pytanie do fachowców od sieci LAN

IP: *.internetdsl.tpnet.pl 08.05.03, 14:29
czy jest możliwy podsłuch snifferami w sieci opartej na
switchach? oczywiście nie mam na myśli administratora
na serwerze tylko zwykłego użytkownika,czy taki
uzytkownik może skutecznie używać narzędzi typu "ettercap"?
Jeżeli sieć działa prawidłowo a "ofiara" nie ma żadnych
dziur w systemie i firewallu to czy można podglądnąć
jej aktywność w interecie?

Z tego co czytałem to można i wydaje mi się to przerażające
    • Gość: Beny Re: pytanie do fachowców od sieci LAN IP: 213.68.127.* 08.05.03, 16:41
      Gość portalu: w napisał(a):

      > czy jest możliwy podsłuch snifferami w sieci opartej na
      > switchach?

      A co ma piernik do wiatraka?

      > Jeżeli sieć działa prawidłowo a "ofiara" nie ma żadnych
      > dziur w systemie i firewallu to czy można podglądnąć

      Jakim firewallu wewnatrz sieci? Po co ci firewall wewnatrz sieci?

      > jej aktywność w interecie?
      > Z tego co czytałem to można i wydaje mi się to przerażające

      Czemu wydaje Ci sie to przerazajace ???

      Dla twojej wiadomosci, bez wnikania w budowe i zasade dzialania switcha. Jego
      zadaniem jest rozdzielenie ruchu w sieci ethernet, tak aby minimalizowac ilosc
      kolozji. Mowiac najprosciej ruch w wybranych segmentach takiej sieci nie
      wychodzi po za jej granice.

      zwykla siec
      ___
      komputer 1 --------| H |
      komputer 2 --------| U |
      komputer 3 --------| B |
      komputer 4 --------|___|

      siec ze switschem
      ___
      komputer 1 --------| S |
      komputer 2 --------| W |
      komputer 3 --------| I |
      komputer 4 --------|_T_|

      jesli w sieci zwyklej komputer 1 wysle informacje do kompa 4 to komputery 2 3
      nie beda w tym czasie mogly nadawac, co wiecej beda mogly przysluchiwac sie
      temu co nadaje komp. 1

      W switchowanje wersji, zakladajac ze 4 komputery sa w odrebnych segmenatch w
      trakcie nadawania z 1 do 4 2 i 3 tez moga dzialac (miedy soba), co wiecej nie
      moga one nasluchiwac co nadaje 1.

      W efekcie moz siezdazyc ze bedac w osobynch segmenatch nie da sie "snifferowac"
      innych. W normalnych duzych sieciach zadko kiedy jeden segment jest rownowazny
      z jednym komputerem.
      • Gość: w Re: pytanie do fachowców od sieci LAN IP: *.internetdsl.tpnet.pl 08.05.03, 17:08
        > Jakim firewallu wewnatrz sieci? Po co ci firewall
        wewnatrz sieci?

        firewall wewnątrz komputera użytkownika
        >
        > > jej aktywność w interecie?
        > > Z tego co czytałem to można i wydaje mi się to
        przerażające
        >
        > Czemu wydaje Ci sie to przerazajace ???

        tak więc podsłuchiwanie jest możliwe czy nie?
        • Gość: Beny Re: pytanie do fachowców od sieci LAN IP: *.dip.t-dialin.net 08.05.03, 20:11
          Tak dlugo jak dlugo jestes w segmencie komputera ktory
          chcesz podsluchowac - to chyba powinno byc jasne.

          Jesli chesz to robic w innych musisz zastosowac pomysly
          sugerowane przez LAN (nastepny post). Aczkolwiek nie sa
          mi znane expolity ktore na to pozwalaja - no coz pewnie
          gdzies w internecie moze cos jest.

          Co wiecej nie jestem do konca przekonany jak takie
          zatruwanie tablicy arp mialoby wygladac. Czy LAN'ie
          mozesz podac zrodlo informacji lub samemu wyjasnic.
        • Gość: Marcepanik Re: pytanie do fachowców od sieci LAN IP: *.man.olsztyn.pl 09.05.03, 10:28
          Należy jeszcze pamiętać o jednym:
          Nie używać kart sieciowych, które nie obsługują trybu podsłuchowego
          (promiscuos mode), ponieważ większość szperaczy opiera swoje działanie na
          wykorzystaniu takich kart. Jeżeli jednak masz taką kartę to nalezy wyłączyć
          tryb nasłuchu. W zależności jaka karta albo robi się to w BIOSIE albo
          programowo.
    • Gość: LAN Re: pytanie do fachowców od sieci LAN IP: *.krotoszyn.sdi.tpnet.pl 08.05.03, 17:25
      Podsłuchiwanie na switchu można zrobic na dwa sposoby:
      1 - tzw. zatruwanie tablicy arp komputera "ofiary" powodujące że wysyła ona
      pakiety do nas a nie do bramy.
      2 - zbombardowanie przełącznika lewymi adresami MAC, powodując przepełnienie
      jego (niewielkiej) pamięci, tak że zaczyna wysyłać wszystko do wszystkich (a'la
      hub) -sposób nie zawsze skuteczny -switch można przed tym zabezpieczyć.
      Firewall nie zawsze pomoże-firewall blokuje ICMP REDIRECT- dobre snifferki nie
      wykorzystuja ICMP redirect
      oszukiwanie tablicy arp nie wykorzystuje pakietow ICMP typ5, komputer ofiara
      nie wie nic o redirecie on po prostu mysli ze komputer docelowy z ktorym sie
      kontaktuje ma taki a nie inny adres MAC (oczywiscie podsluchiwacza ) poniewaz
      taki adres ma zapisany w tablicy ARP, czarna robote odwala Podsluchiwacz, co
      okreslony interwal czasu wysyla pakiety do komputerow ofiar tak by te mialy
      ciagle w tablicy arp falszywe adresy a sam po otrzymaniu pakietow przesyla je
      dalej do wlasciwego komputera (oczywiscie wychwytujac ciekawe informacje ).
      rozwiazaniem jest np arpwatch (niestety IHMO tylko pod linuxem) lub statyczne
      adresy MAC w tablicy ARP (komenda arp -s) niestety dziala jak nalezy tylko w
      XP, we wczesniejszych wersjach niby statyczne adresy i tak mogly byc zmieniane
      przez sniffery
      • luisssa Re: pytanie do fachowców od sieci LAN 08.05.03, 22:07
        Wow! Takiego wykladu chyba nikt sie nie spodziewal, bo to wyzsza szkola jazdy.
        Jeszcze zdradz, czym to robisz ;) . Jednak autorowi chyba chodzilo o to, czy w
        ogole w sieci "pod switchem" da sie cos przechwycic. Generalnie switch wychwyci
        wiekszosc smieci, wiec o podsluchiwaniu czegos "spoza" nie moze byc mowy.
        Rowniez podsluchanie kogos ze swojej "switchowej" podsieci nie jest sprawa
        banalna. W standardowych warunkach do karty sieciowej docieraja tylko
        pojedyncze, zblakane pakiety innych uzytkownikow. Aby przeprowadzic
        podsluch "pelna geba" nalezaloby do siebie przekierowac strumien pakietow
        podsluchiwanego, tak jak to opisal Gość:LAN (no ale to wyzsza szkola...;) ).

        luisssa

        • Gość: w Re: pytanie do fachowców od sieci LAN IP: *.internetdsl.tpnet.pl 08.05.03, 23:04
          > Jeszcze zdradz, czym to robisz ;) . Jednak autorowi
          chyba chodzilo o to, czy w
          > ogole w sieci "pod switchem" da sie cos przechwycic.

          Chodziło mi nie tylko czy da się coś wychwycić jakieś
          przypadkowe pakiety ale czy można śledzieć na jakie
          adresy ktoś wchodzi,czy permanentna inwigilacja.


          > pojedyncze, zblakane pakiety innych uzytkownikow. Aby
          przeprowadzic
          > podsluch "pelna geba" nalezaloby do siebie przekierowac
          strumien pakietow
          > podsluchiwanego,

          tą możliwość wykluczyłem,tak więc czy bez przekierowania
          całego ruchu na swojego kompa da się skutecznie
          podsłuchiwać?,metodą zatruwania ARP,przepełniania buforu itd
          z waszych wypowiedzi wynika że raczej nie jest to
          możliwe,chodziło mi o techniczne możliwośći w oparciu o
          programy dostępne w sieci

          • luisssa Re: pytanie do fachowców od sieci LAN 09.05.03, 00:35
            Gość portalu: w napisał(a):
            > Chodziło mi nie tylko czy da się coś wychwycić jakieś
            > przypadkowe pakiety ale czy można śledzieć na jakie
            > adresy ktoś wchodzi,czy permanentna inwigilacja.

            > tą możliwość wykluczyłem,tak więc czy bez przekierowania
            > całego ruchu na swojego kompa da się skutecznie
            > podsłuchiwać?

            nie da sie

            > chodziło mi o techniczne możliwośći w oparciu o
            > programy dostępne w sieci

            tymi programami obcych pakietow przechwycisz conajwyzej 10% - 20%. Jesli
            trafisz na pakiet protokolu http, pop3 czy smtp, to cos tam da sie przeczytac.
            Najlepiej zrobisz jak zainstalujesz i sam zobaczysz.


Pełna wersja