Я использую Sniffer Pro 4.5 для контроля трафика, только не пойму, почему он отлавливает не все пакеты машин подключенных к одному свичу с моей. Пакеты от этих машин к моей отлавливаются. Почему это происходит? Спасибо.
08.02.2008 17:58:08
Ну ведь можно было сказать кратенько чем отличается свитч от хаба? Можно. Хоть бы по простому. Хаб - то что приходит на порт - переправляет на все остальные порты в надежде на то, что на одном из этих портов находится получатель. Свитч - "умный" хаб, который направляет то что приходит именно на тот порт, на котором сидит получатель. Соответственно "клиенты" на других портах не видят ту информацию, что предназначена не им. В этих различиях и есть ответ на поставленный вопрос.
Не пинайте ногами только... |
|
|
|
08.02.2008 19:38:33
Просто переведи свою сетевую карточку в "неразборчивый" режим.
|
|
|
|
08.02.2008 19:45:15
И это поможет в случае свича? Ну-ну. Я открою для Вас страшную тайну. При запуске снифера карта переводится в тот самый promiscuos-режим автоматически. Если не задано обратное. |
|||
|
|
08.02.2008 21:11:42
Нда.... а для кого писался вот это пост
А если серъезно то для свитча (без привязки мака к порту и реализации ацль) поможет только arp-spoofing. |
|||||
|
|
09.02.2008 14:08:03
Свитч и не должен был Вам доставлять все фреймы (а даже не пакеты). Вообще говоря, идея свитча как раз в том, чтобы лишние фреймы не приходили на все порты подряд (как это просходит в случае хаба), а приходили только на те порты (и соотвественно подключенным к ним хостам), которые действительно эти фреймы ждут. Для вашего случая Вам нужно использовать управляемый свитч, в котором есть возможность настроить один из портов в режим зеркалирования трафика (так называемый span port). Идея этого порта в том, чтобы все фреймы, проходящие через этот свитч приходили в том числе и на этот порт.
Минусы: не все Ethernet фреймы будут умещаться в этот порт, то есть будут потери фреймов (и соответственно IP пакетов, которые из этих фреймов состоят). Вариант с хабом вам уже предложили. Кстати, свитч работает как хаб в двух случаях: при начальном включении, когда его таблица MAC адресов пуста и, наоборот, когда таблица его MAC адресов переполнена ложными парами MAC-порт - так бывает в случае атак на свитч. Есть еще вариант поставить IPS прямо на канал и смотреть на пакеты сколько хочется без потерь. |
|
|
|
11.02.2008 14:45:14
Спасибо всем сочувствующим. Теперь остался один вопрос:
Как перевести неуправляемый свитч D-Link DES-1008D в режим хаба? Я понимаю это не предусмотрено, поэтому он и неуправляемый. Где можно найти программу для переполнения его МАС таблицы? |
|
|
|
12.02.2008 00:34:59
D@N,
Почитайте тут про атаку на коммутатор: P.S. Всего пару месяцев назад эту ссылку мне подкинул SOLDIER. Так что если что - все благодарности на его счёт
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
|
|
|
|
15.02.2008 13:31:15
Попробовал проделать все как там описано. Соединил три компа свитчем D-Link DES-1008D. Пробовал делать arp-flooding со всех трех машин. Свитч не становится хабом, т.е. траффик между двумя машинами не попадает на третью. Иногда правда несколько пакетов в одном направлении проскакивают, но явно не весь траффик в оба конца. А вот при подаче питания свитч действительно работает как хаб и пропускает по одному пакету в одном направлении широковещательно и всё Неужели современные свитчи не боятся флудинга? |
|||
|
|
15.02.2008 13:35:36
Извиняюсь за нескромный вопрос, но что такое IPS? |
|||
|
|
17.02.2008 10:36:06
IPS - Intrusion Prevention System - система предотвращения атак. Устройство которое ставится прямо на канал и пропускает все пакеты через себя и таким образом во первых видит все пакеты без перенастройки свитчей и во второых может блокировать атаки и проводить аудит работы сети. Устройство как правило содержит WEB интерфейс, через который можно во первых пользоваться встроенными сигнатурами просмотра пакетов и также добавлять свои сигнатуры. сигнатуры не только ищут атаки но и вылавливают нужную информаци: например, пароли ICQ и сообщения, URL и e-mail адреса и т.д. такие сигнатуры нужны для аудита работы сети. естественно есть и сигнатуры для блокирования известных атак.
|
|
|
|
11.05.2008 23:53:34
Прошу меня извинить за офтоп, я нашел данную тему по поиску. Но раз уж разговор коснулся IPS систем, возможно кто-нибудь подскажет, где в полной мере можно ознакомится с данной технологией? Буду очень благодарен.
|
||||
|
|
|||