Freesco, NND, CDN, EOS :: Wyświetl temat - tcpdump, ethereal i wykrywanie "szkodników"

Freesco, NND, CDN, EOS http://forum.freesco.pl/

tcpdump, ethereal i wykrywanie "szkodników" http://forum.freesco.pl/viewtopic.php?f=22&t=5143	Strona 1 z 1

Autor:	fishu [ niedziela, 15 sierpnia 2004, 13:41 ]
Tytuł:	tcpdump, ethereal i wykrywanie "szkodników"
Wiem, wiem... Google ale chciałbym żeby ktoś kto już np. wykrył podział łącza u siebie napisał jakie techniki stosuje. Wszystko rozchodzi się o to że zrobiłem sobie zrzut za pomocą tcpdump na nnd i później oblookałem plik w ethereal`u pod windowsem i zastanawia mnie np. takie coś: sieć mam na ip. 192.168.0.x a jak oglądam plik z zrzutu tcpdump jednego z userów to mam: source: 192.168.0.xx /to prawdziwe ip usera/ destination: /to poniżej mnie najbardziej zastanawia/ 192.168.1.xx /jest tu kilka różnych ip/ czy to może o czymkolwiek świadczyć? jakby ktoś miał jakieś faq na temat tcpdump`a to niech się podzieli

Autor:	lookasz [ poniedziałek, 16 sierpnia 2004, 09:40 ]
Tytuł:
wg. mnie to tylko jakis program/wirus co "szuka" adresów w sieci lokalnej i próbuje "coś" na nie przesłać... szuka potencjalnych ofiar Przecież gdyby ktoś udostępniał twój net to jego IP(to które sprawdzasz) by było routerem a wszystkie inne adresy byłyby za nat'em - nie widziałbyś ich wcale, udostępmianie mozna sprawdzić po ttl, wysokich portach i oczywiście nadmiernym ruchu - ale z tego co wyczytałem to jedyna 100% metoda (reszta to przypuszczenia) to wejśc na chatę i kabelek zobaczyć expertem nie jestem, tak tylko sobie kombinuje... pozdr[/b]

Autor:	Koriolan [ poniedziałek, 16 sierpnia 2004, 13:10 ]
Tytuł:
U mnie też to jest z tym, że mam snort'a i ..złapałem jak komputery WYSYŁAJĄ z ip 192.168.1.2. Niestety mam wifi i jeden z AP nadaje swój MAC (co za skubaństwo ) wszystkim co za nim. Nie wiem więc jaki MAC ma ten komputer, ale ponieważ nie jest tego dużo to myślę, że to winXP tak sieje; może w czasie bootowania ? Próbowałem złapać kogoś kto może 'udostępniać' MÓJ internet ale jest ciężko, nawet jak złapiesz, że ktoś np. odczytuje pocztę to i tak mogą powiedzieć, że kumpel na chwilę skorzystał z komputera. Jedyna metoda to chyba tylko 'kabelek w gnizdku' .

Autor:	lookasz [ poniedziałek, 16 sierpnia 2004, 13:24 ]
Tytuł:
sprawdź/zainstaluj statystyki - jak ktoś za duzo ściąga to go po prostu przytnij - wtedy niech sobie udostepnia ile chce i komu chce - HTB idealnie się do tego nadaje

Autor:	fishu [ wtorek, 17 sierpnia 2004, 10:25 ]
Tytuł:
lookasz pisze: ...sprawdzić po ttl... znajomy podesłał mi taką regułkę: Cytuj: $IPTABLES -I FORWARD -s $INTNET -m ttl --ttl-eq 126 -j DROP czy dobrze rozumiem że ona odrzuca wszystko co przychodzi z ttl o wartości 126? sprawdzałem u niego i rzeczywiście nie dało się postawić serwerka rozdzielającego pod NND /robionego według instrukcji/ oraz na routerze sprzętowym też nie poszło dzielić łącza... ale domyślam się że można jakoś wart. ttl zmienić - ale jak? P.S. oczywiście trzeba zmienić INTNET na odpowiedni.

Autor:	lookasz [ wtorek, 17 sierpnia 2004, 12:54 ]
Tytuł:
no na to wygląda że odrzuca ttl 126 ale czemu to działa i to na nnd to nie wiem... znalazłem coś takiego http://www.linuxfan.pl/dyskusje/pcol.2003/10.2003/8328.php3 też wymieniaja ta regułe i wg. nich blokuje NAT tylko na windowsie i niektóre routery tylko dlaczego 126 a nie 127? tego nie rozumiem (jeszcze) ok, znalazłem coś takiego i to rozumiem.. ---==[ TTL ]==--- # TTL - czas zycia pakietu. # Potrzebny do dzialania patch-0-matic www.netfilter.org wkapliowany w jadro. # # Gdy pakietom wychodzacym od nas w siec lokalna ustawimy TTL=1 to # naszym klientom bedzie trodniej ustawic masquerade. # Zas gdy otrzymamy pakiet z LAN z TTL=127 to mozemy miec sporo pewnosci ze # ktos dzieli net za naszymi plecami... # # Jesli kcesz dzielioc lacze i twoj ISP daje Ci TTL=1 to znaczy ze ma jakis powod... # Nie podam Ci jakiej bałwan jestem nalezaloby wtedy uzyc.. ale 'man iptables' # Ta bałwan jestem wyrzuca wszystkie pakiety z LAN ktore sa podejzane o bycie z masq #$IPTABLES -A FORWARD -s $INTNET -m ttl --ttl-eq 127 -j DROP to jest ta sama reguła co podana przez ciebie tylko na 127 # Ta z koleji ustawia wszystkie wychodzace na LAN ttl=1 #$IPTABLES -t mangle -A PREROUTING -i $EXTDEV -j TTL -ttl-set 1 ale o co chodzi z tym ttl 126? że to niby 2x przez maskaradę przechodzi? szukam dalej [/b]

Autor:	fishu [ wtorek, 17 sierpnia 2004, 22:29 ]
Tytuł:
Właśnie zastanawia mnie też to 126 - to jakoś jest do wyjaśnienia... może ktoś wie o co chodzi? aha... czy extdev oznacza sieciówkę /w moim przypadku/ podłączoną do modemu DSL? czy może do lan`a

Autor:	Koriolan [ poniedziałek, 30 sierpnia 2004, 20:06 ]
Tytuł:
Też jestem zielony jak Wy, ale dodatkowo musnąłem tematu 'rozpoznawanie systemu'. Być może np.winzgroza jak ktoś nie ustawi inaczej ZAWSZE daje ttl=126 dla NATu ?

Strona 1 z 1	Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/