Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
Снифферы и админы 25.05.02 01:13 Число просмотров: 1354
Автор: Miha.iL Статус: Member
|
> > Может ли администратор отследить в сети деятельности
> > снифферов, а конкретно Iris'a? Сеть состоит из многих
> > сегментов, администратор не тупой.
> RealSecure определяет наличие NetXray'я в сети.
> Когда сет. карта переходит в режим promisc,
> изменяются ее временнЫе характеристики.
> А именно в этом режиме работает большинство
> снифферов. Так что, в принципе, можно определить.
a esli y tebia setka vsia na switchax togda tvoi realsecure kak
ne proboval no dymay v shtani nalo}I{it.
|
|
<networking>
|
Снифферы и админы 20.05.02 16:12
Автор: kvazimodo Статус: Незарегистрированный пользователь
|
|
Может ли администратор отследить в сети деятельности снифферов, а конкретно Iris'a? Сеть состоит из многих сегментов, администратор не тупой.
|
|
Снифферы и админы 31.05.02 23:46
Автор: Анди Статус: Незарегистрированный пользователь
|
> Может ли администратор отследить в сети деятельности
> снифферов, а конкретно Iris'a? Сеть состоит из многих
> сегментов, администратор не тупой
Может, сам проверял. ( Например, Languard определял, когдя я на другой машине под Линух запускал tcpdump в promics режиме.)
Меня вот интересует другой вопрос немного - а есть ли антиснифферы под Линукс ?
Под винду достаточно... а вот под Линух не встречал..
|
|
Снифферы и админы 24.05.02 13:10
Автор: DAN. Статус: Незарегистрированный пользователь
|
> Может ли администратор отследить в сети деятельности
> снифферов, а конкретно Iris'a? Сеть состоит из многих
> сегментов, администратор не тупой.
RealSecure определяет наличие NetXray'я в сети.
Когда сет. карта переходит в режим promisc,
изменяются ее временнЫе характеристики.
А именно в этом режиме работает большинство
снифферов. Так что, в принципе, можно определить.
|
| |
Снифферы и админы 25.05.02 01:13
Автор: Miha.iL Статус: Member
|
> > Может ли администратор отследить в сети деятельности
> > снифферов, а конкретно Iris'a? Сеть состоит из многих
> > сегментов, администратор не тупой.
> RealSecure определяет наличие NetXray'я в сети.
> Когда сет. карта переходит в режим promisc,
> изменяются ее временнЫе характеристики.
> А именно в этом режиме работает большинство
> снифферов. Так что, в принципе, можно определить.
a esli y tebia setka vsia na switchax togda tvoi realsecure kak
ne proboval no dymay v shtani nalo}I{it.
|
| | |
Наверное да... 27.05.02 09:58
Автор: DAN. Статус: Незарегистрированный пользователь
|
|
|
|
если поставит это себе целью то да 20.05.02 16:22
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
|
если у вас в качестве ws НТ/2000/ХП то написать батник который через каждый час опрашивает список удаленных процессов и пишет в лог - дело нескольких минут... ну а потом проGREPить это совсем не составит труда :-))
|
| |
А как же 20.05.02 18:52
Автор: kvazimodo Статус: Незарегистрированный пользователь
|
> если у вас в качестве ws НТ/2000/ХП то написать батник
> который через каждый час опрашивает список удаленных
> процессов и пишет в лог - дело нескольких минут... ну а
> потом проGREPить это совсем не составит труда :-))
А как же напрмер админ определяет сканирование сети на открытые порты?
Он точно определяет это, сам напоролся!
|
| | |
А как же 20.05.02 23:48
Автор: fly4life <Александр Кузнецов> Статус: Elderman
Отредактировано 21.05.02 12:36 Количество правок: 1
|
> А как же напрмер админ определяет сканирование сети на
> открытые порты?
> Он точно определяет это, сам напоролся!
Сниферить и сканить на порты - это разные вещи.
Когда сканишь удалённую машину на открытые порты, то, грубо говоря, для того, чтобы определить открыт ли порт, ты осуществляешь коннект на этот порт, и, естественно, если сканишь автоматическим сканером (т.е. проверяешь несколько портов подряд друг за другом) и если на машине стоит логгер, следящий за подключениями к тачке, то админ легко определит, что порты сканят.
А вот когда запускаешь сниффер, то твоя карточка переходит в promiscus режим и перехватывает весь трафик, переходящий через твою тачку, а это уже сложнее отследить.
|
| |
А в качестве сервера... 20.05.02 16:45
Автор: kvazimodo Статус: Незарегистрированный пользователь
|
У нас видишь ли в качестве сервера Linux..не знаю какой версии...
меня интересует ведет ли Линукс логи по этому делу...
я вот пару минут назад запустил Ирис и мне страшно стало......
Значит вопрос переформулирован: Ведет ли линукс логи по перехвату траффика в сети? Стоит ли опасаться использовать Ирис?
|
| | |
нет конечно 20.05.02 17:46
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
и определить с сервера наличие действующего сниффера в сети ОЧЕНЬ трудно (если не сказать невозможно)
естесственно если не просматривать процессы на каждой машине
|
| | | |
linux log ne videt a admin mo}I{et 20.05.02 17:44
Автор: Miha.iL Статус: Member
|
|
|
|
|
подробно о проекте
Анализ криптографических сетевых...
