Monitorovani site
Pavel Brychta
pavel.brychta@duhasys.cz
Pondělí Prosinec 10 10:52:01 CET 2007
No to neni tak uplne pravda - daji se pouzit techniky, ktere preplni
vyrovnavaci pamet MAC adres ve switchi, pak se switch zacne chovat jako HUB.
Tusim se to jmenuje ARP cache poisoning :-)
Pavel Brychta
-----Original Message-----
From: hw-list-bounces@list.hw.cz [mailto:hw-list-bounces@list.hw.cz] On
Behalf Of Pavel Troller
Sent: Monday, December 10, 2007 10:21 AM
To: HW-news
Subject: Re: Monitorovani site
> Lze zjistit, který stroj má síťovku v promiskuitním režimu (promisc).
> Ten pak poslouchá všechny pakety.
>
Zdravím,
asi by ale bylo vhodné zmínit, že záleží hodně na centrálním prvku sítě.
Pokud se používá (asi už jen velmi vzácně) koaxiální ethernet, tak to vše
platí, jak bylo řečeno, neboť počítače jsou skutečně napřímo propojeny.
Pokud se používá rozbočovač (hub), platí to jakbysmet - jde o velmi
primitivní zařízení, které skutečně rozbočuje pakety došlé z jednoho
rozhraní do všech ostatních.
Pokud se ale použije switch, už by to být nemělo, neboť ten posílá kromě
broadcastů do rozhraní jen ty pakety, které jsou určeny pro danou MAC
adresu.
Nepomůže tedy ani PROMISC mode, neboť ta karta beztak jiné pakety než své
nevidí.
Lepší managovatelné switche ale mají tzv. port-monitoring, kde do jednoho
portu lze směrovat provoz nejen pro něj, ale i z těch ostatních, právě pro
účely monitoringu. Levné switche ale tuto možnost nemají, takže možnost
odposlechu cizího stroje je u nich snížena.
S pozdravem Pavel Troller
_______________________________________________
HW-list mailing list - sponsored by www.HW.cz Hw-list@list.hw.cz
http://list.hw.cz/mailman/listinfo/hw-list
Další informace o konferenci Hw-list