Как воевать в локальных сетях

Хакер, номер #025, стр. 025-062-2

ifconfig <интерфейс> lladdr <нужный MAC адрес>

Под Linux это делается так:

ifconfig <интерфейс> down

ifconfig <интерфейс> hw ether <нужный MAC адрес>

ifconfig <интерфейс> up

Кстати, первые 3 байта MAC адреса - это идентификатор производителя сетевой карты, например, 00:C0:6F:66:66:66. Такой MAC у сетевых карточек фирмы Komatsu Ltd ;). Так что если интересно, то по этому УРЛу ты найдешь большую таблицу идентификаторов производителей сетевых карт: http://www.cavebear.com/CaveBear/Ethernet/vendor.html

Под OpenBSD:

По идее, MAC адрес можно изменить через bpf'шные sysctl'ы, но это доступно только гуру (да и на фига нам нужны такие напряги?), которые часами копаются в сорцах ядра. Так что для атак можно воспользоваться модулем etherspoof, который позволяет заменять MAC адрес в исходящих пакетах. Он доступен в пакете libnet - http://www.packetfactory.net/Projects/Libnet.

Кстати, перед загрузкой модуля не забудь установить securelevel ядра на уровень 0, т.к. по умолчанию используется уровень 1, при котором невозможна загрузка lkm.

Еще один хороший способ сохранения анонимности - правильная настройка firewall'a. Можно сконфигурировать firewall таким образом, что твоя система не будет отвечать НА ВСЕ запросы: нет ответа на пинг, все порты прикрыты. При таком раскладе уже трудно сказать: есть машина в сети или нет. Если ты используешь Firewall IPfilter, то просто добавь данную строчку "block out all" в список правил и затем заставь ipf перечитать правила.

Если ты используешь IPChains, то набери такую пургу:

ipchains -A output -j DENY -s 0/0 -d 0/0

В ipfwadm это будет выглядеть так:

ipfwadm -O -p DENY

А в ipfw это будет выглядеть так:

ipfw add deny from any to any out

Если ты используешь Linux и совсем конченый параноик, то поставь себе патч для ядра Stealth TCP/IP Stack, который сделает твою систему невидимой в локалке. Это повысит твои шансы остаться незамеченным. http://www.energymech.net/madcamel/fm/

Определение снифферов

Из существующих в данный момент способов удаленного определения снифферов действительно быстрым и эффективным является ARP метод. С ним, если не предпринято спецмер, вероятность обнаружения сниффера - 99%.

Принцип действия таков: в сеть кидается ARP-запрос на определение IP левого МАС-адреса. Если какая-нибудь машина радостно отвечает, что такого адреса нет, то можно с уверенностью сказать, что на ней запущен сниффер.

Правда, знающим людям (теперь ты один из них) с этим методом очень просто бороться. Надо всего лишь отключить использование протокола ARP на интерфейсе, набрав: ifconfig <интерфейс> -arp

Отказываться от использования протокола ARP на интерфейсе стоит только на время сниффинга, т.к. без него ты просто не сможешь использовать iNet.

Еще один неплохой способ обнаружения - DNS-метод. Для обнаружения sniffer`a делается куча запросов на несуществующие адреса, а затем сниффается весь трафик на предмет попыток зарезолвить эти

липовые адреса в имя машины. К несчастью (кому как ;), это также просто обойти, отключив в сниффере перевод IP адресов в имена (в более-менее нормальных снифферах, таких как sniffit или dsniff, это есть).