У кого-нибудь есть мысли, как определить, не работает ли у кого сниффер и как с этим побороться?

сниффер меняет адреса функций в таблице импорта приложения на свои. Можно сохранить один-два реальных адреса и после запуска приложения - проверять, куда реально ссылается импорт

Не, в смысле, удаленно. Вот есть у нас локалка, и плюс ко всему к этому есть подозрение, что кто-то юзает сниффер. Надо найти злоумышленника =)

Метод определения уже известен - сканить сетку и смотреть у кого сетевуха в promicious mode.
Тока вот теперь вопрос - как именно это сделать?

Ага, молодцы! Шифруйте связь Ж)
Не ну хорошый сниффинг не засеч.
umka а ты случайно не в Болгарии живёш?

> umka а ты случайно не в Болгарии живёш?

Случайно, в России


> Не ну хорошый сниффинг не засеч.

Всё засеч! Если тока не сделать специальную сетевуху =)
Как говорится, .... (эээ... щас правила форума почитаю) ... во. "На каждую хитрую ж#пу найдется резвый х#й. А на каждый резвый х#й найдется ж#па с закоулками" Надеюсь, никого не оскорбил? =))


Так кто знает, как проверить, серевуха на машине 192.168.0.? все пакеты ловит, или тока свои?

Это сообщение отредактировал(а) umka - 11.2.2004, 15:39

А ну я одного умку из Болгарии знаю, поэтому спросил.
Если хочеш просто, то: Проидись по всем компам физически (т.е ножками подходиш и смотриш у кого какая ж#па).

да ну.. я ж во-первых не генеральный директор, чтобы ходить по всяким дизайнерам и менеждерам и кричать типа "ПРЕДЪЯВИТЬ РУКИ К ОСМОТРУ!" =)
Лучше вычислить злодея, и в корридоре с ходу в репу %)))

Вобщем, не наш это метод - ходить, да проверять, подозрение наводить. Тем боле, что сниффер можно быстро выключить. А тут программулинка будет сама раз в 5 минут всех проверять.
А как кто попадется - принимать меры.

Ну хорошо. Я где-то давно прочёл что если не правильно под линуксом что-то настроить и пустить снифер то тогда его можно засечь очень просто, но не помню как...
Я сейчас посмотрю.

Цитата

Смягчить угрозу сниффинга пакетов можно с помощью следующих средств:     * Аутентификация. Сильные средства аутентификации являются первым способом защиты от сниффинга пакетов. Под "сильным" мы понимаем такой метод аутентификации, который трудно обойти. Примером такой аутентификации являются однократные пароли (OTP - One-Time Password). OTP - это технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете. Типичным примером двухфакторной аутентификации является работа обычного банкомата, который опознает вас, во-первых, по вашей пластиковой карточке и, во-вторых, по вводимому вами ПИН-коду. Для аутентификации в системе ОТР также требуется ПИН-код и ваша личная карточка. Под "карточкой" (token) понимается аппаратное или программное средство, генерирующее (по случайному принципу) уникальный одномоментный однократный пароль. Если хакер узнает этот пароль с помощью сниффера, эта информация будет бесполезной, потому что в этот момент пароль уже будет использован и выведен из употребления. Заметим, что этот способ борьбы со сниффингом эффективен только для борьбы с перехватом паролей. Снифферы, перехватывающие другую информацию (например, сообщения электронной почты), не теряют своей эффективности.     * Коммутируемая инфраструктура. Еще одним способом борьбы со сниффингом пакетов в вашей сетевой среде является создание коммутируемой инфраструктуры. Если, к примеру, во всей организации используется коммутируемый Ethernet, хакеры могут получить доступ только к графику, поступающему на тот порт, к которому они подключены. Коммутируемая инфраструктура не ликвидирует угрозу сниффинга, но заметно снижает ее остроту.     * Анти-снифферы. Третий способ борьбы со сниффингом заключается в установке аппаратных или программных средств, распознающих снифферы, работающие в вашей сети. Эти средства не могут полностью ликвидировать угрозу, но, как и многие другие средства сетевой безопасности, они включаются в общую систему защиты, Так называемые "анти-снифферы" измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать "лишний" график. Одно из таких средств, поставляемых компанией LOpht Heavy Industries, называется AntiSniff.     * Криптография. Самый эффективный способ борьбы со сниффингом пакетов не предотвращает перехвата и не распознает работу снифферов, но делает эту работу бесполезной. Если канал связи является криптографически защищенным, это значит, что хакер перехватывает не сообщение, а зашифрованный текст (то есть непонятную последовательность битов). IPSec представляет собой стандартный метод защищенной связи между устройствами с помощью протокола IP. К прочим криптографическим протоколам сетевого управления относятся протоколы SSH (Secure Shell) и SSL (Secure Socket Level).

То что тебе нужно, помоему, AntiSniff.

http://packetstormsecurity.nl/sniffers/antisniff/
или прямо
http://packetstormsecurity.nl/sniffers/ant...niff/as-101.exe

Про результаты не забудь расказать.

Прога - то что надо, НО ... че-то покрутил я егё, на 2-х машинах пишет при запуске "No network adapters available" =(
Nicht funziklieren ...

Нужна подобная софтина

У меня работает, посмори доки, настройки.

Не работает, хоть убей В доках вообще ни слова

У меня на компе - встроенная сетевуха (Realtek) - не видит.
На проксе нашей - CNet и 3Com - тоже не видит ни одной.
Уж хотя бы 3Com то всем известный можно увидеть? =)))

А при компиляции может чё не так?
Ты под линуксом же?

Это сообщение отредактировал(а) __vi - 11.2.2004, 18:04

У меня CNet и всё путём, у колеги на win98 тоже идёт.

А сорцов этой штуки нету... Exe-шник же ж
И у нас тут винды везде, вообще-то =)))

Вроде это единственная прога такая.

есть вариант - сделать то же самое (возможно, чуть попроще) opensource
Вы мне тока скажите, кто-нибудь, как определить promiscuous mode на удаленном компе

Ну вот например сорс http://packetstormsecurity.nl/sniffers/ant...searchv1.tar.gz
Здесь есть разные сорсы.

оно ж на Сях
Си я последний раз видел в глаза лет пять назад =) А у нас тут - Delphi

Вот я ламо непальское )

Вот. Нашел-таки полтора часа спустя =)
Вот достойная софтина - Promiscuous Mode Detector
Где скачал, не помню, выкладываю временно тут. (freeware)

Ну как кончит, расскажеш. Кто был, дизайнер или менеджер.

Тема перенесена из Delphi.

Вот: http://forum.vingrad.ru/index.php?act=Search&f=38 и вот: http://forum.vingrad.ru/index.php?act=ST&f...%F4%E5%F0%EE%E2

тем не менее определить можно только наличие снифера... что как я понимаю не секрет...
а вот машину на которой он запущен выявить можно только если на ней сидит чисто пользователь снифера... а не нормальный дядя
Добавлено @ 14:46
promiscuous mode может быть включен на машине... которой даже в сети нет... виртуальная... а уже с нее можно считывать данные...