Можно ли определить ловушку для снифера?
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Можно ли определить ловушку для снифера? - 2012-05-05 10:10:22.943333
|
|
|
_Vlad_
Сообщений: 73
Оценки: 0
Присоединился: 2011-03-24 10:30:32.853333
|
Доброго всем времени суток!
Подскажите, по каким признакам можно определить, что для снифера подстроена ловушка? Т.е. факт применения снифера сисадмину известен, а данные для перехвата снифером ограничены?
Использую Wireshark, появились подозрения, что сисадмин узнал про это и теперь мониторит факт использования снифера и блокирует перехват сетевых пакетов.
|
|
|
|
|
RE: Можно ли определить ловушку для снифера? - 2012-05-05 14:50:30.956666
|
|
|
_Vlad_
Сообщений: 73
Оценки: 0
Присоединился: 2011-03-24 10:30:32.853333
|
И ещё небольшой вопрос в продолжение первого поста. Wireshark в последнее время ловит пакет:
SOURCE 0.0.0.0 DESTINATION 0.0.0.0 SNMP trap iso.3.6.1.4.1.3183.1.1 1.3.6.1.4.1.3183.1.1.1
Что это за посылка из ниоткуда в никуда? Также настораживает слово trap, что в переводе с английского означает "ловушка".
|
|
|
|
|
RE: Можно ли определить ловушку для снифера? - 2012-05-05 19:39:38.846666
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
SOURCE 0.0.0.0 DESTINATION 0.0.0.0 SNMP trap iso.3.6.1.4.1.3183.1.1 1.3.6.1.4.1.3183.1.1.1
Это и есть перенаправление пакетов в нуль. Админ таким образом закрывается от снифера. Он уже вычислил откуда идёт сканирование и через фаер загоняет пакет от тебя в нуль.
|
|
|
|
|
RE: Можно ли определить ловушку для снифера? - 2012-05-05 21:26:48.970000
|
|
|
_Vlad_
Сообщений: 73
Оценки: 0
Присоединился: 2011-03-24 10:30:32.853333
|
Хм… нехорошо однако.
Хотелось бы, конечно, узнать поподробнее что такое "фаер" и как образом ограничивается снифер и при этом интернет-соединение работает без проблем, но думаю это в рамках темы неуместно. Ладно про это постараюсь найти материал в инете и понять его.
Несмотря на то, что мой админ возможно читает эту тему, спрошу ещё: есть ли возможность обхода ограничения на использование снифера? Например, сменить Wireshark на консольный tcpdump?
|
|
|
|
|
RE: Можно ли определить ловушку для снифера? - 2012-05-06 08:17:08.813333
|
|
|
zzsnn
Сообщений: 7459
Оценки: 680
Присоединился: 2007-09-25 07:17:14.240000
|
фаер - я подразумевал файрволл.
смена проги ни к чему не приведёт. Нужно менять настройки сети.
|
|
|
|
|
RE: Можно ли определить ловушку для снифера? - 2012-05-06 23:53:52.396666
|
|
|
namepunk
Сообщений: 2732
Оценки: 184
Присоединился: 2009-09-15 13:35:36.866666
|
Какой феерический бред, однако…
Неужели трудно загуглить, что такое snmp trap?
Насчет блокирования пакетов - по-подробнее.
|
|
|
|
|
RE: Можно ли определить ловушку для снифера? - 2012-05-10 13:49:25.846666
|
|
|
_Vlad_
Сообщений: 73
Оценки: 0
Присоединился: 2011-03-24 10:30:32.853333
|
Для специалистов и грамотных людей любой примитивный вопрос кажется бредом… увы с этим ничего не поделаешь.
Я гуглил "SNMP trap", "SNMP trap iso", "trap iso", но мне это не помогло, мне пока сложно понять то, что пишут. Спросил здесь, zzsnn в трёх простых предложениях дал главный ответ на мой вопрос, т.е. то, что действительно сниффер обнаружен.
Под блокированием пакетов я на обывательско-ламерском уровне лишь имел ввиду, что снифер не ловит прежний объём трафика… однако я в этом видимо ошибался. Сейчас включил Wireshark. Всё как ловилось ловится до сих пор, только пакеты SNMP trap iso периодически мелькают. По-крайней мере, разницы в трафике кроме наличия пакета SNMP trap iso я не вижу.
За ответы кстати спасибо! Поверьте, некоторые вопросы действительно сложно осознавать через google, проще спросить на форуме.
|
|
|
|
|
RE: Можно ли определить ловушку для снифера? - 2012-05-10 14:58:14.546666
|
|
|
namepunk
Сообщений: 2732
Оценки: 184
Присоединился: 2009-09-15 13:35:36.866666
|
Snmp - это простой протокол мониторинга сетевых устройств. Серверов, роутеров, чего угодно, поддерживающего данный протокол. То что ты видишь пакеты snmp trap, а раньше не видел, значит админ мониторит какое-то свое устройство по snmp.
Снифер установленный на компе снаружи обнаружить невозможно. Это просто тип обработки пакетов. Снифера нет - чужие пакеты просто уничтожаються или маршрутизируються. Снифер есть - пакеты еще и читаються кроме всего прочего. Снаружи определить, что произошло с пакетом нереально.
|
|
|
|
|
|
