Перейти до

сниферы ! помогите избавиться


Рекомендованные сообщения

Такой подход однозначно разумный, кроме того что создает весьма ощутимые нагрузки на рутера в случае с локальным трафиком.

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 73
  • Створено
  • Остання відповідь

Top Posters In This Topic

да какие там задержкий уважаемый. все прекрасно работает и без глюков

 

пингую другой конец города!!!!! пинг 50-100 мс

 

роутер не один, а в каждом районе свой. так что какие глюки могут быть?

Ссылка на сообщение
Поделиться на других сайтах
Совершенно логичный, но не совсем в тему "бродкастовый" :-) вопрос (прошу не пинать, если что):кто подскажет,где взять ДЕШЁВЫЕ но БОЛЕЕ-МЕНЕЕ надёжные УПРАВЛЯЕМЫЕ свитчи портов на восемь-десять? Чтоб можно было жёстко вязать MAC-IP? Отечественные поделки гаражных умельцев не предлагать:-) Мля...хоть самому налаживай производство таковых - озолотиться можно, ей-Богу:-)

А мы вот решили взять б/у, 12-24 порта 3com 1000 и 1100

Средняя цена 50-70$ за штуку, аппараты бомбезные.

Только вот теперь новые ящики делать, но это надо было давно делать потому как свич, резервное питание, кабеля, грозы в старые ящики давно уже приходится чуть ли не ногой запихивать.

Ссылка на сообщение
Поделиться на других сайтах
да какие там задержкий уважаемый. все прекрасно работает и без глюков

 

пингую другой конец города!!!!! пинг 50-100 мс

 

роутер не один, а в каждом районе свой. так что какие глюки могут быть?

Это с каким размером пакетов?

Ссылка на сообщение
Поделиться на других сайтах

ВОт смотрите вот что бы сразу не отключать от сети человека в начале после того как его словили за сниф можно воспользоваться layer-2 Network Guard- программы ставиться на сервак и она записывает ip и мас адреса всех людей , после этого человк не может не поменять мас и ip . а так же можно забанить его так что он не сможетт вообще зайти в сеть... и во все общие места.... , Этой программой можно на первое время наказать а потом если повториться сниф то отключить вообще... навсегда да же если будет попытка заплотить что бы вернуться....

Ссылка на сообщение
Поделиться на других сайтах
ВОт смотрите вот что бы сразу не отключать от сети человека в начале после того как его словили за сниф можно воспользоваться layer-2 Network Guard- программы ставиться на сервак и она записывает ip и мас адреса всех людей , после этого человк не может не поменять мас и ip . а так же можно забанить его  так что он не сможетт вообще зайти в сеть... и во все общие места.... , Этой программой можно на первое время наказать а потом если повториться сниф  то отключить вообще... навсегда да же если будет попытка заплотить что бы вернуться....

Фигня какаято сорри за сленг ) ИМХО на неуправляемом железе вообще нет возможности обезопасить себя от АРП спуффинга

Вот что на НАГе пишут об этой проге http://www2.nag.ru/forum/index.php?showtopic=34790

Ссылка на сообщение
Поделиться на других сайтах

-Огромное спасибо. Если это оборудование настолько же хорошо, как его описывает разработчик - то нафиг "мыльницы"!

Ссылка на сообщение
Поделиться на других сайтах
  • 11 months later...

Абсолютно случайно забрёл в вашу тему :)

Тоже имеется своя небольшая сеть. Тоже иногда долбут мозг ARP-spoof'ом. Лично для меня покупать умные свитчи дороговато, если бы ещё не грозы... Вот и захотел попробовать решить проблему програмным путём.

Написал программу под win32. На сегодня она умеет:

1. Отлавливать ВСЕ ARP-запросы на указанных интерфейсах. Вести их лог. Если пара IP:MAC не совпадает, отмечать это и принимать какието действия...

Из действий программа покачто умеет:

2. При входе в сеть компьютер отсылает ARP-запрос, дабы узнать занята ли пара IP:MAC или свободна... если никто не отвечает значит пара свободна и комп берёт себе этот IP. Есстественно прога увидев что данному МАСу этот IP непозволен отсылает ответ, что мол "занято" и винда у входящего кричит "этот айпи используется и тд...", в сеть тада он не входит.

Далее хочу доделать...

3. Если с одного МАСа приходит за короткий промежуток времени, например, более 3-х запросов на РАЗНЫЕ IP (так работают проги с ARP-spoof) то прога которая на сервере файрволит приём ARP траффика от данного МАСа на некоторое время дабы сервер не кешировал ложных MAC:IP пар. Да и если все клиенты заведены в базу IP:MAC то администратор СРАЗУЖЕ наглядно будет видеть имя "угрозы". :argh:

 

Кому интерестно мог бы поделится. Есстественно если людей интересует развитие программы хотелось бы иметь с этого хотяби как говорится "на пиво" :)

Скрин: lanmanager.jpg

Ссылка на сообщение
Поделиться на других сайтах
Абсолютно случайно забрёл в вашу тему :)

Тоже имеется своя небольшая сеть. Тоже иногда долбут мозг ARP-spoof'ом. Лично для меня покупать умные свитчи дороговато, если бы ещё не грозы... Вот и захотел попробовать решить проблему програмным путём.

Написал программу под win32. На сегодня она умеет:

1. Отлавливать ВСЕ ARP-запросы на указанных интерфейсах. Вести их лог. Если пара IP:MAC не совпадает, отмечать это и принимать какието действия...

Из действий программа покачто умеет:

2. При входе в сеть компьютер отсылает ARP-запрос, дабы узнать занята ли пара IP:MAC или свободна... если никто не отвечает значит пара свободна и комп берёт себе этот IP. Есстественно прога увидев что данному МАСу этот IP непозволен отсылает ответ, что мол "занято" и винда у входящего кричит "этот айпи используется и тд...", в сеть тада он не входит.

Далее хочу доделать...

3. Если с одного МАСа приходит за короткий промежуток времени, например, более 3-х запросов на РАЗНЫЕ IP (так работают проги с ARP-spoof) то прога которая на сервере файрволит приём ARP траффика от данного МАСа на некоторое время дабы сервер не кешировал ложных MAC:IP пар. Да и если все клиенты заведены в базу IP:MAC то администратор СРАЗУЖЕ наглядно будет видеть имя "угрозы". :argh:

 

Кому интерестно мог бы поделится. Есстественно если людей интересует развитие программы хотелось бы иметь с этого хотяби как говорится "на пиво" :)

Скрин: lanmanager.jpg

:) arpwatch есть под уникс :)

 

а прогу инетресно было бы пощупать )

Ссылка на сообщение
Поделиться на других сайтах

Очень интиресно , вот только где ссылки не заметно или пиво онли ? выложи прогу , хоть для тестирования , демо там типо , или скажи сколько требуеш за нее .

Ссылка на сообщение
Поделиться на других сайтах

Мысль хорошая. Особенно полезно ставить её на клиентские тачки, которая будет производить операции по их защите. А то от одностороннего arp-спуфинга на клиента она не защитит, если стоит только на сервере.

Ещё пару замечаний. Во-первых всплывает проблема смены пользователями компов либо использования нескольких компов (например, ноутбука). В таком случае я вижу решение в клиент-серверной архитектуре с регистрацией своих маков на сервере. Т.е. когда клиент хочет добавить новый комп в сеть, он ставит программку и регистрируется на сервере. Допустим это должен администратор утвердить вручную. После этого и клиентские машины, с установленным X-Lan Manager'ом будут принимать пакеты от данного компа. Ну а кто не защитился - сам виноват, мы предупреждали :)

Ещё одно замечание касательно этого:

3. Если с одного МАСа приходит за короткий промежуток времени, например, более 3-х запросов на РАЗНЫЕ IP (так работают проги с ARP-spoof) то прога которая на сервере файрволит приём ARP траффика от данного МАСа на некоторое время дабы сервер не кешировал ложных MAC:IP пар. Да и если все клиенты заведены в базу IP:MAC то администратор СРАЗУЖЕ наглядно будет видеть имя "угрозы".

 

Например программа ettercap тихонько шлёт gratuitous arp пакеты клиенту (при односторонней атаке) - это одиночные reply с одиночной связкой mac-ip, поэтому даже если у пользователя стоит данная программа - метод, указанный в п.3, не сработает.

Ссылка на сообщение
Поделиться на других сайтах
Кому интерестно мог бы поделится. Есстественно если людей интересует развитие программы хотелось бы иметь с этого хотяби как говорится "на пиво"  :)

 

Мне интересно какими средствами ты ловишь ARP пакеты?

 

Если используешь winpcap то есть уже готовое решение ))

 

http://l2nt.info/

 

 

А вообще молодец - только дай ссылочку пощупать

Ссылка на сообщение
Поделиться на других сайтах
  • 3 months later...
  • 7 months later...
Сеть состоит из 92 юзеров . Свитчи разные центральные стоят вторового уровня зуксели . а свичей в сумме 23 . в сети 4 дома . + есть точки которые мне запарилось перепрошивать, вот это самая большая потери в сети.

 

4 дома -23 свича и 92 юзера

меня это потрясло до глубины души. рабочий день сорван - ржём всей конторой.

вариантов два

- 38 этажные( и более) небоскрёбы, отстоящие друг от друга более чем на 300 метров.

- политика сети "каждому юзеру - свич в подарок" :D

Ссылка на сообщение
Поделиться на других сайтах
  • 3 months later...
Насчет свичей ярко ) Гирлянда чтоли по этажам?

5-6 свичей на дом вполне нормально если в доме 4 парадных и колодцы забиты по самое... что чаще всего собственно и встречается.

Ссылка на сообщение
Поделиться на других сайтах

у нас тоже искали флудера: нашли подключили его порт на 220В, когда привалил с жалованием, мол комп как хряснул я говорю наверно прогу левую пробовал. задумался ;) От такие вот дела. случай единственный.

Ссылка на сообщение
Поделиться на других сайтах
у нас тоже искали флудера: нашли подключили его порт на 220В, когда привалил с жалованием, мол комп как хряснул я говорю наверно прогу левую пробовал. задумался ;) От такие вот дела. случай единственный.

 

а ещё лучше чтобы он это делал автоматом...

 

 

запускаем в сетку вирус ииииииии  :);););):lol::lol::lol::lol:

 

на районе ниединого целого компа  ;)

Ссылка на сообщение
Поделиться на других сайтах
у нас тоже искали флудера: нашли подключили его порт на 220В, когда привалил с жалованием, мол комп как хряснул я говорю наверно прогу левую пробовал. задумался :) От такие вот дела. случай единственный.

 

вот это кстати вы зря..

на моей практике встречались только(!) компы, которые ложили сеть арп-спуфингом в то время, когда их хазяева даже не подозревали об этом! :)

 

а если кто-то занимается такими вещами намерено, то это можно быстро отследить :) немоного логики и все станет понятно

Ссылка на сообщение
Поделиться на других сайтах
  • 1 month later...
вот это кстати вы зря..

на моей практике встречались только(!) компы, которые ложили сеть арп-спуфингом в то время, когда их хазяева даже не подозревали об этом! :unsure:

Встречалось и неоднократно, причем в последенм варианте комп вобще стоял в дежурке..увидел сие и сам прозрел. Мать асус 2 бортовых гигабитки марвел. Пока не воткнули в комп писиайку , регулярно были приколы.
а если кто-то занимается такими вещами намерено, то это можно быстро отследить :) немоного логики и все станет понятно
В неуправляемой сети "не лоха" с cain&abel или чего хуже backtrack ...ловить будете вечно, или на крайняк до седых волос рваных с задницы охреневшего от счастья админа такой неуправляемой сети. :lol:
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.


×
×
  • Створити нове...