Assassin Posted October 25, 2005 Report Share Posted October 25, 2005 Как защитить локалку от снифферов, типа ZxSniffer и подобных? Все мои опыты на подопытной сети потерпели фиаско Quote Link to comment Share on other sites More sharing options...
Shurr Posted October 25, 2005 Report Share Posted October 25, 2005 Строить сеть на свитчах, а не на хабах, и отлавливать ARP-spoofing. Quote Link to comment Share on other sites More sharing options...
Assassin Posted October 25, 2005 Author Report Share Posted October 25, 2005 А чем свитчи эффективнее хабов в этом аспекте? [mergetime]1130261043[/mergetime] Тьфу ты, наоборот!!! Quote Link to comment Share on other sites More sharing options...
Shurr Posted October 25, 2005 Report Share Posted October 25, 2005 А чем свитчи эффективнее хабов в этом аспекте?[mergetime]1130261043[/mergetime] Тьфу ты, наоборот!!! 211601[/snapback] Как раз не наоборот, а имменно так. Свитчи эффективнее хабов в борьбе с прослушиванием. Почему? Смотри сам: Хаб отсылает пакет на все порты кроме того, с которого он получен. Т.е. физическая топология - общая шина, любой компьютер в такой сети может слушать весь трафик, проходящий в ней. Свитч отсылет пакет только на тот порт, на котором находится получатель пакета. Физическая топология - звезда, ни один компьютер кроме отправителя и получателя (ну и шлюза, если трафик проходит через него) трафик не видит. Для прослушивания сети, построенной на свитчах используется атака под названием ARP spoofing (АРП-спуфинг). Она заключается в посылке ложных ARP-пакетов с целью убедить компьютер жертвы в том, что прослушивающий компьютер и есть конечный адресат. После получения пакетов они логгируются и пересылаются реальному получателю, причем mac-адрес отправителя в них подменяется, чтобы ответные пакеты тоже шли через прослушивающий компьютер. Таким образом, ARP-spoofing ставит своей задачей превратить прослушивающий компьютер в некое подобие шлюза для трафика жертвы. В итоге можно прослушивать весь трафик, или избранную его часть, например общение по ICQ, почту и др. При этом, так как трафик жертвы совершает "петли" в сети, обязательно проходя прослушивающий компьютер - соединение прослушивающего компьютера с сетью является узким местом. При попытке прослушать трафик нескольких активно общающихся компьютеров - возможна перегрузка, и, как следствие, падение сети. Современные фаерволлы умеют выявлять и пресекать ARP-spoofing. В частности, Outpost Firewall 3.0 точно это умеет. Quote Link to comment Share on other sites More sharing options...
Assassin Posted October 26, 2005 Author Report Share Posted October 26, 2005 Как организовать и пресечь ARP-spoofing? Какой софтвер подойдёт для этих случаев? Quote Link to comment Share on other sites More sharing options...
ant_ig Posted October 26, 2005 Report Share Posted October 26, 2005 Assassin: воспользоваться поиском http://yandex.ru/yandsearch?stype=www&nl=0...E5+ARP-spoofing Quote Link to comment Share on other sites More sharing options...
Father Posted October 26, 2005 Report Share Posted October 26, 2005 Как организовать и пресечь ARP-spoofing? Какой софтвер подойдёт для этих случаев?211783[/snapback] Да просто загрузи http://www.agnitum.ru/products/outpost/download.php и настрой Outpost Firewall Pro ver. 3.0.543.5722 (431), выше уже сказали об этом. Все будет на автомате. Quote Link to comment Share on other sites More sharing options...
RUVer Posted November 1, 2005 Report Share Posted November 1, 2005 Вставлю свои пять копеек... И фаервол не поможет :) Есть возможность обманывать "глупые" свичи. Свич начинает работать в режиме хаба. А хаб это хаб. Так что какой фаервол не ставь - нормальный специалист все равно перехватит все, что ему нужно :) Допустим в локалке у вас спецов нет, но любители спуфинга завелись, тогда предлагаю 2 варианта: 1) использование фаервола (повторяюсь) 2) использование статических арп таблиц на ключевых звеньях сети (серверах, шлюзах и т.п.) - самый простой вариант, проверял. Правда ходят слухи, что статические таблицы также можно удаленно сбрасывать - ну тогда караул. Впринципе арпспуфинг бесполезен без сниффера. При сниффинге сетевой адаптер переходит в специфический режим работы (не помню название), а отследить режим работы адаптера возможно. Есть программы, которые показывают режимы работы сетевого оборудования - обнаружил ПК с работой в режиме сниффинга - идешь в гости с бооооольшой линейкой и бьешь по пальцам. Советую поизучать информацию по этой теме в интернете. Интернет большой - ему видней :) Ну а если нашелся человек, который обманывает непосредственно глупые свичи - придется менять оборудование на дорогостоящее, но таких людей не много. Спасибо за внимание :D Quote Link to comment Share on other sites More sharing options...
primary_root Posted September 20, 2006 Report Share Posted September 20, 2006 случайно наткнулся на эту тему... очень у вас интересная дискуссия... Я вот пользуюсь ВПНом, чтоб в локалке не снифили.... запускаю, соединяюсь с сервером в инете - и все, от меня до сервекра - шифрованный туннель.... снифь не снифь - а получишь шиш.... каму интересна - прошу сюда Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.