> Может ли администратор отследить в сети деятельности > снифферов, а конкретно Iris'a? Сеть состоит из многих > сегментов, администратор не тупой. RealSecure определяет наличие NetXray'я в сети.
Когда сет. карта переходит в режим promisc,
изменяются ее временнЫе характеристики.
А именно в этом режиме работает большинство
снифферов. Так что, в принципе, можно определить.
> Может ли администратор отследить в сети деятельности > снифферов, а конкретно Iris'a? Сеть состоит из многих > сегментов, администратор не тупой Может, сам проверял. ( Например, Languard определял, когдя я на другой машине под Линух запускал tcpdump в promics режиме.)
Меня вот интересует другой вопрос немного - а есть ли антиснифферы под Линукс ?
Под винду достаточно... а вот под Линух не встречал..
Снифферы и админы24.05.02 13:10 Автор: DAN. Статус: Незарегистрированный пользователь
> Может ли администратор отследить в сети деятельности > снифферов, а конкретно Iris'a? Сеть состоит из многих > сегментов, администратор не тупой. RealSecure определяет наличие NetXray'я в сети.
Когда сет. карта переходит в режим promisc,
изменяются ее временнЫе характеристики.
А именно в этом режиме работает большинство
снифферов. Так что, в принципе, можно определить.
Снифферы и админы25.05.02 01:13 Автор: Miha.iL Статус: Member
> > Может ли администратор отследить в сети деятельности > > снифферов, а конкретно Iris'a? Сеть состоит из многих > > сегментов, администратор не тупой. > RealSecure определяет наличие NetXray'я в сети. > Когда сет. карта переходит в режим promisc, > изменяются ее временнЫе характеристики. > А именно в этом режиме работает большинство > снифферов. Так что, в принципе, можно определить.
a esli y tebia setka vsia na switchax togda tvoi realsecure kak
ne proboval no dymay v shtani nalo}I{it.
если у вас в качестве ws НТ/2000/ХП то написать батник который через каждый час опрашивает список удаленных процессов и пишет в лог - дело нескольких минут... ну а потом проGREPить это совсем не составит труда :-))
А как же20.05.02 18:52 Автор: kvazimodo Статус: Незарегистрированный пользователь
> если у вас в качестве ws НТ/2000/ХП то написать батник > который через каждый час опрашивает список удаленных > процессов и пишет в лог - дело нескольких минут... ну а > потом проGREPить это совсем не составит труда :-))
А как же напрмер админ определяет сканирование сети на открытые порты?
Он точно определяет это, сам напоролся!
А как же20.05.02 23:48 Автор: fly4life <Александр Кузнецов> Статус: Elderman Отредактировано 21.05.02 12:36 Количество правок: 1
> А как же напрмер админ определяет сканирование сети на > открытые порты? > Он точно определяет это, сам напоролся!
Сниферить и сканить на порты - это разные вещи.
Когда сканишь удалённую машину на открытые порты, то, грубо говоря, для того, чтобы определить открыт ли порт, ты осуществляешь коннект на этот порт, и, естественно, если сканишь автоматическим сканером (т.е. проверяешь несколько портов подряд друг за другом) и если на машине стоит логгер, следящий за подключениями к тачке, то админ легко определит, что порты сканят.
А вот когда запускаешь сниффер, то твоя карточка переходит в promiscus режим и перехватывает весь трафик, переходящий через твою тачку, а это уже сложнее отследить.
А в качестве сервера...20.05.02 16:45 Автор: kvazimodo Статус: Незарегистрированный пользователь
У нас видишь ли в качестве сервера Linux..не знаю какой версии...
меня интересует ведет ли Линукс логи по этому делу...
я вот пару минут назад запустил Ирис и мне страшно стало......
Значит вопрос переформулирован: Ведет ли линукс логи по перехвату траффика в сети? Стоит ли опасаться использовать Ирис?
нет конечно20.05.02 17:46 Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
и определить с сервера наличие действующего сниффера в сети ОЧЕНЬ трудно (если не сказать невозможно)
естесственно если не просматривать процессы на каждой машине
Не ведет20.05.02 17:08 Автор: !mm <Ivan Ch.> Статус: Elderman Отредактировано 20.05.02 17:13 Количество правок: 1
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
