Assassin Опубликовано 25 октября, 2005 Жалоба Поделиться Опубликовано 25 октября, 2005 Как защитить локалку от снифферов, типа ZxSniffer и подобных? Все мои опыты на подопытной сети потерпели фиаско Ссылка на комментарий Поделиться на другие сайты Поделиться
Shurr Опубликовано 25 октября, 2005 Жалоба Поделиться Опубликовано 25 октября, 2005 Строить сеть на свитчах, а не на хабах, и отлавливать ARP-spoofing. Ссылка на комментарий Поделиться на другие сайты Поделиться
Assassin Опубликовано 25 октября, 2005 Автор Жалоба Поделиться Опубликовано 25 октября, 2005 А чем свитчи эффективнее хабов в этом аспекте? [mergetime]1130261043[/mergetime] Тьфу ты, наоборот!!! Ссылка на комментарий Поделиться на другие сайты Поделиться
Shurr Опубликовано 25 октября, 2005 Жалоба Поделиться Опубликовано 25 октября, 2005 А чем свитчи эффективнее хабов в этом аспекте?[mergetime]1130261043[/mergetime] Тьфу ты, наоборот!!! 211601[/snapback] Как раз не наоборот, а имменно так. Свитчи эффективнее хабов в борьбе с прослушиванием. Почему? Смотри сам: Хаб отсылает пакет на все порты кроме того, с которого он получен. Т.е. физическая топология - общая шина, любой компьютер в такой сети может слушать весь трафик, проходящий в ней. Свитч отсылет пакет только на тот порт, на котором находится получатель пакета. Физическая топология - звезда, ни один компьютер кроме отправителя и получателя (ну и шлюза, если трафик проходит через него) трафик не видит. Для прослушивания сети, построенной на свитчах используется атака под названием ARP spoofing (АРП-спуфинг). Она заключается в посылке ложных ARP-пакетов с целью убедить компьютер жертвы в том, что прослушивающий компьютер и есть конечный адресат. После получения пакетов они логгируются и пересылаются реальному получателю, причем mac-адрес отправителя в них подменяется, чтобы ответные пакеты тоже шли через прослушивающий компьютер. Таким образом, ARP-spoofing ставит своей задачей превратить прослушивающий компьютер в некое подобие шлюза для трафика жертвы. В итоге можно прослушивать весь трафик, или избранную его часть, например общение по ICQ, почту и др. При этом, так как трафик жертвы совершает "петли" в сети, обязательно проходя прослушивающий компьютер - соединение прослушивающего компьютера с сетью является узким местом. При попытке прослушать трафик нескольких активно общающихся компьютеров - возможна перегрузка, и, как следствие, падение сети. Современные фаерволлы умеют выявлять и пресекать ARP-spoofing. В частности, Outpost Firewall 3.0 точно это умеет. Ссылка на комментарий Поделиться на другие сайты Поделиться
Assassin Опубликовано 26 октября, 2005 Автор Жалоба Поделиться Опубликовано 26 октября, 2005 Как организовать и пресечь ARP-spoofing? Какой софтвер подойдёт для этих случаев? Ссылка на комментарий Поделиться на другие сайты Поделиться
ant_ig Опубликовано 26 октября, 2005 Жалоба Поделиться Опубликовано 26 октября, 2005 Assassin: воспользоваться поиском http://yandex.ru/yandsearch?stype=www&nl=0...E5+ARP-spoofing Ссылка на комментарий Поделиться на другие сайты Поделиться
Father Опубликовано 26 октября, 2005 Жалоба Поделиться Опубликовано 26 октября, 2005 Как организовать и пресечь ARP-spoofing? Какой софтвер подойдёт для этих случаев?211783[/snapback] Да просто загрузи http://www.agnitum.ru/products/outpost/download.php и настрой Outpost Firewall Pro ver. 3.0.543.5722 (431), выше уже сказали об этом. Все будет на автомате. Ссылка на комментарий Поделиться на другие сайты Поделиться
RUVer Опубликовано 1 ноября, 2005 Жалоба Поделиться Опубликовано 1 ноября, 2005 Вставлю свои пять копеек... И фаервол не поможет :) Есть возможность обманывать "глупые" свичи. Свич начинает работать в режиме хаба. А хаб это хаб. Так что какой фаервол не ставь - нормальный специалист все равно перехватит все, что ему нужно :) Допустим в локалке у вас спецов нет, но любители спуфинга завелись, тогда предлагаю 2 варианта: 1) использование фаервола (повторяюсь) 2) использование статических арп таблиц на ключевых звеньях сети (серверах, шлюзах и т.п.) - самый простой вариант, проверял. Правда ходят слухи, что статические таблицы также можно удаленно сбрасывать - ну тогда караул. Впринципе арпспуфинг бесполезен без сниффера. При сниффинге сетевой адаптер переходит в специфический режим работы (не помню название), а отследить режим работы адаптера возможно. Есть программы, которые показывают режимы работы сетевого оборудования - обнаружил ПК с работой в режиме сниффинга - идешь в гости с бооооольшой линейкой и бьешь по пальцам. Советую поизучать информацию по этой теме в интернете. Интернет большой - ему видней :) Ну а если нашелся человек, который обманывает непосредственно глупые свичи - придется менять оборудование на дорогостоящее, но таких людей не много. Спасибо за внимание :D Ссылка на комментарий Поделиться на другие сайты Поделиться
primary_root Опубликовано 20 сентября, 2006 Жалоба Поделиться Опубликовано 20 сентября, 2006 случайно наткнулся на эту тему... очень у вас интересная дискуссия... Я вот пользуюсь ВПНом, чтоб в локалке не снифили.... запускаю, соединяюсь с сервером в инете - и все, от меня до сервекра - шифрованный туннель.... снифь не снифь - а получишь шиш.... каму интересна - прошу сюда Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти