devchaos 1 Опубликовано: 2007-03-07 21:07:19 Share Опубликовано: 2007-03-07 21:07:19 Здравствуйте. Столкнулся с такой проблемой. Пользователь ложил всю сеть ARP spoofing'ом ( Обнаружил кто почти случайно. На шлюзе статические записи ARP, ОС FreeBSD. Железо частично управляемое но в большинстве своем обычные 8 портовые мыльницы. Вопрос такой. Как проще всего обнаружить активный сниффер у себя в сети и локализировать того кто его использует? Смена оборудывание на L2 идет но не успеваю везде ставить новые свичи да и дорого сразу все железо поменять. Заранее спасибо. Ссылка на сообщение Поделиться на других сайтах
Queeq 0 Опубліковано: 2007-03-07 21:43:57 Share Опубліковано: 2007-03-07 21:43:57 http://local.com.ua/forum/index.php?showtopic=6896 Покатит? Ссылка на сообщение Поделиться на других сайтах
devchaos 1 Опубліковано: 2007-03-07 21:51:12 Автор Share Опубліковано: 2007-03-07 21:51:12 Эт читал даже пост там оставлял ) Нашли конечно похожим методом отключил от центрального свича несколько домов флуд прекратился но так как дома находятся на приличном растоянии друг от друга бегать откровенно ломает (. Возможно есть метод с помощью анализа пакетов тем же сниффером. Ссылка на сообщение Поделиться на других сайтах
Queeq 0 Опубліковано: 2007-03-07 22:30:28 Share Опубліковано: 2007-03-07 22:30:28 Вряд ли... Активный снифер просто зафлуживает свич левыми мак-адресами. Проснифаешь - увидишь кучу АРПов... Это ничего не даст. Разве что методом исключения выслеживать кто висит в данный момент в сети, а кто нет. Хотя это неэффективно и может дать ложные результаты. Так что лучше побегай - не стоит в данном случае лениться. Ссылка на сообщение Поделиться на других сайтах
devchaos 1 Опубліковано: 2007-03-07 22:47:51 Автор Share Опубліковано: 2007-03-07 22:47:51 В принципе да ) Подключил ноут к проблемному сегменту, включил сниффер - бегает кучу пакетов ARP. Отключил свич если не помогло тогда другой. Потом добрался до свича где хацкер и отключаешь порты по очереди.. Мрак ) Если учесть что свич может быть на чердаке от которого не всегда есть ключ на руках а траблу нужно решить как можно скорее. Хотя что жаловатся, нужно нормальные свичи просто ставить.. Ссылка на сообщение Поделиться на других сайтах
karimovru 1 Опубліковано: 2007-03-07 23:10:08 Share Опубліковано: 2007-03-07 23:10:08 Я вот половил уродов так и в итоге купил 3com'ы Ссылка на сообщение Поделиться на других сайтах
XoRe 0 Опубліковано: 2007-03-08 00:09:37 Share Опубліковано: 2007-03-08 00:09:37 2karimovru: Управляемые? Ссылка на сообщение Поделиться на других сайтах
Queeq 0 Опубліковано: 2007-03-08 07:58:24 Share Опубліковано: 2007-03-08 07:58:24 В принципе да ) Подключил ноут к проблемному сегменту, включил сниффер - бегает кучу пакетов ARP. Отключил свич если не помогло тогда другой. Потом добрался до свича где хацкер и отключаешь порты по очереди.. Мрак ) Если учесть что свич может быть на чердаке от которого не всегда есть ключ на руках а траблу нужно решить как можно скорее. Хотя что жаловатся, нужно нормальные свичи просто ставить.. Ой как я Вас понимаю! Не представляете себе Денег нет на умные свичи, ключей от чердаков нет. А зачем бегать с ноутом? Можно просто смотреть на мигание лампочек на свичах. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас