From: Evrim ULU (evrim@envy.com.tr)
Date: Sat 11 May 2002 - 12:53:33 EEST
burak dayioglu wrote:
> On Sat, 11 May 2002, Evrim ULU wrote:
> Sevgili Evrim,
> Ben Hunt'i en son bir yil kadar once kullanmistim. Bir sniffer'i tespit
> etmek icin kullanilabilecek nasil becerileri var? Gidip dokumantasyonuna
> goz atabilirim ama siz deneyimli iseniz sizden (deneyimleriniz ile
> birlikte) dinlemeyi -kesinlikle- tercih ederim.
>
Olay tamamen os tcp stack uygulamalarinda aciklari kullanmaktan ileri geliyor
zaten. Yanliz yeni linux cekirdeklerinde haliyle bunlar duzeltilmistir.
linux icin bogus mac'li fakat dogru ip'li paket gonderiyor (icmp echo) ve cevabi
dinliyor. 2.2.10 'da duzeltmisler bunu. Aynisi netbsd de varmis mesela.
bunlarin cogu duzeldi ama asil ilginc olan zor bir metod daha gordum.
l0pth'un antisniff'inde vardi.
bogus paketlerle flood edip, time latencyleri kontrol ediyor. sniffer varsa
cevaplar gec geliyor normal paketlere gore process edildigi icin. iki uc metod
ile daha deniyor ve ona gore karar veriyor ama cok basarili degil sanirim. zaten
l0pth'u da atstake almis siteleri kapaliydi. tum security camiasi birlesiyor
mudur nedir anlamadim ki.
hunt haliyle bunlarin hicbirini yapmiyor. sadece stack'taki arp sorunlarini
kullaniyor. Yeni kernellerde herhangi bir etkisi yok. Ama huntun cok daha ilginc
ozellikleri var mesela herhangi bir telnet sesssioni rstliyebiliyor. Bu yuzden
kullaniyorum ben zaten. Ilk surumunde bizim engurun patch'i vardi sanirim ilk o
gostermisti bana hunt'i.
http://www.securiteam.com/tools/AntiSniff_-_find_sniffers_on_your_local_network.html
adresinde yukardaki yontemleri daha detayli anlatmis ilgini cekerse bakabilirsin.
Daijinin paperina baktim bu arada; guzelmis hakketen ama artik bir ise
yarayacagini sanmiyorum. Daha fazla arastirmak lazim ilginc bir konuya benziyor.
Saglicakla.
-- Evrim ULU evrim@envy.com.tr / evrim@core.gen.tr sysadm http://www.core.gen.tr----------------------------------------------------------------------- Liste üyeliğiniz ile ilgili her türlü işlem için http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine, "Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz. -----------------------------------------------------------------------