détecteur de sniffer - Windows & Software
Marsh Posté le 05-01-2005 à 10:44:06
Mode promiscuous ou pas, si ton reseau est switche (c'est a dire chaque machine est sur un port different d'un meme switch), le sniffer ne verra rien d'autre que le traffic de sa propre machine.
Un detecteur DHCP ??
Marsh Posté le 05-01-2005 à 11:03:03
Arno_ > dans mon exemple c'est pour un serveur de jeu pour un lan qu'on organise, on a fait le test et en sniffant le reseau on peut chopper le rcon (outil permettant de gérer le serveur a distance) qui passe en clair ^^
Donc on veut pouvoir détecter si des personnes utilisent un sniffer.
dino27 > tout ceux qui font des petits reseau avec l'aide XP (par exemple) se retrouve avec un serveur dhcp d'installé par xp lui même pour gérer le reseau ainsi créé par ses soins.
Il est donc utile de détecter qui a cette option, génante pour nous car on a notre propre serveur dhcp (plusieurs dhcp sur le même réseau ne font pas bon ménage). Et j'ai ouie dire que ça existe donc pas de moquerie si t'es pas au courant ^^ xD
Marsh Posté le 05-01-2005 à 11:03:23
Exact ma fait bien rire ce topic
ya pas de moquerie simplement au depart de ta lan ta juste a dire tout le monde ce met en dhcp, les cartes prendront automatique les requetes envoyer par ton serveur, je vois pas ou est ton blem
tu as ouie dire perso j'en ai jamais vu et ca fait longtemps que je fait de l'info
Marsh Posté le 05-01-2005 à 11:20:25
Ya 2 questions que je pose dans ce topic:
Tout d'abord je cherche un détecteur de sniffer
http://www.commentcamarche.net/attaques/sniffers.php3
Dans la partie "Les parades"
J'en déduis bêtement que ça existe ^^
Pour le détecteur de dhcp ca semble conpromis m'enfin ..
A la base c'est un détecteur de sniffer que je cherche (cf url)
Marsh Posté le 05-01-2005 à 11:29:59
Il suffit de détecter quelles sont les interfaces en PROMISC mode non ? (sous réserve, je sais pas si ca marche sur du x86)
"ifconfig eth0" (sous Unix, faut laisser tomber windows pour du réseau de pointe là)
eth0:flags=8863<UP,BROADCAST,NOTRAILERS,RUNNING,PROMISC,MULTICAST>inet 127.0.0.1 netmask 0xffffff00 broadcast 255.0.0.1
puis un pfstat ?
Vérifier le checksum de la commande ifconfig pour éviter a des malins (intrus) de la remplacer par une commande factice.
Sinon le tunnel SSH est bcp plus sécuritaire pour la gestion de ton serveur à distance (du clair pour çà c'est assez erm...)
Marsh Posté le 05-01-2005 à 11:33:47
oui dfaçon nos machines serveur sont sous environnement unix
Je vais chercher de ce coté la alors.
Mais sinon ya pas une application deja existante que je pourrais utiliser ?
merci en tout cas, ca me fait une piste =)
Marsh Posté le 05-01-2005 à 11:35:55
bdg a écrit : oui dfaçon nos machines serveur sont sous environnement unix |
Je dois m'absenter 30 mins, je reposterais des infos + precises a mon retour.
Marsh Posté le 05-01-2005 à 11:39:37
Recherche du cote de "promiscan" http://www.securityfriday.com/prod [...] l#download
Il y a une version free. Mais je l'ai teste et ca ne marche pas terrible...
Marsh Posté le 05-01-2005 à 12:24:40
jamais utilisé çà mais ca peut valoir le coup d'essayer:
http://www.securiteam.com/tools/2GUQ8QAQOU.html
et çà:
http://sniffdet.sourceforge.net/faq.html
De l'Unix bien entendu, je vois pas l'interêt d'utiliser du Win32 sous Winex pour faire du network monitoring sur un Linux.
Ceci dit, il est possible de sniffer à l'aide d'un bon vieux hub et çà ca passe quasiment inaperçu (réseau à collision). Enfin à ma connaisssance. A mon humble avnis tu ferais nettement mieux de mettre en place du SSH et basta. Si les mecs veulent s'amuser à sniffer du crypté, bien leur en soit fait
Pour tester du DHCP rien de plus simple, il suffit de tester les packets DHCP spéciaux de broadcast envoyés par le/les serveurs. Nmap fait çà trés bien:
http://www.insecure.org/nmap/
Marsh Posté le 05-01-2005 à 10:39:56
J'organise avec mon asso des lan, et par souci de sécurité on est à la recherche d'un détecteur de sniffer.
Les sniffer sont en mode promiscuous (pas sur pour lorthographe) et je sais qu'il existe des détecteurs qui repèrent les machines qui fonctionnent avec ce mode.
Voila !
Et si vous avez le nom d'un détecteur de serveur dhcp aussi ça m'interesse !
Message édité par bdg le 05-01-2005 à 16:50:36