Аннотация:
Сниффер – это программа, которая позволяет перехватывать сетевой трафик. Когда говорят о снифферах, то обычно проводят аналогию с прослушиванием телефонных разговоров. Подключившись к телефонной сети, можно перехватить беседу людей. Примерно также в компьютерных сетях можно перехватывать информацию, которой обмениваются компьютеры. Прослушивание возможно благодаря особенности архитектуры сети Ethernet (IEEE 802.3). Архитектура большинства локальных сетей основана на технологии Ethernet (ether – эфир, network – сеть), в которой все устройства подключены к одной среде передачи данных и совместно её используют. Топология сети Ethernet – линейная или звездообразная, а скорость передачи данных 10, 100 и 1000 Мбит/сек. Ethernet – это широковещательная сеть, в которой все узлы могут принимать все сообщения через единую магистраль. Используя эту особенность Ethernet, отпадает необходимость несанкционированного подключения к сегменту сети, т.е. не требуется резать кабели. Компьютер, с которого предполагается прослушивать, уже подключен к некоторому сегменту сети.
Существуют ли способы определить, что сетевая карта на каком-то компьютере в сегмента работает в режиме promiscuous? Т.е. можно ли отловить работу снифера?
Как я понимаю перехватить ARP-пакеты не получится -- это не семейство IP и информация приведена в общеобразовательных целях?
Далее, Raw IP означает возможность перехвата всех пакетов IP-based протоколов, т.е. тех же TCP, UDP, ICMP ?
Для не IP-based протоколов или протоколов канального уровня никаких средств нет (ну кроме как своего NDIS-драйвера)?
Есть ли возможность по-другому работать со встроенным драйвером, с тем что бы снять вышеперечисленные ограничения?
Если человек программист, то это надолго.
Re: ARP, TCP, UDP ???
От:
Аноним
Дата:
10.10.02 10:07
Оценка:
Надо NDISдривер писать или пользоваться готовым. Надо хватать весь Ethernet траффик.
Найди NT DDK. Там есть 'packet' драйвер в примерах. Он идёт с программкой, позволяющей читать пакеты. Путём небольших изменений её можно переделать в библиотеку. Ну а дальше...
Здравствуйте, server_mouse, Вы писали:
_>Может раскажешь, как пользоваться готовым (уже стоящим в виндах) драйвером? _>Мне например было бы интересно....
Проще поставить WinPCap — готовый Ndis драйвер. Позволяет передавать и ловить урезанные Ethernet фреймы(без CRC, началной и конечной последовательностей).
Здравствуйте, dupamid, Вы писали:
D>Существуют ли способы определить, что сетевая карта на каком-то компьютере в сегмента работает в режиме promiscuous? Т.е. можно ли отловить работу снифера?
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, server_mouse, Вы писали:
_>>Может раскажешь, как пользоваться готовым (уже стоящим в виндах) драйвером? _>>Мне например было бы интересно....
DOO>Проще поставить WinPCap — готовый Ndis драйвер. Позволяет передавать и ловить урезанные Ethernet фреймы(без CRC, началной и конечной последовательностей).
Привет.
Ага а ты пробовал с ней работать на больших нагрузках. IHMO глючная вещь под Windows (т.к. реализована там не очень прямым образом), а для Linux рулит (но не на больших нагрузках, хотя и использует стандартные Берклиевские фильтры).
Здравствуйте, dupamid, Вы писали:
D>Существуют ли способы определить, что сетевая карта на каком-то компьютере в сегмента работает в режиме promiscuous? Т.е. можно ли отловить работу снифера?
Предлагается пинговать подозреваемую карту, одновременно по сети скопировать гигантских размеров файл... Если карта в таком режиме, то процессору придется обрабатывать большие объемы данных, из-за чего (теоретически) время эхо-ответа должно возрасти...
ИМХО, it depends..