Есть локалка где прячется сниффер
Как бы его поймать?
==================================================================

А можно ли в локалке отловить наличие сниффера?
Отправитель: dawnshade(h-k@mail.ru), February 27, 2001, 16:22:19:

В ответ на: А можно ли в локалке отловить наличие сниффера? (отправитель: vaborg, February 27, 2001, 15:35:34):

В теории да, но сложно....
http://www.robertgraham.com/pubs/sniffing-faq.html
==================================================================

У L0pht есть такой инструмент
Отправитель: SerpentFly, February 27, 2001, 21:14:33:

В ответ на: А можно ли в локалке отловить наличие сниффера? (отправитель: dawnshade, February 27, 2001, 16:22:19):

Он оценивает время реакции на пинг и кучу всего такого, очень неплохо вычисляет сниффер.
==================================================================

Ну это не всегда возможно например стоит PCfirewall
Отправитель: vaborg, February 28, 2001, 19:55:45:

В ответ на: У L0pht есть такой инструмент (отправитель: SerpentFly, February 27, 2001, 21:14:33):

и тогда машина вообще не отвечает на пинги
может ли сниффер хоть как то засветиться?
вот в чем вопрос
==================================================================

Или если сниффер запущен в MSDOS с пакетным драйвером - тогда его вообще невозможно отловить ;))
Отправитель: :-), March 01, 2001, 12:06:43:

В ответ на: ну это не всегда возможно например стоит PCfirewall (отправитель: vaborg, February 28, 2001, 19:55:45):
==================================================================

Молодец! :-) Точно! Кстати, можно попробывать убрать TCP/IP стек на тачке. И еще - (+++)
Отправитель: KMiNT21(kmint21@mail.ru), March 01, 2001, 15:12:09:

В ответ на: Или если сниффер запущен в MSDOS с пакетным драйвером - тогда его вообще невозможно отловить ;)) (отправитель: :-), March 01, 2001, 12:06:43):

Осавить только IPX (например). :-) Это уж нужно только конкретно на антисниффе проверять. Это зависит ор реализации его методов обнаружения. Но те три что я знаю, против IPX не попрут. А может вообще протокоты в системе убрать ??? :-)))
А если все-таки это нужно делать на удаленной машине заочно, то вот выдержка из NiteFall как же можно избавиться от назойливых антиснифферов? можно добавить к снифферу утилиту по определению загрузки сети. если сеть загружена - сниффим спокойно, нас не заметят. если активность в сети падает - перестаем заниматься логгингом и засыпаем. если активность совсем падает - отключаем promiscious mode и сти- раем себя. это из простых методов. дальше сложнее.
Мы можем сделать машину стабильно пассивной, поменять ip-адрес и запустить if- config -arp и сидеть, тихо слушая траффик. так мы избавимся от 2-го и 3-го ме- тодов антисниффинга. теперь. оказывается братья наши lopht-овые гонят, причем очень сильно. ядро linux 2.2.10 прекрасно выкинет пакеты:/net/ipv4/ip_input.c. с другими системами - не знаю.
http://www.geocities.com/alienind/index1.htm
==================================================================

У L0pht есть такой инструмент
Отправитель: dawnshade, February 28, 2001, 09:22:37:

В ответ на: У L0pht есть такой инструмент (отправитель: SerpentFly, February 27, 2001, 21:14:33):

Есть, но там какие-то баги в свое время нашли....
==================================================================

Я его собирал - разбирал, а всё одно машину вешает (+)
Отправитель: ab0, March 01, 2001, 07:09:41:

В ответ на: У L0pht есть такой инструмент (отправитель: dawnshade, February 28, 2001, 09:22:37):

Как с файрволлами работает одновременно. Видно для него пяток файрволлов задача непосильная. Для меня тоже - нет времени в логи тачки вникать, пару раз повесил мне синий экран - я и унялся...Займёмся его изучением?
==================================================================

Я его собирал - разбирал, а всё одно машину вешает (+)
Отправитель: :-), March 01, 2001, 14:17:49:

В ответ на: Я его собирал - разбирал, а всё одно машину вешает (+) (отправитель: ab0, March 01, 2001, 07:09:41):

А как ты его собирал/разбирал ? У тебя конструктор :)) ?
IMHO легче сниффером посмотреть какие он пакеты посылает и написать самому нечто подобное.
==================================================================

Я его собирал - разбирал, а всё одно машину вешает (+)
Отправитель: dawnshade, March 01, 2001, 09:47:25:

В ответ на: Я его собирал - разбирал, а всё одно машину вешает (+) (отправитель: ab0, March 01, 2001, 07:09:41):

ХЗ. Тут ничем помочь не могу - не программер....
==================================================================

Мораль такая: если сниффириль грамотный то его поймать не реально?..
Отправитель: vaborg, March 01, 2001, 14:59:52:

В ответ на: Я его собирал - разбирал, а всё одно машину вешает (+) (отправитель: dawnshade, March 01, 2001, 09:47:25):
==================================================================

Есть один способ (+)
Отправитель: :-), March 01, 2001, 19:14:41:

В ответ на: мораль такая: если сниффириль грамотный то его поймать не реально?.. (отправитель: vaborg, March 01, 2001, 14:59:52):

Метод "ловли на живца". Работает всегда и везде. :)

Заводится фиктивный аккаунт (напр, POP3) и пишется скрипт для периодического его использования (т.е. генерируешь трафик, в котором светишь login/pass).
Потом проверяешь логи - если кто-то им воспользовался - значит сеть слушают =)
==================================================================

Хм разумно :) но это только факт сниффинга а больше?
Отправитель: vaborg, March 04, 2001, 15:07:26:

В ответ на: Есть один способ (+) (отправитель: :-), March 01, 2001, 19:14:41):

ведь от факта что кто то висит в локалке не легче
хотелось бы более полно узнать кто :)
==================================================================

Антисниффер...
Отправитель: Tian, March 14, 2001, 14:07:49:

Есть прога одна - она умеет определять сниферы в сети...
Я вот думаю, каким образом она это делает ? хотя бы теоретически.
Ведь по сути снифер только слушает...
А она действительно опреляет - сам проверял...
Есть идеи?
==================================================================

Есть идеи (+)
Отправитель: SOLDIER, March 14, 2001, 17:45:20:

В ответ на: Антисниффер... (отправитель: Tian, March 14, 2001, 14:07:49):

Кажись, она работает таким образом, что на пакеты, передающиеся на определённые ИП отзываются 2 машины. Машина НАСТОЯЩАЯ и поддельная. То есть отвечают два MAC-адреса. Послав пару-тройку пакетов с разными ИП-адресами получишь MAC-адрес машины, которая реагирует на все пакеты. Вроде так... Но это IMHO. Не ручаюсь на 100%.
==================================================================

Re: Можно-ли узнать, что в сети pаботает сниффеp?
Отправитель: Pavel Andreev, October 13, 2000, 10:19

В ответ на: Можно-ли узнать, что в сети pаботает сниффеp? (отправитель: Slav Matveev, October 13, 2000, 17:02):

>> грамотный сниффер, особенно *только* слушающий, определить нельзя.
>> однако некоторые методики существуют. например, посылать пинги на ip
>> адрес подозреваемого хоста с неправильным mac-адресом. нормальный хост
>> не ответит, а находящийся в promiscuous mode может и ответить.
>> еще можно измерять задержки ответов на фоне массы пакетов на
>> несуществующий mac - тачка в promiscuous mode будет обрабатывать все
>> пакеты и, соответственно, отвечать медленнее нормальных.

На void.ru была статья про определение вероятных "слухачей". Есть несколько проверок, которые позволяют выявить снифер, все они касаются особенностей работы снифера:
1. dns: создаются многочисленные фиктивные соединения, снифер может попытаться отресолвить через днс адреса соответствующие хостам этих фиктивных соединений, антиснифер в это время ловит все запросы к днс'у
2. etherping: посылается пакет icmp с ошибочным mac-адресом. некоторые версии систем будучи в режиме перехвата такой пакет обработают, в то время когда он должен быть проигнорирован. т.е. если хост ответил , значит он кандидат в сниферы.
3. arp: работает также как и предыдущий - пакет arp содержит корректную информацию, за исключением mac-адреса, обчный комп такой пакет отбросит, комп в режиме перехвата его обработает и вернет ответ.
4. icmp ping latency: пингуем подозреваемого, запоминаем отклик, далее генерируем фальшивый трафик, далее снова пингуем подозреваемого и снова смотрим время отклика, если оно увеличилось, то вероятнее всего комп находится в режиме перехвата и обрабатывает фальшивые пакеты.

Вышеперечисленное позволяет вычислить "подозрительный" комп.

Но совершенно не факт что не появится снифера, создатель которого учтет ошибки предшественников. :)

==================================================================

Extracts из HZ форума
Мы не отвечаем за правдивость каких-либо диалогов в этом документе. Претензии по охране авторских прав НЕ предъявлять, так как сообщения, оставленные в форуме никак не могут являться чьей-либо собственностью.