Как поймать того кто снимает пакеты по сетке?
 

есть в сетке чат qchat 1.6. один товарисч снимал пакеты с компа и кидал в майн чата. это делалось автоматом. я кому--то пишу и оно сразу в майн ложится. но это все не сильно обидно. но потом он поменял пароли и удалил все мои ящики и в асе сменил пароль. как его поймать? админ сети сказал что это сложно и он этим заниматься не будет.

solromkaПочему не будет? Что за сетка? На каких условиях ты в ней работаешь? Самостоятельно без админа ты скорей всего ничего не сделаешь. А искать скорей всего надо кого-то со сниффером в режиме "прослушивания". Если админ этим не будет заниматься, то... И о работе в такой сетке с таким админом стоит задуматься...

solromka
Будет. Это, вообще-то, его обязанность.
Меня терзают смутные сомненья, что перехвата пакетов для этого недостаточно. Так что для начала - стандартная процедура - сканирование антивирусом, ad-aware, файервол.

SilentSpiderУвы достаточно. Чтобы перехват пакетов не дал возможности узнать пароли, необходимо использование TLS в почтовом клиенте, однако не все почтовые провайдеры его поддерживают. Без него и POP3 и SMTP пароли передаются в открытом виде и легко перехватываются в "широковещательных" сетях.

сетка tcp-ip и net-bios вроде. tls у меня в почтовике не активно че-то. юзаю the bat.
так что я сам никак не смогу посмотреть кто сниффит?

и как заактивить TLS?

Greyman
Ясненько. Но как я понимаю, сниффер должен быть в том же сегменте сети?
BTW - судя по отношению - не админ ли этим развлекается?
solromka
Для этого необходима поддержка со стороны почтового сервера. Gmail for instance.

сеть с доменами. компов много. очень много. уверен что админ этим не занимается. а как узнать о поддержке сервером TLS?
в принципе я написал заявление по факту кражи и уничтожения данных в милицию. дело завели.

solromkaЯ не это спрашивал. Я спрашивал с организационной точки зрения. Чья она, какого типа, кто занимается администрированием, на каких основаниях ты ею пользуешся?

SilentSpider
Как правило да. Однако это частый случай в т. н. "домашних сетях", а также во многих учебных заведениях и др. бюджетных организациях с малым ИТ-бюджетом. Однако в некоторых случаях используя технологии спуфинга можно снифферить и сеть на комутаторах, в т. ч. вне своего сегмента... Просто это не так просто и админ такие случаи должен сразу замечать, т. к. будет резкий рост трафика с этой станции со сниффером. В любом случая админ здесь не последнее лицо. Просто он может действительно обладать низкой квалификацией, но это уже вопросы к руководству...

сеть - большой завод. есть отдел по компам и там есть админ сетки. мне естественно все официально предоставлено.
вот тока админ козлит выдавать этого урода. говорит "я доказать что это он не могу но предполагаю кто. я с ним поговорил чтобы он этого больше не делал"думаю менты из админа эту инфу вытянут.
насколько я понимаю он может узнать это. это долго? много ли это для него работы?

solromkaЕсли спиффер включен, то недолго, определяется мониторингом активного оборудования, а потом проверяется на рабочем месте чтоб 100%. Если щас уже сниффер выгключен и карта не находиться в режиме прослушивания, то немного сложнее, т. к. надо смотреть логи, а они могут быть не достаточно подробными... Однако на подозреваемой рабочей станции "следы" должны были остаться...

Ты админу сказал, что у тебя заявление приняли?

да. админ в курсе.
а как (какой командой) можно узнать инфу о компе?
я поставил autpost firewall и он мне показывает кто ко мне подрубиться хочет. так вот несколько раз один и тот же ай-пи сувался. прям внаглую. пока я его не блокирнул. можни ли по ай-пи узнать кто это?

Попробуй Для внутренней сетки еще может сильно пригодиться команда (параметр регистрозависимый) Полученные имена может тебе что-то дадут. Заодно попробуй сделать поиск этого ПК в сетевом окружении по этому адресу, может он не в скрытом режиме, тогда может и комментарий будет...

на первую команду пишет:
ответ от (ай-пи): число байт =32 время <1мс TTL=128
ответ от (ай-пи): число байт =32 время <1мс TTL=128
ответ от (ай-пи): число байт =32 время <1мс TTL=128
потом что-то еще, но я не успеваю прочесть - окошко закрывается
на вторую команду пишет что-то но окошко так быстро появляется и закрывается что я опять ниче не вижу
что делать?

Пуск->выполнить->CMD
И уже в окне консоли набирай команды.
Тогда окошко не закроется.

solromka
Делай как говорит CyberDaemon, а по первой команде главное не время отклика, а первая строчка, к-ая показывает что именно ты пингуешь - параметр "-а" говорит о том, что она должна попытаться определить по IP его доменное имя.

спасибо. теперь могу узнать кто это.
простите еще один вопрос: в детекторе атак фаерволла есть запись за сегодня что была атака "запрос соединения" и "просканированы порты ICMP (эхо-запрос/0)"
что это значит? в журнале записано что совершен вход. получается фаерволл его блокирнул или нет? и как можно этот ай-пи забанить в фаерволле чтоб он не лез ко мне?

ну по первой команде пишет что статистика для этого ай-пи 4 пакета отправлено 4 получено и 0% потерь
и скажите мне если я использую фаэрволл то защищает ли он меня от снятия пакетов по сети или нет? и дайте кто ссылку на подробную настройку аутпоста для работы на компе в инете и внутренней сети.
пожалуйста!

solromka
Нет. Файрволл защищает от того, чтобы что-нибудь "изнутри" компа не вылезло втихомолку "наружу". Или наоборот, от того, чтобы что-то нехорошее "снаружи" не пролезло "вовнутрь". А пакет, который файрволл все-таки выпустил в сеть, может быть перехвачен.

так что? защиты от этого нет?

Шифрация на прикладном уровне. Для ЭП - это использование TLS...

спасибо всем за помощь!
но можно поподробнее про "шифрацию на прикладном уровне" и будет ли это работать на прокси-сервере? я так понимаю это должен сервер поддерживать?

solromka
http://www.securitylab.ru/contest/267270.php весьма интересны комментарии
http://forum.five.mhost.ru/ форум по оутпосту