Ну, во первых: Комбинация действительно провернута классно и разыграна как по нотам. Во вторых: анонимность не предполагалась на том форуме изначально. По опыту эти крутые манагеры совсем не подразумевают, что их будут "палить", как правило. И IP контактера не проверяют, разве только они не админы. А она же не админ точно.... В третьих: Выискивали ее ребяты грамотно! Только медленно. Сразу же надо было запустить поиск по всем имеющимся логам. В третьих эти робяты, судя по посту, скорее "хакеры", а не безопасники. Наглые, но не как само шибко грамотные. Анонимайзеры и спуфинг МАС-адресов не делали! По крайней мере об этом ни гугу! Ну и поступили, надо заметить, не совсем порядочно. Но тактически грамотно. Дай бог только, чтобы дамочка об этом не узнала.... А то потом просто так, все их секреты, как обиженная девочка, за бесплатно сливать будет. Но сама комбинация красивая и изящная.
Сразу же надо было запустить поиск по всем имеющимся логам.
По каким логам? Это обычные пользователи форума, с технической точки зрения. Что Вы имели в виду под логами?
В третьих эти робяты, судя по посту, скорее "хакеры", а не безопасники. Наглые, но не как само шибко грамотные. Анонимайзеры и спуфинг МАС-адресов не делали! По крайней мере об этом ни гугу! Не было там никаких хакеров. Разведка была, а хакеров (да и безопасников, в общем-то) не было.
И совсем мне непонятно, почему тот, кто пользуется анонимайзером - хакер? А если и пользуется, то что в этом особеного? Ну, зашел на форум человек через прокси - и что? Это не великое искусство, прямо скажем.
Ну и поступили, надо заметить, не совсем порядочно. Да, тому я и сказал, что их поступок этичным вряд ли можно назвать. Но он законный. А потому любому человеку очень вероятно с таким явлением столкнуться.
Re: Анонимность.dr_kennelJuly 6 2009, 05:11:32 UTC
Не думаю, что вам это будет интересно, но все же: понятие "спуфинг МАС-адресов" - атака канального уровня, заключающаяся в том, что на сетевой карте изменяется MAC-адрес, что заставляет коммутатор отправлять на порт, к которому подключен злоумышленник, пакеты, которые до этого он видеть не мог. Таким образом, жертва и атакующий должны подключаться к одному коммутатору, т.е. быть в одном сегменте локальной сети, что в данном случае не реально.
Большое спасибо за подробный ответ. На самом деле, это интересно. Даже не столько мне, сколько читателям, которые о спуфинге не слышали. после вашего объяснения они могут, не рыская по Интернету, составить собственное мнение о словах комментатора и, главное - о сути вопроса. Мне кажется, это правильно.
Re: Анонимность.dr_kennelJuly 6 2009, 17:34:21 UTC
Сказать что вам сказочно повезло при таком подходе к поиску, очобенно учитывая то что "малой" оказался не настолько умен что бы и mac-адрес продублировать или хотя бы с поломаного хоста это делать (хотя может на то были причины), и то что сеть админами не контроллируется. В таких случаях, если сеть на коммутаторах построена, последовательно, начиная от центрального, меняем коммутатор на управляемый (хотя бы второго уровня) и смотрим откуда пакетики льются, и так далее по всей "звезде" сети к конечному юзеру до выяснения конкретного ethernet-порта и соответственно кабеля. Хотя могло оказаться что "малой" не причем, а с его компьютера рулит совсем другой малой :) Но это другая история.
Еще очень хорошо в такой борьбе помогает подмена шлюза у "малого", и перехват всего его трафика, с последующим разбором и анализом.
СУПЕРРР! В принципе так и вышли. Спасибо за коммент. Чувствуется подготовка! А рулил именно он, это точно - я его каждый шаг знал. Но на личность вышли только после того, как прошерстили все коммутаторы и догадались построить звезду, после чего сличили Мас-и поняли откуда вылезли "потные ноги". Отдельно стоящая идея ваабче молодца по моему!
Там есть такие участники, как Vinni и Loo. Я уверен, что вам будет интересно и полезно с ними пообщаться - и сейчас, и вообще. Я совершенно не настаиваю, а просто высказываю свое мнение.
Re: Анонимность.dr_kennelJuly 6 2009, 19:04:29 UTC
Спасибо большое за приглашение, обязательно воспользуюсь, но так как владелец журнала вы, полагаю, будет более уместно если вы сами перенесете тему на форум.
Во вторых: анонимность не предполагалась на том форуме изначально. По опыту эти крутые манагеры совсем не подразумевают, что их будут "палить", как правило. И IP контактера не проверяют, разве только они не админы. А она же не админ точно....
В третьих: Выискивали ее ребяты грамотно! Только медленно. Сразу же надо было запустить поиск по всем имеющимся логам.
В третьих эти робяты, судя по посту, скорее "хакеры", а не безопасники. Наглые, но не как само шибко грамотные. Анонимайзеры и спуфинг МАС-адресов не делали! По крайней мере об этом ни гугу!
Ну и поступили, надо заметить, не совсем порядочно. Но тактически грамотно. Дай бог только, чтобы дамочка об этом не узнала.... А то потом просто так, все их секреты, как обиженная девочка, за бесплатно сливать будет.
Но сама комбинация красивая и изящная.
Reply
По каким логам? Это обычные пользователи форума, с технической точки зрения. Что Вы имели в виду под логами?
В третьих эти робяты, судя по посту, скорее "хакеры", а не безопасники. Наглые, но не как само шибко грамотные. Анонимайзеры и спуфинг МАС-адресов не делали! По крайней мере об этом ни гугу!
Не было там никаких хакеров. Разведка была, а хакеров (да и безопасников, в общем-то) не было.
И совсем мне непонятно, почему тот, кто пользуется анонимайзером - хакер? А если и пользуется, то что в этом особеного? Ну, зашел на форум человек через прокси - и что? Это не великое искусство, прямо скажем.
Ну и поступили, надо заметить, не совсем порядочно.
Да, тому я и сказал, что их поступок этичным вряд ли можно назвать. Но он законный. А потому любому человеку очень вероятно с таким явлением столкнуться.
Reply
Reply
Иначе это просто похоже на флуд. Что Вы имели в вид? Поясните, пожалуйста.
Reply
понятие "спуфинг МАС-адресов" - атака канального уровня, заключающаяся в том, что на сетевой карте изменяется MAC-адрес, что заставляет коммутатор отправлять на порт, к которому подключен злоумышленник, пакеты, которые до этого он видеть не мог. Таким образом, жертва и атакующий должны подключаться к одному коммутатору, т.е. быть в одном сегменте локальной сети, что в данном случае не реально.
Reply
На самом деле, это интересно. Даже не столько мне, сколько читателям, которые о спуфинге не слышали. после вашего объяснения они могут, не рыская по Интернету, составить собственное мнение о словах комментатора и, главное - о сути вопроса.
Мне кажется, это правильно.
Reply
Reply
В таких случаях, если сеть на коммутаторах построена, последовательно, начиная от центрального, меняем коммутатор на управляемый (хотя бы второго уровня) и смотрим откуда пакетики льются, и так далее по всей "звезде" сети к конечному юзеру до выяснения конкретного ethernet-порта и соответственно кабеля.
Хотя могло оказаться что "малой" не причем, а с его компьютера рулит совсем другой малой :) Но это другая история.
Еще очень хорошо в такой борьбе помогает подмена шлюза у "малого", и перехват всего его трафика, с последующим разбором и анализом.
Reply
Чувствуется подготовка! А рулил именно он, это точно - я его каждый шаг знал. Но на личность вышли только после того, как прошерстили все коммутаторы и догадались построить звезду, после чего сличили Мас-и поняли откуда вылезли "потные ноги".
Отдельно стоящая идея ваабче молодца по моему!
Reply
Мне кажется, вам имеет смысл выложить этот пример на форум СПКР: http://forum.razved.info
Там есть такие участники, как Vinni и Loo. Я уверен, что вам будет интересно и полезно с ними пообщаться - и сейчас, и вообще.
Я совершенно не настаиваю, а просто высказываю свое мнение.
Reply
Reply
Reply
Leave a comment