методи за откриване подушване

Здравейте, моят приятел! Аз пропуснах? 🙂 Във всеки случай, аз се надявам, че все още не е успял promozolit очите ви :)) Днес аз говоря за главата на методите за откриване за подслушване локални мрежи.

Аз ще се опитам да отговоря на два основни въпроса 1) как да се открие обучени работи в сегмента, 2) как да се гарантира, невидимостта на обучени работи в сегмента. Аз няма да бреме текста сметища пакети, защото ние ще говорим доста лесна и интуитивна.

Най-лесният и най-очевидна трик за залавяне на подушване от сегмента се основава на детската наивност, с която молекулите hatskery стартират чужд софтуер. Такива молекули hatskery (които са склонни да бъде твърде зает, за да прочетете документацията за подушване) са най-лесният плячка за администраторите.

Ако хладно hatskery иска да се предпазят от разкриване и срамно изключете от мрежата в "хакване" (като в мрежата, в която работя в момента), а след това той трябва да просто да изключите DNS-rezolving. В tcpdump'e, например, това се прави с помощта на "-n" ключ 🙂

Ефективността на следния метод не е толкова лесно, колкото предишната. Това означава, че човек не може да се каже дали той ще работи с всички системи, които се грижи за ядрото работи обучени. Статистически данни за този метод, аз не разполагат, знам само със сигурност, че тя работи на Windows 98 и с по-стари Линукс ядра.

Помислете за себе си начин. Ако мрежовият адаптер се намира в режим на promiscious хладно hatskery, могат да се определят специално обучени работи чрез изпращане на съобщения, провокативни войнство sniffyaschy системния администратор следва да се тълкува:

основни молекули hatskery интерфейс, работеща в нормален режим, рамка данни просто се игнорира. Така че, на теория, ако преведен интерфейс promiscious режим, това е като че ли нищо не се е случило, рамката на данни ще мине и да премине ядрото. А ядрото, от своя страна,
към получената пинг трябва да отговори.

Ефективността на метода kondovogo силно спекулативен. Имам го се проявява само в stomegabaytnoy мрежа, с почти му върхово натоварване (10000 кадри от данни в секунда). Моят Tcpdump повече от половината получени по-малко на мрежовия трафик и машина (p2-300 / 192RAM) значително се забави в същото време.

Така че, имате нужда от провокативни трафик, така че никой освен предвидените молекулите hatskerskogo обучени, той не е получил. Грубо казано, това е за да я предпази от местоназначението, MAC Adddress'ami, различен от цялата налична мрежа.

В този случай, съществуващите машини са трафикът се игнорира, например, за да отговори на пинг много бързо (милисекунди или по-малко), и kulhatskersky домакин или ще реагира на командата пинг със солидна закъснение (като моя, на около двеста-триста милисекунди) или дори да не отговори на някои от тях. Най-добре е да се изпрати малки пакети провокативен трафик.

В провокативна traffikogenerator може да се изгради стабилизатор натоварване за измерване динамиката на отговори на нормалния пинг провокира домакин.

По съвет на зъл хакер (чието мнение аз силно доверие), ако не искате някой да намери своя обучени по принцип би могъл просто да свали TCP / IP поддръжка на интерфейса, на който се повиши обучени на. Или не позволява каквато ядро ​​отговор на входящо TCP / IP'shny трафик. Или сочни настроение защитна стена.

Покажете тази статия на приятел: