|
ru.nethack
- RU.NETHACK -------------------------------------------------------------------
From : Olli Artemjev 2:5020/1354 09 Sep 2000 05:31:28
To : Vladislav Myasnyankin
Subject : antisniff (www.l0pht.com)
--------------------------------------------------------------------------------
Hi, Vladislav !
On 08 Sep 2000 at 23:04, "VM", Vladislav Myasnyankin wrote:
VM> И не подумаю. Потому что знаю принцип работы ethernet.
OA> То есть сходить на l0pht и почитать ты не хочешь? Зря.
VM> Да сходил, почитал. Все это хорошо, но имеет слабое отношение к режиму
VM> работы платы. И фиг ты определишь мой старый LanAlyzer на DOS+Win3.1
VM> без IP-стека. А вот читать и анализировать трафик я смогу легко (в том
У большинства людей ставящих сниферы стоит и стэк протоколов. Особенно это
касается локальных сетей построенных на TCP/IP - если выносить стэк - не
сможешь работать с коллегами и с серверами по работе. =)
VM> числе, и IP).
У тебя есть на примете готовая програмулька которая заменит тебе стэк
протоколов в описанной тобой ситуации? Если ее надо писать с нуля - на это
способны десятки человек, а возьмуться сделать - единицы на всю Россию.
Если не надо писать самому - подскажи plz url - интересно посмотреть.
VM> Так же как и не обнаружишь прогу, работающую в ДОС через
VM> int60 (через pkt-драйвер при неподнятых ipx и ip).
уффф.. с тех пор как я пытался скомпилить работающий клиент сервер под
нетварь из книжки ДИАЛОГ-HАУКА (в которой было немеряно багов) прошло без
малого 3 или даже 4 года - может напомнишь про задачи pkt драйвера - я
примерно столько-же с нетварью не сталкивался - позабывал половину. =(
VM> Или правильно настроенный линукс (со всеми опущенными сервисами и
VM> зарубленным нафиг icmp).
Зарубленное icmp и порезанные сервисы могут быть отнюдь не всегда. Просто
потому что чаще всего люди на машине не только интрудят, но и работают. Да
и знать о необходимости таких мер надо. Вот н сходил бы ты на l0pht и
поймался бы. ;) А сколько пионеров узнавших url sniffit и не сведущих о
subj. - не счесть.
VM> работу сети. А вот софтина может (например, в dns постоянно
VM> лазить). Так что не буду тратить время :)
OA> Какая разница какими методами. Главное результат. Если по этим самым
VM> А большая. Я говорил об изменении поведения аппаратуры. И при этом
Здесь конечно не обнаружишь. Однако по моему пофиг как ловить - главное
поймать.
VM> сразу уточнил, что есть косвенные признаки, "выдаваемые" причастным
VM> софтом. Так что не надо меня за советскую власть агитировать, ибо не
VM> вижу противоречий.
=) Уговорил.
OA> косвенным методам можно с вероятностью более, скажем 70, процентов
VM> определить
OA> promisc - твоя аксиома требует вставки оговорки про эти самые методы.
VM> :) Я бы не взялся прогнозировать процент. Ибо где-нибудь в универе -
VM> это одно, в HИИ - другое, а в банке - третье. Собственно, в доке на
Да я в общем-то и не собирал по нему статистики. =) Просто уж больно
категорично ты сказал "невозможно". =)
VM> антисниф четко написана область применения: если какую-то тачку
VM> взломали и поставили на ней сниффер, это, возможно, обнаружится. А
VM> если я сижу на своей машине и целенаправленно "шифруюсь" от админа -
VM> фиг ты меня вычислишь. Hу, разьве что в монитор через плечо заглянешь
VM> :)
Да я как-то предпочитаю не напрягаться - network intrussion detection,
впрочем как и OS intrusion detection это задача скриптов, а не человека. =-)
Опять же ssh/scp в руки и все сниферы бестолковы. Однако ежели припрет мне
искать потенциальных интрудеров - это будет один из методов.
--
Bye.Olli. mailto(remove "NOSPAM"): olli@sun-sta.misa.NOSPAMac.ru
*: Stop the world let me out.
--- Gnus/5.0803 (Gnus v5.8.3) XEmacs/21.1 (Bryce Canyon)
* Origin: Sunrise. (2:5020/1354.0)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
