Защита от снифферов

Timer · 03 июня 2006, 17:27:26

Сначала обьясню в чём проблема. Существуют программы которые могут перехватывать и анализировать трафик от чужого компьютера до шлюза. Они действительно работают, причём достаточно эффективно. Эти программы спокойно перехватывают сообщения аськи, почты, а также пароли к аське почте и всему что передаётся в незашифрованом виде через инет. Работают снифферы только в одной подсети. Это связано с механизмом одного из вида сетевых атак, применяемой программой. В кратце механизм заключается в искажении таблицы мак адресов атакуемого компьютера а также шлюза подсети, это приводит к тому что весь трафик проходит не напрямую к шлюзу, а через компьютер хацкера

Решение проблемы - защитить таблицу мак адресов. Дело в том что эта таблица динамическая... именно это даёт возможность злоумышленнику её изменть. Необходимо сделать запись указывающую на маршрутизатор статической.

Теперь как это сделать:

Можно сделать это вручную - в командной строке написать arp -s IP <MAC>
где IP - IP шлюза
<MAC> - мак адрес шлюза
Но это придётся делать каждый раз при загрузки винды.

Есть прога называется antispoofer. Прога, инструкция и исходники прилагаются

S_H_A_D_O_W · 03 июня 2006, 19:17:13

Antispooff. exe already started.-запустил и все?
Сорри просто читать ето редми не хочется...
А про прогу перехватывающюю месаги мне рассказывал алхимик, говорит есть =)))

Kenty · 03 июня 2006, 19:37:05

Описаный тип атаки - ARP spoofing - это только разновидность, причем не самая популярная. Обычные снифферы работают проще и указанный метод противодействия для них неэффективен.
Нужно подходить с другой стороны и использовать только защищенные соединения, вместо icq - jabber, почту только через SSL, etc.

Rascal · 03 июня 2006, 19:47:21

ЦитироватьОписаный тип атаки - ARP spoofing - это только разновидность, причем не самая популярная. Обычные снифферы, как правило, работаю проще и указанный метод противодействия для них неэффективен.
Нужно подходить с другой стороны и использовать только защищенные соединения, вместо icq - jabber, почту только через SSL, etc.

Именно, ARP spoofing возможножен только если сеть на свичах, и связан с механизмом передачи пакетов.
Если сегмент на хабах, все намного проще и ни одна программулина тебя не спасет от снифферов

А вообще советую закрыть тему и учить матчасть.

Timer · 03 июня 2006, 22:11:13

ЦитироватьОписаный тип атаки - ARP spoofing - это только разновидность, причем не самая популярная. Обычные снифферы работают проще и указанный метод противодействия для них неэффективен.
Нужно подходить с другой стороны и использовать только защищенные соединения, вместо icq - jabber, почту только через SSL, etc.

Присоединяюсь к Rascalу. Сначала учим матчасть. Этот механизм единственный для перехвата трафика в сетях на свичах. Разновидность самая популярная. Остальное даже комментировать не буду.

Miron · 03 июня 2006, 22:21:46

А в ханхае на свитчах сеть или на хабах?

Timer · 03 июня 2006, 22:22:27

Интструкция по установке:
1. Распаковываем архив куда угодно.
2. Открываем файл AntiSpoof.ini
3. Находим строчку
IPAddress=192.168.44.29
и меняем на IP вашего шлюза кот. стоит в настройках сетевой карты к которой подключён Шанхай или Санет. Например 192.168.139.43
4. Нажимаем Пуск - Выполнить - пишем там cmd и интер
5. пишем arp -a

Интерфейс: 192.168.0.3 --- 0x2
Адрес IP Физический адрес Тип
192.168.0.1 00-c0-df-0d-eb-ae динамический

6. Ищем строчку с IP который вы вбили в п. 3.
Если строчки нет, то пишем ping IPшлюза а потом опять выполняем п.5
7. Копируем 16ричный набор цифр в моём случае 00-c0-df-0d-eb-ae
8. Находим в AntiSpoof.ini строчку MACAddress=1a:2b:3c:4d:5e:6f и меняем мак адрес на тот кот получился в п.7, не забываем исправить тире двоеточие
9. AdapterIndex=0x2 в моём случае менять не нужно, у вас может быть другой интерфейс искать в строчке
Интерфейс: 192.168.0.3 --- 0x2
команды arp -a
10. Сохраняем.
11. делаем ярлык и суём в автозагрузку.
12. Запускаем.
13. выполняем пункт 4 и 5. теперь у вас должно появится
Интерфейс: 192.168.0.3 --- 0x2
Адрес IP Физический адрес Тип
192.168.0.1 00-c0-df-0d-eb-ae статический

всё

Rascal · 03 июня 2006, 22:22:53

2Timer Вообще то я отвечал тебе присоеденившиссь к Kenty.
Эта програмулина не нужна, ибо никто не станет снифирить на свичах, никто не захочет пускать весь трафик сегмента через свой комп, это во-первых.
Во-вторых, если такой все-таки найдется, любой более менее нормальный фаервол защищает от неверных ARP запросов, даже Аутпост, так что учи мат часть, ибо разновидность сама редкая

Ну и наконец, если уж так боишься снифа - используй защищенные протоколы с SSL и TSL.

Kenty · 03 июня 2006, 22:24:07

2Miron - и то, и другое есть.

2Timer - в шанхае есть и свичи и хабы. Обсуждать только свичи.. гм ) флаг в руки...

Timer · 03 июня 2006, 22:25:47

Не нужно пускать весь трафик.. достаточно пустить трафик инетресуемого юзьверя. Фаерволы стоят не у всех. Про редкость использования спор бессмысленный учитывая количество сниферов использующих эту уязвимость. Фаерволы спасают далеко не все.
Я больше чем уверен что большинство на свичах.
Тем более я кажется никого не призываю ставить немедленно. Я обьяснил проблему и указал один из путей её решения.

Rascal · 03 июня 2006, 22:32:01

ЦитироватьНе нужно пускать весь трафик.. достаточно пустить трафик инетресуемого юзьверя. Фаерволы стоят не у всех. Про редкость использования спор бессмысленный учитывая количество сниферов использующих эту уязвимость. Фаерволы спасают далеко не все.

Дело в том что это не совсем уязвимость, а насчет фаерволов я сказал, те которые позволяют фильтровать ARP запросы. В любом случае панацея от кражи паролей одна - безопасные протоколы и чуть-чуть сообразительности, ибо самым популярным способом тырить пароли является "социальная инженерия".

Timer · 03 июня 2006, 22:37:03

К словам предираться не стоит. Да это не уязвимость а метод атаки, но это уже демогогия. Не спорю, безопасность приложения - это хорошо, но сой способ является простым и исключительно эффективным. А уж безопасные протоколы возможны далеко не всегда.

Rascal · 03 июня 2006, 22:54:21

2Timer Лана, сменят маршрутизацию сегмента, и что? Ломают?! Сниферят?! Где инет?!
Так что не увлекайтесь статическими маками, лучше уж нормальный фаервол, и других проблем меньше будет.

Timer · 03 июня 2006, 23:00:19

Я не думаю что смена мак адреса маршрутизатора такое уж частое явление. А вот с фаерволами всё не так просто. Напрмер в KPF есть антиспуффер, но срабатывает он далеко не всегда. Про аутпост ничё сказать не могу т.к. не проверял. Могу только сказать что уязвимость винды от некорректных IGMP пакетов, к которой так и не сделали заплатку оутпост пропускает на раз

Rascal · 03 июня 2006, 23:05:16

ЦитироватьЯ не думаю что смена мак адреса маршрутизатора такое уж частое явление. А вот с фаерволами всё не так просто. Напрмер в KPF есть антиспуффер, но срабатывает он далеко не всегда. Про аутпост ничё сказать не могу т.к. не проверял. Могу только сказать что уязвимость винды от некорректных IGMP пакетов, к которой так и не сделали заплатку оутпост пропускает на раз

А настраивать в аутпосте правила на IGMP протокол не пробовал? Заплатка кстати давно вышла

Все, тема исчерпана и думаю что ее надо закрыть. Выводы для себя по содержанию топика пусть каждый сделает сам.