> Если я захотел исследовать LAN с помощью CommView заметит > ли это сис-адимн и получу-ли я по шее :)? Если у тебя на машине стоит мониторинговая программа или админ просто будет смотреть на экран, то конечно увидит.
А простым анализом сетевой активности сниферы не выявляются
Ещё как выявляются =)
22.04.04 22:18 Автор: fly4life <Александр Кузнецов> Статус: Elderman
> > А простым анализом сетевой активности сниферы не > выявляются > > Ещё как выявляются =) > http://void.ru/content/1131 Слона то я и не заметил :-)
> Правда, слышал, что если убрать поддержку TCP/IP с > интерфеса, на котором висит сниффер, то сниффер не > обнаружишь. Бред или как? Скорее всего так и есть. Все описанные методы полагаются на действия по умолчанию для какого либо протокола (ARP/IP и выше). В обычном режиме все фреймы, не предназначенные машине фильтруются аппаратно, а в promiscuous режиме фреймы успешно минуют канальный уровень и подаются на обработку в сетевой. Если открутить этот самый сетевой уровень (IP), то поведение вернется к нормальному (более менее :-) ).
Хотя на самом деле не так уж сложно в Intermediate NDIS Miniport драйвере анализировать мог ли при обычных условиях данный фрейм попасть в сетевой уровень. Если разработчики снифферов не дураки, они должны были ввести маскировку. Статье то уже больше полугода и при этом в ней же написано, что "Сейчас, когда эта техника широко опубликована, новые хакеры используют виртуальный фильтр MAC адресов в своем коде". То бишь даже на момент публикации статья не была новинкой.
А если у кабеля зеленый и бело-зеленый отрезать нафиг? :)23.04.04 12:00 Автор: Yurii <Юрий> Статус: Elderman