Какими сниферами, Вы пользуетесь?
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Какими сниферами, Вы пользуетесь? - 2005-09-01 11:17:30
|
|
|
B@rs
Сообщений: 301
Оценки: 0
Присоединился: 2005-05-23 18:09:22
|
Доброго времени суток господа.
Преамбула:
Сниферами сам никогда не пользовался, т.к. был по другую сторону баррикад..:) Да и в структурах где я работал, очень жёстко боролись с любыми разновидностями "нюхачей"..:)
Поэтому как то прошло это мимо меня…
С переходом в ту организацию где работаю сейчас, всё изменилось.
Мне необходимо провести исследовательскую работу, по подбору софта, для мониторинга активности юзверей в сети компании.
А конкретней Мыл, асек и прочей лабуды.
Потому как есть небольшое подозрение, что кто-то сливает инфу налево.
Есть парочка людей на примете, но просто так подойти и набить морду мало, необходимы доказательства.
Амбула:
Потому и хочу спросить у Вас:
А Вы какой софт предпочитаете юзать, для перехвата и анализа информации в сети??
По каким параметрам его подбирали?
Полностью-ли удовлетворены работой?
Юзаете-ли один и тот же софт для перехвата мыльного трафика и аськи, или разный?
|
|
|
|
|
Какими сниферами, Вы пользуетесь? - 2005-09-01 15:15:25
|
|
|
Sashiks
Сообщений: 111
Оценки: 0
Присоединился: 2005-08-27 23:48:04
|
ну наверно это дело каждого, дело вкуса и и зависит от того, что нунжно снифать, где и как быстро смываться )
а вообще я ими не ползуюсь практически ( а зря, кстати )
про снифферы недавно помниться Форб писал:
самые распрастраненные типа ZxSniffer, IRIS, ICQ_Sniff и тд …
|
|
|
|
|
Какими сниферами, Вы пользуетесь? - 2005-09-01 16:32:14
|
|
|
B@rs
Сообщений: 301
Оценки: 0
Присоединился: 2005-05-23 18:09:22
|
quote:
—————-<BR>Цитата: Дата:01.09.2005 15:15:25, Автор:Sashiks ::
ну наверно это дело каждого, дело вкуса и и зависит от того, что нунжно снифать, где и как быстро смываться )<BR><BR><BR>а вообще я ими не ползуюсь практически ( а зря, кстати )<BR><BR>про снифферы недавно помниться Форб писал:<BR><BR>самые распрастраненные типа ZxSniffer, IRIS, ICQ_Sniff и тд …
—————-
Форб писал, и статью я эту читал.
Но, это мнение одного человека.
А для составления объективной оценки, мало одного субъективного мнения.
|
|
|
|
|
Какими сниферами, Вы пользуетесь? - 2005-09-03 03:04:35
|
|
|
Andrushock
Сообщений: 89
Оценки: 0
Присоединился: 2004-12-14 14:40:11
|
ettercap + plugins, dsniff
в зависимости от ситуации могут помочь tcpdump и pftop
"Потому как есть небольшое подозрение, что кто-то сливает инфу налево."
в крупной компании подобными вопросами должна заниматься служба безопасности с бейсбольными битами
в мелких конторах в таких случаях обычно ставят radmin или actual spy
|
|
|
|
|
Какими сниферами, Вы пользуетесь? - 2005-10-14 17:32:53
|
|
|
krukkers
Сообщений: 22
Оценки: 0
Присоединился: 2005-10-10 23:32:40
|
Какой нафиг снифир, достопочтенный Бэрс? Вас жестоким образом нае…ли. Нет, ну конечно же, Вы сможете смотреть трафик в своей сети каким-нибудь привейт одей илитным снифиром.
Однако, Вам придётся делать arp-poison, чтобы видеть трафик, который проходит через свичи. А это капитальным образом затормозит Вашу сеть, ведь весь трафик будет идти через Ваш компьютер. И ещё Вам придётся юзать несколько привейт одей илитных снифиров в каждом сегменте. И ещё одна деталь: привейт одей илитный снифир смог бы оказать нужную Вам помощь только в одном случае: если Вы чётко знаете, что Вы хотите найти right, как говорится, at the fuckin present now. Конечно же, теоретически можно решить Вашу задачу юзая привейт одей илитный снифир, но Вы УПАРИТЕСЬ. Особенно, учитывая что со всякой хренью вроде сетевых протоколом Вы, как я с Вами, "на Вы".
Но, вместо того чтобы "брызгать йадом" (с) Вы, я лучше попробую Вам посоветовать.
1) Запретите ходить юзерам Ваших сетей через роутер в интернет. Не надо никуда ничего форвардить, натить, маскарадить, шейпить, фигейпить. Просто запретите. ip, как говорится, fw add (где-нибудь в самом, например, низу) 65530 deny all from any to, как говорится, any.
2) Обяжите всех Ваших пользователей ходить в интернет через прокси. А что им останется делать, если роутер их не пускает? Оптимальный для Вас вариант – это ISA Proxy. Да-да, самый дубовый, кондовый и лучший прокси на свете, через стандартный ISA Proxy. ISA ведет лог (который Вы сможете читать или парсить и, тем самым Вы найдете всё что Вам нужно и не нужно) и имеет массу всяких примочек, которые позволяют наблюдать за активностью он, как говорится, лайн.
3) Юзерам, которые хотят ходить в интернет как ни в чём не бывало, можно поставить враппер, опять же, стандартный для таких дел враппер MS Proxy Client, который будет враппить их трафик и пускать его через ISA Proxy. То есть, юзеры не обломаются. Как всё работало до этого, так всё и будет работать после.
За тем лишь исключением, что Вы будете всё видеть: кто, куда, откуда, с помощью каких программ (да-да! враппер MS Proxy Client отправляет исе доскональную информацию о процессе и о бинарнике этого процесса, который идёт в интернет).
|
|
|
|
|
Какими сниферами, Вы пользуетесь? - 2005-10-14 18:33:57
|
|
|
B@rs
Сообщений: 301
Оценки: 0
Присоединился: 2005-05-23 18:09:22
|
quote:
—————-<BR>Цитата: Дата:03.09.2005 3:04:35, Автор:Andrushock ::
ettercap + plugins, dsniff<BR><BR><BR>в зависимости от ситуации могут помочь tcpdump и pftop<BR><BR><BR>&amp;quot;Потому как есть небольшое подозрение, что кто-то сливает инфу налево.&amp;quot;<BR><BR><BR>в крупной компании подобными вопросами должна заниматься служба безопасности с бейсбольными битами<BR><BR><BR>в мелких конторах в таких случаях обычно ставят radmin или actual spy
—————-
Радмин был не нужен, т.к. поднят RD сервак. И юзвери сидят на "Тонких клиентах" юзая рдп.
Соответствено, я просто подключаюсь к нужному сеансу и всё.
Но беда в том, что человек которого необходимо мониторит, сидит на отдельной машинке, и периодически просматривает процессы, ежели обнаружит там r_server, то тут же станет очень осторожным. И перед тем как "шалить", будет просто вырубать службу и всё.
Я уже пошёл другим путём, поднял squid-а на bsd..:) С авторизацией, и баннеро-порнухо-резкой..:)
Правда ничего нет подозрительного в его траффике. Обидно… видимо затаился…
Ну ничего.. мы терпеливые..:)))
|
|
|
|
|
Какими сниферами, Вы пользуетесь? - 2005-10-17 11:21:31
|
|
|
krukkers
Сообщений: 22
Оценки: 0
Присоединился: 2005-10-10 23:32:40
|
Грустно всё это, многоуважаемый Бэрс. Грустно. Ибо большинство специалистов по информационной безопасности, даже высокооплачиваемых, это люди, подобные Вам… :(
|
|
|
|
|
Какими сниферами, Вы пользуетесь? - 2005-10-17 13:03:41
|
|
|
Lex_Voodoo
Сообщений: 7328
Оценки: 0
Присоединился: 2004-12-07 13:55:12
|
B@rs, а твой шеф не задумывался, что тот, кто "сливает инфу налево", может просто катать ее на дискетки/флешки/болванки и уносить с собой?
|
|
|
|
|
Какими сниферами, Вы пользуетесь? - 2005-10-17 15:12:16
|
|
|
McDaun
Сообщений: 480
Оценки: 0
Присоединился: 2004-09-29 17:14:06
|
quote:
—————-<BR>Цитата: Дата:17.10.2005 13:03:41, Автор:Lex_Voodoo ::
B@rs, а твой шеф не задумывался, что тот, кто &amp;quot;сливает инфу налево&amp;quot;, может просто катать ее на дискетки/флешки/болванки и уносить с собой?
—————-
на предыдущей своей работе я даже винт снимал, забирал домой на время, чтобы файло перенести
|
|
|
|
|
Какими сниферами, Вы пользуетесь? - 2005-10-17 17:56:03
|
|
|
Lex_Voodoo
Сообщений: 7328
Оценки: 0
Присоединился: 2004-12-07 13:55:12
|
quote:
—————-<BR>Цитата: Дата:17.10.2005 15:12:16, Автор:McDaun ::
<BR>на предыдущей своей работе я даже винт снимал, забирал домой на время, чтобы файло перенести
—————-
Я тоже [sm=sm203.gif]
Когда еще к сетке не подрубился и на работе порнофильмы гигабайтами сливал [sm=3.gif]
|
|
|
|
|
Какими сниферами, Вы пользуетесь? - 2005-10-18 17:08:06
|
|
|
B@rs
Сообщений: 301
Оценки: 0
Присоединился: 2005-05-23 18:09:22
|
quote:
—————-<BR>Цитата: Дата:17.10.2005 13:03:41, Автор:Lex_Voodoo ::
B@rs, а твой шеф не задумывался, что тот, кто &amp;quot;сливает инфу налево&amp;quot;, может просто катать ее на дискетки/флешки/болванки и уносить с собой?
—————-
Лекс, а ты не задумывался над Win2k3Server+RDPServer+Пользователи на "Тонких клиентах"?:)
В "Тонких" харда нет, только флэшка с вшитой WinCE..:)
Вынести физически инфу, можно только через флоп/ЦД/флэшку подключив напрямую к серверу, а он у меня в серверной, а дверь закрыта на ключ, который всегда со мной, плюс дверь за моей спиной..:)
Так что единственный возможный вариант, это через сеть.
Потому и спрашивал..:)
|
|
|
|
|
Какими сниферами, Вы пользуетесь? - 2005-10-18 17:50:45
|
|
|
Lex_Voodoo
Сообщений: 7328
Оценки: 0
Присоединился: 2004-12-07 13:55:12
|
А-а. Не думал, что все так серьезно [sm=9.gif]
|
|
|
|
|
|
