
Очень просто - UNIX
Можно подумать, на один интерфейс в Windows нельзя посадить несколько IP адресов из разных подсетей
 
Хы: я об этом и не подумал как-то :) Ну, сюда же можно и вирт. машину включить, я так понимаю... А если эти варианты отмести?
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
2 IP на одном сетевом интерфейсе.
В чем проблема то?

То, что отвечает на пакеты с левым mac может указывать на promisc, но не факт.
Снифер у себя на машине и разбери уходящие и приходящие пакеты.
 
Цитата
offtopic пишет:
То, что отвечает на пакеты с левым mac может указывать на promisc, но не факт.
А какие ещё могут быть ситуации? Просто хочется понять суть работы сети, сетевухи и т.д.

Цитата
offtopic пишет:
Снифер у себя на машине и разбери уходящие и приходящие пакеты.
Предлагаешь на локальную поставить сниффер и проанализировать его траффик?
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
Цитата
Николай Малых пишет:
Очень просто - UNIX
понятно. Сегоня только увидел alias во FreeBSD.
Кстати, у кого есть опыт настройки интернет-шлюза под FreeBSD? Нужна помошь. Если кто может помочь, стучите в асю (в профиле).
 
Цитата
LcL пишет:
Если кто может помочь

Асю не люблю .. пинай меня по мылу - edwin(())alkar.net
 
Запусти попробуй Promiscan http://www.securitylab.ru/software/233036.php
 
Цитата
ksiva пишет:
Запусти попробуй Promiscan
Я как раз его и юзал. Хотя потом просто стал юзать Cain&Able - там тоже абсолютно такая же штука есть. Но ещё и куча всего другого полезного :) Жалко, только свой сабнет можно сканить: у меня IP из диапазона 192.168.4.0-255 так тока это и сканит, другие типа 192.168.1.0-255 не хочет ни та ни другая прога, если я не забыл...

Вопрос уже стоит другой: как я понял, мостам характерно иметь сетевуху в Promis режиме. Вопрос: ЗАЧЕМ?
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
Так что: неужели никто не знает или знающие люди до сих пор пьянствуют? :)
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
Цитата
ping -р9 192.168.4.1 - в маршрутах только сам сервер.
ping -р9 192.168.9.60 - маршрут идёт через 192.168.4.91 и далее ещё 7-8 компов, среди которых НЕТ 192.168.4.1
Это значит что подсеть 192.168.9.0/24  заручена на маршрутизаторе 192.168.4.1 на IP 192.168.4.91. Когда 192.168.4.1 получает пакет для сети 192.168.9.0/24 он посылается сообщение ICMP Redirect на твой комп (так как 192.168.4.91 и 192.168.4.1 в одной подсети ), который таким образом узнает, что надо кидать пакеты на 192.168.4.91 для подсети 192.168.9.0/24. Естественно, следующий пакет твой хост посылает на 192.168.4.91   (пакет, как бы первый, хотя на самом деле второй) который оставляет свою пометку в поле record route при доставке на хост 192.168.9.60.
Нигде не видно хоста 192.168.4.1 по описанной выше причине. Пакет через него просто не прошел.
 
Цитата
Вопрос уже стоит другой: как я понял, мостам характерно иметь сетевуху в Promis режиме. Вопрос: ЗАЧЕМ?
Не понятно, что такое по твоему мост?
Если - маршрутизатор,  то это не характерно маршрутизаторам. :)
 
Цитата
gogo пишет:
Нигде не видно хоста 192.168.4.1 по описанной выше причине. Пакет через него просто не проше
Да это  понятно.

Цитата
gogo пишет:
Не понятно, что такое по твоему мост?
Я имел в виду линуксовую тачку, которая связывает 2 сети: нашу одноранговую локалку и беспроводную.
Хотя я так думаю я всё-таки ошибся: маршрутизатор это наверное, т.к. он обрабатывает пакеты по IP и игронирует MAC. А мост наоборот. Или я неправ? :oops:
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
Но тогда непонятно: почему тачка связывающая нашу локалку с беспроводной сетью в promisc режиме а та, которая шлюз в инет - нет
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
Страницы: 1
Читают тему