Re: в сети снифер

[Sav EM]

Доброго дня
 
>Теоретически сниффер будет работать через свич 
при подделке MAC. >Например, чтобы перехватить пакеты, идущие на 
компьютер А, нужно >определить его МАС адрес и выставить его в своем 
сниффере. По идее свич >должен будет посылать пакеты уже не только на 
порт, к которому подключен >А, но и на ваш. Будет это работать или нет - 
зависит от алгоритма свича. >Он может действительно посылать пакеты на 
два порта сразу, может >проигнорировать второй адрес, а еще может послать 
сообщение на пейджер >админа - это наиболее вероятно в случае, когда в 
конфигурации свича >каждый порт привязан к определенному MAC-у из 
соображений безопасности.
Все энто хорошо, но есть и обходные 
маневры :))
К примеру "умная винда" сама правит себе арп 
таблицу не спрашивая админа и не кого :))
Посылаешь ей пакет "типа ответ на арп запрос" 
с "правильным" адресом отправителя, тем где стоит снифер
Она правит соот-но арп таблицу у себя и 
потом честно будет считать что твой арп адрес соответствует "нужному" тебе 
IP-шнику.
Все сиди и слушай :)) как винда 
"разговаривает" с "нужным тебе" IP-шником.
И коммутатор второго уровня (наб или свич) ничего 
не заметит, ведь твой то MAC не изменился.
Вобще это проблемма TCP/IP протокола - 
каж-ся arp-spoofing зовется :)
А теперь лозунг: :)) -- ВСЕ НА IP V6 
гоу там такое вроде не прокатит
 
 

Re[2]: в сети снифер

[Герасимов Д . С .]

Hello Ilya,

Thursday, February 6, 2003, 8:33:16 AM, you wrote:

IP> Evgeny wrote:
IP> ...
во во
я тоже пробывал и tcpdump и просто переводить интерфейс в promisc
не находит не neped.c не  програмулина sniffdet
>>>
>>>А каким образом и через что именно у вам машины соединены?
>> 
>> 
>> локальная сеть свичи
>> 

IP> Попробуйте послушать кого-нибудь через хаб. Ваши свичи могут просто не 
IP> пускать   интересующие вас пакеты между сегментами (на то они и свичи 
IP> собс-но). Будет работать сниффер в сети со свичами или нет зависит от свича.
точно. и от сниффера, а также от умелости человека запустившего
сниффер. в составе dsniff есть утилита по приведению свичей в
состояние возбуждения.. :-)



-- 
Best regards,
 Герасимов
  e-mail: matrix AT podlipki DOT ru
  icq:26277841

Re[4]: в сети снифер

[Герасимов Д . С .]

Hello Alexander,

Thursday, February 6, 2003, 9:32:01 AM, you wrote:

AD> On Thu, 6 Feb 2003 08:44:57 +0300
AD> Герасимов Д.С. <[EMAIL PROTECTED]> wrote:

>> Hello Alexander,
>> 
>> Wednesday, February 5, 2003, 5:08:58 PM, you wrote:
>> 
>> AD> On Wed, 5 Feb 2003 11:16:03 +0300 (MSK)
>> AD> Yuri Nefedov <[EMAIL PROTECTED]> wrote:
>> 
>> 
>> >> > Единственное чем это сделать в Linux я не знаю, не смотрел. В масдае же 
>> >> > пользуюсь Sniffer Pro, он пакеты генерить умеет
>> >> > или зайди на сайт http://www.securiteam.com/tools/ там маленькая прога 
>> >> > лежит - sniffer detection tool.
>> >> > P/S/
>> >> > Если кто подскажет как и чем генерить свои пакеты в LINUX, был бы 
>> >> > признателен.
>> >> >
>> >>  В аttachment лежит маленькая программулька - neped.c,
>> >>  которая и осуществляет изложеную Вами программу действий.
>> >> 
>> 
>> AD> ничего эта программа полезного не показала, запустил я на одной машине 
>> tcpdump, а на другой neped и она не нашла машину с tcpdump
>> AD> это глюк или так и задумано?
>> а у вас какое ядро?
>> сейчас у многих 2.4.x
>> в исходниках описаны поддерживаемые ядра. может проблема в этом?

AD> 2.4.18

вот строки их исходников
"Network Promiscuous Ethernet Detector. Linux 2.0.x / 2.1.x, libc5 &
GlibC"
так что имеет право не работать.. 

-- 
Best regards,
 Герасимов
  e-mail: matrix AT podlipki DOT ru
  icq:26277841

Re: в сети снифер

[Ilya Palagin]

Evgeny wrote:

6 Февраль 2003 11:33, Ilya Palagin написал:


Evgeny wrote:
...



во во
я тоже пробывал и tcpdump и просто переводить интерфейс в promisc
не находит не neped.c не  програмулина sniffdet


А каким образом и через что именно у вам машины соединены?


локальная сеть свичи


Попробуйте послушать кого-нибудь через хаб. Ваши свичи могут просто не
пускать   интересующие вас пакеты между сегментами (на то они и свичи
собс-но). Будет работать сниффер в сети со свичами или нет зависит от
свича.


не совсем согласен
apt-cache show hunt
например



А с чем тут можно не согласиться?

Теоретически сниффер будет работать через свич при подделке MAC. 
Например, чтобы перехватить пакеты, идущие на компьютер А, нужно 
определить его МАС адрес и выставить его в своем сниффере. По идее свич 
должен будет посылать пакеты уже не только на порт, к которому подключен 
А, но и на ваш. Будет это работать или нет - зависит от алгоритма свича. 
Он может действительно посылать пакеты на два порта сразу, может 
проигнорировать второй адрес, а еще может послать сообщение на пейджер 
админа - это наиболее вероятно в случае, когда в конфигурации свича 
каждый порт привязан к определенному MAC-у из соображений безопасности.

Re: в сети снифер

[Alexander Danilov]

On Thu, 06 Feb 2003 11:05:54 +0600
Ilya Palagin <[EMAIL PROTECTED]> wrote:

> Evgeny wrote:
> > 5 Февраль 2003 20:08, Alexander Danilov написал:
> > 
> >>On Wed, 5 Feb 2003 11:16:03 +0300 (MSK)
> >>
> >>Yuri Nefedov <[EMAIL PROTECTED]> wrote:
> >>
> Единственное чем это сделать в Linux я не знаю, не смотрел. В масдае же
> пользуюсь Sniffer Pro, он пакеты генерить умеет или зайди на сайт
> http://www.securiteam.com/tools/ там маленькая прога лежит - sniffer
> detection tool. P/S/
> Если кто подскажет как и чем генерить свои пакеты в LINUX, был бы
> признателен.
> >>>
> >>> В аttachment лежит маленькая программулька - neped.c,
> >>> которая и осуществляет изложеную Вами программу действий.
> >>
> >>ничего эта программа полезного не показала, запустил я на одной машине
> >>tcpdump, а на другой neped и она не нашла машину с tcpdump это глюк или так
> >>и задумано?
> > 
> > 
> > 
> > во во
> > я тоже пробывал и tcpdump и просто переводить интерфейс в promisc 
> > не находит не neped.c не  програмулина sniffdet
> 
> А каким образом и через что именно у вам машины соединены?
> 

у меня машины в одном сегменте ethernet сидят

-- 
Alexander Danilov
UIN: 164825399

* Origin: If you can't do it in Perl, you don't want to do it.

Re: Re[2]: в сети снифер

[Alexander Danilov]

On Thu, 6 Feb 2003 08:44:57 +0300
Герасимов Д.С. <[EMAIL PROTECTED]> wrote:

> Hello Alexander,
> 
> Wednesday, February 5, 2003, 5:08:58 PM, you wrote:
> 
> AD> On Wed, 5 Feb 2003 11:16:03 +0300 (MSK)
> AD> Yuri Nefedov <[EMAIL PROTECTED]> wrote:
> 
> 
> >> > Единственное чем это сделать в Linux я не знаю, не смотрел. В масдае же 
> >> > пользуюсь Sniffer Pro, он пакеты генерить умеет
> >> > или зайди на сайт http://www.securiteam.com/tools/ там маленькая прога 
> >> > лежит - sniffer detection tool.
> >> > P/S/
> >> > Если кто подскажет как и чем генерить свои пакеты в LINUX, был бы 
> >> > признателен.
> >> >
> >>  В аttachment лежит маленькая программулька - neped.c,
> >>  которая и осуществляет изложеную Вами программу действий.
> >> 
> 
> AD> ничего эта программа полезного не показала, запустил я на одной машине 
> tcpdump, а на другой neped и она не нашла машину с tcpdump
> AD> это глюк или так и задумано?
> а у вас какое ядро?
> сейчас у многих 2.4.x
> в исходниках описаны поддерживаемые ядра. может проблема в этом?

2.4.18


-- 
Alexander Danilov
UIN: 164825399

* Origin: If you can't do it in Perl, you don't want to do it.

Re[2]: в сети снифер

[Герасимов Д . С .]

Hello Alexander,

Wednesday, February 5, 2003, 5:08:58 PM, you wrote:

AD> On Wed, 5 Feb 2003 11:16:03 +0300 (MSK)
AD> Yuri Nefedov <[EMAIL PROTECTED]> wrote:


>> > Единственное чем это сделать в Linux я не знаю, не смотрел. В масдае же 
>> > пользуюсь Sniffer Pro, он пакеты генерить умеет
>> > или зайди на сайт http://www.securiteam.com/tools/ там маленькая прога 
>> > лежит - sniffer detection tool.
>> > P/S/
>> > Если кто подскажет как и чем генерить свои пакеты в LINUX, был бы 
>> > признателен.
>> >
>>  В аttachment лежит маленькая программулька - neped.c,
>>  которая и осуществляет изложеную Вами программу действий.
>> 

AD> ничего эта программа полезного не показала, запустил я на одной машине 
tcpdump, а на другой neped и она не нашла машину с tcpdump
AD> это глюк или так и задумано?
а у вас какое ядро?
сейчас у многих 2.4.x
в исходниках описаны поддерживаемые ядра. может проблема в этом?

AD> -- 
AD> Alexander Danilov
AD> UIN: 164825399

AD> * Origin: If you can't do it in Perl, you don't want to do it.





-- 
Best regards,
 Герасимов
  e-mail: matrix AT podlipki DOT ru
  icq:26277841

Re: в сети снифер

[Ilya Palagin]

Evgeny wrote:
...

во во
я тоже пробывал и tcpdump и просто переводить интерфейс в promisc
не находит не neped.c не  програмулина sniffdet


А каким образом и через что именно у вам машины соединены?



локальная сеть свичи



Попробуйте послушать кого-нибудь через хаб. Ваши свичи могут просто не 
пускать   интересующие вас пакеты между сегментами (на то они и свичи 
собс-но). Будет работать сниффер в сети со свичами или нет зависит от свича.

Re: в сети снифер

[Ilya Palagin]

Evgeny wrote:

5 Февраль 2003 20:08, Alexander Danilov написал:


On Wed, 5 Feb 2003 11:16:03 +0300 (MSK)

Yuri Nefedov <[EMAIL PROTECTED]> wrote:


Единственное чем это сделать в Linux я не знаю, не смотрел. В масдае же
пользуюсь Sniffer Pro, он пакеты генерить умеет или зайди на сайт
http://www.securiteam.com/tools/ там маленькая прога лежит - sniffer
detection tool. P/S/
   Если кто подскажет как и чем генерить свои пакеты в LINUX, был бы
признателен.


В аttachment лежит маленькая программулька - neped.c,
которая и осуществляет изложеную Вами программу действий.


ничего эта программа полезного не показала, запустил я на одной машине
tcpdump, а на другой neped и она не нашла машину с tcpdump это глюк или так
и задумано?




во во
я тоже пробывал и tcpdump и просто переводить интерфейс в promisc 
не находит не neped.c не  програмулина sniffdet


А каким образом и через что именно у вам машины соединены?

Re: в сети снифер

[Evgeny]

5 Февраль 2003 20:08, Alexander Danilov написал:
> On Wed, 5 Feb 2003 11:16:03 +0300 (MSK)
>
> Yuri Nefedov <[EMAIL PROTECTED]> wrote:
> > > Единственное чем это сделать в Linux я не знаю, не смотрел. В масдае же
> > > пользуюсь Sniffer Pro, он пакеты генерить умеет или зайди на сайт
> > > http://www.securiteam.com/tools/ там маленькая прога лежит - sniffer
> > > detection tool. P/S/
> > > Если кто подскажет как и чем генерить свои пакеты в LINUX, был бы
> > > признателен.
> >
> >  В аttachment лежит маленькая программулька - neped.c,
> >  которая и осуществляет изложеную Вами программу действий.
>
> ничего эта программа полезного не показала, запустил я на одной машине
> tcpdump, а на другой neped и она не нашла машину с tcpdump это глюк или так
> и задумано?


во во
я тоже пробывал и tcpdump и просто переводить интерфейс в promisc 
не находит не neped.c не  програмулина sniffdet
-- 
Юркин Евгений

RE: в сети снифер

[Харичев Александр]

http://www.grmmy.ru

-Original Message-
From: Maxim Kalinkevich [mailto:[EMAIL PROTECTED]
Sent: Wednesday, February 05, 2003 7:18 PM
To: debian-russian@lists.debian.org
Subject: Re: в сети снифер


ну или вот -- сам так и не попробовал но мало ли
http://dibr.nnov.ru/issue021202.html
  там в середине страницу вырезка из ru.nethack


-- 
Сбиться с круга -- так это пустяк,
Мир не тот что вчера, что минуту спустя,
Который раз ... Пляшут искры около нас ...



-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Re: в сети снифер

[Maxim Kalinkevich]

ну или вот -- сам так и не попробовал но мало ли
http://dibr.nnov.ru/issue021202.html
  там в середине страницу вырезка из ru.nethack


-- 
Сбиться с круга -- так это пустяк,
Мир не тот что вчера, что минуту спустя,
Который раз ... Пляшут искры около нас ...

Re: в сети снифер

[Max Kosmach]

Alexey Zagarin пишет:

On Wed, 5 Feb 2003 17:08:58 Alexander Danilov <[EMAIL PROTECTED]> wrote:



Единственное чем это сделать в Linux я не знаю, не смотрел. В
масдае же пользуюсь Sniffer Pro, он пакеты генерить умеет или
зайди на сайт http://www.securiteam.com/tools/ там маленькая прога
лежит - sniffer detection tool. P/S/
Если кто подскажет как и чем генерить свои пакеты в LINUX, был
бы признателен.




В аttachment лежит маленькая программулька - neped.c,
которая и осуществляет изложеную Вами программу действий.




ничего эта программа полезного не показала, запустил я на одной машине
tcpdump, а на другой neped и она не нашла машину с tcpdump это глюк
или так и задумано?



Вообще, tcpdump - не сниффер вроде.
И promics mode он не юзает.


Интересно, а что тогда сниффер
и как у меня тогда tcpdump все пакеты, которые мимо идут видит :)

--
With Best Wishes
Max

Re: в сети снифер

[Alexey Zagarin]

On Wed, 5 Feb 2003 17:08:58 Alexander Danilov <[EMAIL PROTECTED]> wrote:

>>> Единственное чем это сделать в Linux я не знаю, не смотрел. В
>>> масдае же пользуюсь Sniffer Pro, он пакеты генерить умеет или
>>> зайди на сайт http://www.securiteam.com/tools/ там маленькая прога
>>> лежит - sniffer detection tool. P/S/
>>> Если кто подскажет как и чем генерить свои пакеты в LINUX, был
>>> бы признателен.

>>  В аttachment лежит маленькая программулька - neped.c,
>>  которая и осуществляет изложеную Вами программу действий.

> ничего эта программа полезного не показала, запустил я на одной машине
> tcpdump, а на другой neped и она не нашла машину с tcpdump это глюк
> или так и задумано?

Вообще, tcpdump - не сниффер вроде.
И promics mode он не юзает.

-- 
Alexey Zagarin
Aquarius Consulting
Phone: +7 (095) 745-3663 *170
E-Mail: [EMAIL PROTECTED]

Re: в сети снифер

[Alexander Danilov]

On Wed, 5 Feb 2003 11:16:03 +0300 (MSK)
Yuri Nefedov <[EMAIL PROTECTED]> wrote:


> > Единственное чем это сделать в Linux я не знаю, не смотрел. В масдае же 
> > пользуюсь Sniffer Pro, он пакеты генерить умеет
> > или зайди на сайт http://www.securiteam.com/tools/ там маленькая прога 
> > лежит - sniffer detection tool.
> > P/S/
> > Если кто подскажет как и чем генерить свои пакеты в LINUX, был бы 
> > признателен.
> >
>  В аttachment лежит маленькая программулька - neped.c,
>  которая и осуществляет изложеную Вами программу действий.
> 

ничего эта программа полезного не показала, запустил я на одной машине tcpdump, 
а на другой neped и она не нашла машину с tcpdump
это глюк или так и задумано?


-- 
Alexander Danilov
UIN: 164825399

* Origin: If you can't do it in Perl, you don't want to do it.

Re: в сети снифер

[Yuri Nefedov]

On Wed, 5 Feb 2003, Sav EM wrote:

> > как можно узнать есть ли в локальной сети  интерфейс в неразбочивом 
> > режиме?> появилось подозрение что один человек слушает трафик но поймать не 
> > удается
> Снифер (как правило, но не только) переключает сетевой интерфейс в PROMICS 
> MODE , после чего сетевая
> карта принимает не только пакеты, отправленные ей, но и чужие (с чужими 
> адресами получателя).
> В сети, как правило ищется не снифер, а сетевые интерфейсы работающие в 
> данном режиме.
> "Стандартные" методы поиска - необходимо генерить "неправильные" пакеты (не 
> принадлежащие твоей сети),
> с твоим обратным адресом. Нормально работающие сетевухи на такие пакеты не 
> откликнутся,
> а вот карты работающие в PROMICS MODE ответят.
> Единственное чем это сделать в Linux я не знаю, не смотрел. В масдае же 
> пользуюсь Sniffer Pro, он пакеты генерить умеет
> или зайди на сайт http://www.securiteam.com/tools/ там маленькая прога лежит 
> - sniffer detection tool.
> P/S/
> Если кто подскажет как и чем генерить свои пакеты в LINUX, был бы 
> признателен.
>
 В аttachment лежит маленькая программулька - neped.c,
 которая и осуществляет изложеную Вами программу действий.

 Успехов.
 Ю./* -

 Network Promiscuous Ethernet Detector.

  Linux 2.0.x / 2.1.x, libc5 & GlibC

   -

 (c) 1998 [EMAIL PROTECTED]

   -

   Scan your subnet, and detect promiscuous

   linuxes. It really works, not a joke.

   - 

*/

   

/*

 * $Id: neped.c,v 1.4 1998/07/20 22:31:52 savage Exp $

 */

 

#include 

#include 

#include 

#include 

#include 

#include 

#include 

#include 

#include 

#include 

#include 

#include 

#include 

#include 



#define ETH_P_ARP 	0x0806 

#define MAX_PACK_LEN 	2000

#define ETHER_HEADER_LEN 14

#define ARPREQUEST 	1

#define ARPREPLY 	2

#define perr(s) fprintf(stderr,s)



struct arp_struct

  {

u_char  dst_mac[6];

u_char  src_mac[6]; 

u_short pkt_type;

u_short hw_type;

u_short pro_type;

u_char  hw_len;

u_char  pro_len;

u_short arp_op;

u_char  sender_eth[6];

u_char  sender_ip[4];

u_char  target_eth[6];

u_char  target_ip[4];

  };



union

  {

u_char full_packet[MAX_PACK_LEN];

struct arp_struct arp_pkt;

  }

a;



#define full_packet a.full_packet

#define arp_pkt a.arp_pkt



char * 

inetaddr ( u_int32_t ip ) 

{

  struct in_addr in;

  in.s_addr = ip;

  return inet_ntoa(in);

}



char *

hwaddr (u_char * s)

{

  static char buf[30];

  sprintf (buf, "%02X:%02X:%02X:%02X:%02X:%02X", s[0], s[1], s[2], s[3], s[4], s[5]);

  return buf;

}



void

main (int argc, char **argv)

{

  int rec;

  int len, from_len, rsflags;

  struct ifreq if_data;

  struct sockaddr from;

  u_int8_t myMAC[6];

  u_int32_t myIP, myNETMASK, myBROADCAST, ip, dip, sip;



  if (getuid () != 0)

{

  perr ("You must be root to run this program!\n");

  exit (0);

}



  if (argc != 2)

{

  fprintf(stderr,"Usage: %s eth0\n", argv[0]);

  exit (0);

}



  if ((rec = socket (AF_INET, SOCK_PACKET, htons (ETH_P_ARP))) < 0)

{

  perror("socket");

  exit (0);

}



  printf ("--\n");

  strcpy (if_data.ifr_name, argv[1]);

  if (ioctl (rec, SIOCGIFHWADDR, &if_data) < 0) {

perr ("can't get HW addres of my interface!\n");

exit(1);

  }

  memcpy (myMAC, if_data.ifr_hwaddr.sa_data, 6);

  printf ("> My HW Addr: %s\n", hwaddr (myMAC));



  if (ioctl (rec, SIOCGIFADDR, &if_data) < 0) {

perr ("can't get IP addres of my interface!\n");

exit(1);

  }

  memcpy ((void *) &ip, (void *) &if_data.ifr_addr.sa_data + 2, 4);

  myIP = ntohl (ip);

  printf ("> My IP Addr: %s\n", inetaddr(ip));



  if (ioctl (rec, SIOCGIFNETMASK, &if_data) < 0)

perr ("can't get NETMASK addres of my interface!\n");

  memcpy ((void *) &ip, (void *) &if_data.ifr_netmask.sa_data + 2, 4);

  myNETMASK = ntohl (ip);

  printf ("> My NETMASK: %s\n", inetaddr(ip));



  if (ioctl (rec, SIOCGIFBRDADDR, &if_data) < 0)

perr ("can't get BROADCAST addres of my interface!\n");

  memcpy ((void *) &ip, (void *) &if_data.ifr_broadaddr.sa_data + 2, 4);

  myBROADCAST = ntohl (ip);

  printf ("> My BROADCAST: %s\n", inetaddr(ip));



  if ((rsflags = fcntl (rec, F_GETFL)) == -1)

{

  perror ("fcntl F_GETFL");

  exit (1);

}



  if (fcntl (rec, F_SETFL, rsflags | O_NONBLOCK) == -1)

{

  perror ("fcntl F_SETFL");

  exit (1);

}



  

  printf ("--\n");

  printf ("> Scanning \n");

  for (dip = (myIP & myNETMASK) + 1; dip < myBROADCAST; dip++)

{

  bzero(full_packet, MAX_PACK_LEN);



  memcpy (arp_pkt.dst_mac, "\0\6\146\3\23\67", 6); /* 00:06:66:03:13:37 :) */

  memcp

Re: в сети снифер

[Sav EM]

> как можно узнать есть ли в локальной сети  интерфейс в неразбочивом режиме?> появилось подозрение что один человек слушает трафик но поймать не удаетсяСнифер (как правило, но не только) переключает сетевой интерфейс в PROMICS MODE , после чего сетевая карта принимает не только пакеты, отправленные ей, но и чужие (с чужими адресами получателя).В сети, как правило ищется не снифер, а сетевые интерфейсы работающие в данном режиме."Стандартные" методы поиска - необходимо генерить "неправильные" пакеты (не принадлежащие твоей сети), с твоим обратным адресом. Нормально работающие сетевухи на такие пакеты не откликнутся, а вот карты работающие в PROMICS MODE ответят.Единственное чем это сделать в Linux я не знаю, не смотрел. В масдае же пользуюсь Sniffer Pro, он пакеты генерить умеет или зайди на сайт http://www.securiteam.com/tools/ там маленькая прога лежит - sniffer detection tool.P/S/    Если кто подскажет как и чем генерить свои пакеты в LINUX, был бы признателен.