160 ответов в этой теме

[Igor Diakonov]

О мля.... я о PromQry 
Зыкая фиговина, полностью бесполезная, зато прикольная.
Хм, и чо, сетевуха реально сообщает всем кому не попадя что она в Promiscuous mode  ???
Сомневает меня чего-то......

Ну хоть кто-то понимает о чём речь...
Респект!

[Staliberg]

а может есть кто-нить,способный нам вернуть номера?типа взлом с добрыми намерениями

[RedlleGirl~]

а может есть кто-нить,способный нам вернуть номера?типа взлом с добрыми намерениями

хм, да их уже с любыми намерениями не вернуть

[Serg]

Найдете виновника - биту одолжу

А мне бита не надо, просто хочется кому-нибудь больно сделать.

[Телевизора Боялись]

пошли напьемся и вечером гулять пойдем гденить в попугайнике? поделаем больно людям))))

[Musicman]

Ребята, и у меня несколько дней назад сперли асю и мыло. Благо мыло восстановил а асю нет. Асю мою никто 2 года не трогал. Я думал вначале что вирусня какая то на работе (дома ведь антивирус обновленный нортон и винда с последними обновлениями)... а почитал блин и врубился что это в РТС-сети такое творится...... Вот теперь стремно становится блин. На GPRS 1.5 года никогда не было проблем..... И на диалапе тоже (не считая вирусов). Но когда все как надо............. Это по-моему недостатки сети..........

[RedlleGirl~]

............. Это по-моему недостатки сети..........

ага, такие маааленькие недочетики

[BoNuS]

У меня вроде тоже старое мыло спёрли! пол года назад! ПРосто пароле не подходит и всё тут! Храшо что на ту почту токо один спам преходил дык не жалко!

[Damon]

У меня вроде тоже старое мыло спёрли! пол года назад! ПРосто пароле не подходит и всё тут! Храшо что на ту почту токо один спам преходил дык не жалко!

Ты тут малёк не в тему со своим мылом

[CherryPah]

Вроде выше уже был разговор про qip и его бесполезность

[Валенок]

На сколько я понимаю проблему, то многое еще зависит и от того, какое сетевое оборудование установлено. В нашем сегменте 10.128.5.* стоит циска, которая обычные сниферы рубит (правда эта циска периодически падает, но это другая история) и, как я понимаю, остается только единственный вариант - ARP-атака.
Суть, вкратце, в том, что компьютер злоумышленника подменяет MAC-адрес вашего шлюза-по-умолчанию на адрес своего компьютера и все пакеты начинают ходить не напрямую на шлюз, а через его компьютер.
Как это проверить.
Зайдите в коснсоль cmd.exe/command.com и наберите
arp /a
вы увидете таблицу соответствия IP адресов MAC-адресам.
Находите в этой таблице IP & MAC адреса вашего шлюза-по-умолчанию.
Смотрите, есть ли еще в таблице компьютеры с такм же MAC-адресом. Если есть - это, скорее всего, и есть MAC-адрес злоумышленника.

В инете есть много информации о том, как пользоваться снифферами, тем более, что последнее время снифферы приобрели интерфейс, понятный любому, кто знаком с правилами пользования мышью и клавиатурой.

Я вижу наиболее простое решение - жесткая привязка IP адреса к MAС-адресу. Таким образом, циска не должна принимать пакеты, если IP адрес в пакете не сответствует MAC-адресу сетевой карты. Хотя и это не панацея, т.к. MAC-адрес можно легко подделать. Тогда еще проще - можно привязать IP-адрес к порту на циске! Вот тут уж не подкопаешься! И вести логи на циске - тогда все будет ясно.

Вообще, вариант ведения логов на циске (или ведение логов всего траффика в сегменте) - достойный внимания, т.к. можно проанализировать логи и понять, что, где и кто отсниффил и нагадил. На сколько я знаю, так делают/делали в банках службы безопасности. Вопрос в том, кто захочет сидеть днями и ночами и разбирать эти логи.

Уфф. Целое "послание турецкому султану" написал!

Может админы меня поправят, если я не прав в чем-то.

[Валенок]

Да, забыл еще один возможный вариант решения проблемы.
Каждый на своем компьютере делает ARP запись о соответствии IP-адреса MAC-адресу статической и тогда ARP-атака становится невозможной, т.к. изменить статическую запись в ARP-кэше широковещательным запросом невозможно (на сколько я знаю).
Делается это просто:
arp -s <IP-адрес шлюза> <MAC-адрес шлюза>

Например:
arp -s 157.55.85.212 00-aa-00-62-c6-09

Важное замечание. Если технический персонал впоследствии измененит MAC-адрес шлюза, то на компьютере со статической записью интернет и все, что вне сегмента перестанет работать.

Все вышесказанное справедливо для предотвращения ARP-атак. На сколько я знаю, ARP-атака - один из самых распространенных видов сниффинга в сетях с коммутаторами.

Конечно, это не поможет тем, у кого расшарены системные шары, такие как C$ и учетная запись администратора имеет пустой пароль. Более того, у некоторых товарищей вообще расшаерены диски целиком с правом чтения/записи для гостевого аккаунта...

Может было бы хорошей идеей регулярно проводить мониторинг сегментов на предмет безопасности и выдавать рекомендации. Хотя наверняка у админов и без этого дел "выше крыши", но иначе подобные компьютеры не смогут существовать в большой сети.

Вот

[JesTerro]

да нифига ты не валенок при ближайшем рассмотрении

[rb338]

да нифига ты не валенок при ближайшем рассмотрении 

Во-во, я тож заметил.
Побольше бы таких людей)

[Телевизора Боялись]

сколько на Валенка учился?

[U-G1n]

Валенок жжот

[zadira]

Расскажи ещё чё-нить.

[Валенок]

Да ладно вам, может это и не поможет... Надоть разобраться что к чему.
Если каждый в своем сегменте будет периодически смотреть таблицу ARP-записей, то есть вероятность скоро найти злоумышленника (при условии, если адрес шлюза при просмотре таблицы - динамический). Как это сделать - см. ARP /?
Я могу на досуге (или даже правильнее, если этим займутся админы) поставить сканнер безопасности и проверить в своем сегменте соседние компьютеры на предмет их защищенности, если владельцы компьютеров не будут против, а то без спроса сканировать чужие компьютеры не хорошо...

Вобщем, что бы мы не говорили - мы с вами сами "кузнецы своего счастья" и мы сами должны поддерживать порядок вокруг себя. Если кто-то гадит - надо проводить разъяснительную работу или изолировать злоумышленников.

Оффтопик: У нас в лифте на днях оторвали все аллюминиевые накладки и уголки.... Я уже и не говорю пор то, что все стены регулярно расписывают несмотря на то, что периодически стены моются от всего. Странные люди, гадят там же, где и живут... А так хочется, чтобы в лифте на стенах были зеркала, чтобы на полу лежал коврик...

Если у меня есть возможность сделать что-то, чтобы в сети был порядок, то я постараюсь это сделать. Надеюсь, что я не один такой

[Валенок]

Народ, у кого там в сегментах беспорядок - гляньте на ваши таблицы и запостите их сюды, если увидете, что в таблице у нескольких IP-адресов одинаковые MAC-адреса. И особенно, если у кого-то такой-же MAC-адрес, как и на шлюзе!

Как посмотреть адрес своего шлюза-по-умолчанию (Default gateway):
в консоли (cmd.exe) вводим:
ipconfig
и жмем <Enter>
Видим надпись Default Gateway: 192.168.0.1 (или что-то подобное)
Это и есть адрес шлюза - записываем его.

Как посмотреть ARP-таблицу:
arp /a
и жмем <Enter>
Видим IP адрес шлюза и его физический адрес (MAC-адрес)
Это и есть MAC-адрес шлюза - записываем его.

Смотрим в таблице, есть ли еще записи с таким-же MAC-адресом.
Если есть - копируем таблицу и постим сюда на всеобщее обозрение.

Примеры таблиц (данные вымышленные, любое совпадение - случайность ):

Обычная таблица:

Interface: 192.168.7.23 --- 0x10001
Internet Address Physical Address Type
192.168.7.1 00-6f-10-2d-13-a8 dynamic

Выше мы видим только одну запись с адресом шлюза - все ок.


Не хорошая таблица:

Interface: 192.168.7.23 --- 0x10001
Internet Address Physical Address Type
192.168.7.1 00-6f-10-2d-13-a8 dynamic
192.168.7.10 12-75-f5-23-b4-41 dynamic
192.168.7.13 00-6f-10-2d-13-a8 dynamic

Тут мы видим, что некто с адресом 192.168.7.13 и MAC-адресом 00-6f-10-2d-13-a8 ВОЗМОЖНО делает что-то не хорошее и пора задать ему пару интересных вопросов.

Надеюсь, злоумышленник скоро найдется или, если он читает эту тему -хотя бы успокоится.