Sniff intr-un LAN

Cum pot sa vad daca cineva din acelasi LAN cu mine incerca sa ma sniff-uiasca ?
Persoana pe care o banuiesc are un PC cu Windows iar eu am Linux.
Starea porturilor de pe masina lui (Windows):
Port       State       Service
135/tcp    open        loc-srv                
139/tcp    open        netbios-ssn            
389/tcp    open        ldap                    
445/tcp    open        microsoft-ds            
1002/tcp   open        unknown                
1025/tcp   open        listen             .

Toate calculatoarele duc intr-un hub si acesta e conectat intr-un switch Cisco pe care am acces.
Care ar fi cea mai sigura solutie pt a evita evita interceptarea pachetelor transmise (fara a face modificari la nivel fizic in retea) ?

:confused: Dar ... prin ce metoda ai aflat tu care-i starea porturilor de pe PC-ul lui ?

calculatoarele legate in acelasi hub cu tine nu ai cum sa le opresti sa primeasca pachetele care placa ta de retea le trimite. la fel nici ei n-au cum sa te impiedice sa interceptezi pachetele lor.

DeathRipple >> esti foarte aproape de adevar !
menetz, raiiar >> grija mare la ce scrieti pe aici !!! Incepe sa ma supere atitudinea ta, raiiar !

Daca brunborg vrea sa continue discutia, PM mie si redeschid thread-ul ...

Open again ...
OK. Iata ce problema isi pune in continuare brunborg :
"Ma intereseaza urmatoarea chestie: daca il mut pe el din hub direct in switch mai poate intercepta pachetele din LAN ?
In cazul asta pot sa-l las cu aceeasi adresa IP sau trebuie modificata ? Ideea este ca nu am acces la PC-ul lui (deci nu am cum sa vad cum e configurata placa lui de retea si nici sa-i pun un trojan nu prea am cum)."

Daca-l muti in switch, si daca echipamentul respectiv chiar este un switch (nu switching hub...), atunci lucrurile se schimba. Adica cu exceptia pachetelor ce ii sind destinate, va mai primi doar broadcast (eventual multicast, daca este cazul ...). Spune ce model de switch este, poate ca exista in plus o solutie de securitate, daca este un switch cu management (exista optiuni pentru o serie de switch-uri - port security...).
IP-ul poate ramine acelasi (sper ca ai un switch Layer 2 acolo ...)

poti sa folosesti "neped", l-am incercat si merge.
http://www.securitea...al_network.html

Uite ce spune SecuriTeam :
"Neped cannot guarantee to discover the sniffer (a sniffer can be a non-Linux machine, a Linux running patched kernel that does not have this flaw or a Linux machine that has ARP disabled)".

Aceasta informatie, corelata cu primul post al thread-ului (Calc. suspectat are Windows) arata faptul ca pr brunborg nu prea-l ajuta ...

Este un FastEthernet Switch-Cabletron ELS100-24TXM. Si este swith-switch nu switching-hub. Are management pe el etc.

Este un echipament bestial !!! Cunosc f. bine produsele Cabletron / Enterasys ! Da, poti sa faci treaba f. bine cu asa ceva. Are si port security, sa nu-i permiti userului sa se mute "din-port-in-port" cum vrea el ... De exemplu, pe lista de securitate a portului pe care-i legat hub-ul, poti sa-i interzici sa se conecteze si astfel te-ai asigurat ca va sta doar in switch ... (evident, pe alte porturi ...). Securizarea se face la nivel de MAC ....

care mac se poate schimba... :)

lLIVIU : Da, MAC-ul se poate schimba in anumite situatii.
Restul post-urilor au fost sterse pentru ca erau off-topic.
Daca doresti sa continuam discutia despre MAC-uri, da-mi PM.

iLIVIU: cat de aproape? :)

DeathRipple >> pachetele, in conditiile date, vor fi interceptate, dar exista solutii de implementare a securitatii (deci se poate face captura, dar nu si decodare) vezi IPSec sau chiar solutii hardware (cele mai indemina ar fi utilizarea unor cartele de retea Intel Pro 100 S) ... Deci ai fost f. aproape ...   ;)

:) bine maaa....nu pot fi descifrate atata timp cat au fost criptate sa zicem cu chei publice sau folosind pgp-ul (pt mail). da' care e procentul unor astfel de pachete? solutii hardware....cati au auzit de ele sicati le mai si folosesc. asta e mai mult teorie, pen' ca practic irc-ul si alte chestii d-astea de vorbit, precum si marea majritate a mailurilor publice nu suporta nici un fel de criptare :):)

iliviu: ai dreptate, "suspectul" meu era pe linux.
deathripple: daca vrei criptare pe irc: http://vmn.hypermart...csec/index.html

daca tot suntem la interceptare, am o intrebare: la mine este un switch in care este cuplat compul meu pe un port, restul de 7 porturi duc cate alte compuri/retele la care nu am acces si habar nu am pe unde sunt (fizic vorbind). Exista posibilitatea sa pot intercepta traficul pe aceste porturi de pe compul meu? sau macar sa le afle adresele de ip
switchukl este un alied telesyn, fara nagement sau alte complicatii

phj34r: degeaba vreau io criptare pe irc daca ala cu care vb nu stie ce-i aia....sper ca iti dai seama ca treaba tre' sa fie mutuala. asa ceva nu se aplica

aeon: adresele ip le poti afla, atata timp cat nu dai peste un server care sa-ti taie pofta sa te uiti in gradina altora :):)

:) cum? ledurile de pe switch clipesc inebunite tot timpul, deci presupun ca e trafic mare, probabil o intreaga retea, pt ca daca ar fi un singur comp s-ar mai opri din cand in cand....probabil server :)

aeon: ce treaba ai cum clipesc ledurile? :):) ledu' sta aprins si daca dai ping.....iar daca respectivu' are win2k de ex instalat, apoi sa fii convins ca o sa clipoceasca mereu, mai ales daca nu l-a setat cum trebe....citeste un picut

deathripple: pai toti cu care ai ceva important de vorbit pot sa-i puna proggie ala.