lehce OT-sniffer na bsd

Dan Lukes dan at obluda.cz
Thu Jun 29 13:54:22 CEST 2006


Jaroslav Votruba napsal/wrote, On 06/29/06 13:25:
> taky napadlo me to udelat pres preklad adres kdy bude bsd mit IP 
> tiskarny a budu to natovat na tiskarnu a pak zkouknu logy,ale zatim mi v 
> to branila vrozena lenivost:-))
> jen nevim,jestli Netbeui  pouziva TCP nebo udp ,abch to nejak profiltroval.

	Me pripada, ze vymyslite strasny slozitosti.

	Pokud mam cilove zarizeni pripojene na jednom HUBu s monitorovacim PC, 
pak proste vidim (s kartou v promiskuitnim modu) vsechno, co ta stanice 
dostava (filtruji podle cilove IP + pripadne broadcasty) a odesila 
(filtruji podle zdrojove IP). Pokud mam podezreni na non-ip komunikaci, 
pak nefiltruji podle IP, ale podle MAC.

	Pokud znam zdrojove (tisknouci) zarizeni, pak mohu monitorovat take u 
nej pripadne, pokud je to mozne, dokonce primo na nem (tcpdump existuje 
dokonce i pro Windowsy, jen se jmenuje WinDump - ovlada se ale stejne, 
vcetne syntaxe).

	Cim slozitejsi zpusob, jak se dostavat k datum, vymyslite, tim vetsi 
pravdepodobnost je, nefungovat bude samotny monitoring bez ohledu na to, 
jakeho typu je hledana zavada ...

	Obzvlast, kdyz ani nevite, jestli komunikacni protokol je IP ...

	Jestli tam nebylo zaznamenani nic jineho nez drobne variace na tema:

> 17:40:35.653458 arp who-has 192.168.0.150 tell 192.168.0.9

	... pak tam zadna IP komunikace neprobihala. Pokud tiskarna presto v te 
dobe tiskla, pak komunikace probihala jinym protokolem. A tak bych, jak 
uz vyse receno, zkusil filtrovat ne podle IP, ale podle MAC ...

						Dan


-- 
Dan Lukes                                   SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz



More information about the Users-l mailing list