How to Sniff/Monitor a Switched Network
السلام عليكم ورحمة الله وبركاته
أعتقد ربما خطر في تفكير الكثير منا كيف يمكنني أن أقوم بعملية Sniff على الشبكة ... ويوجد ولله الحمد الكثير من المواضيع تشرح هذه المسألة سواءاً بإستخدام مجموعة dsniff وtcpdump وettercap و Wireshark وغيرها من البرامج ... لكن أنا متأكد ما لم يخطر في فكر الكثيرين هي الطرق الصحيحة لمراقبة وعمل Sniff بشكل صحيح على الشبكة ... ولهذا أحببت أن أكتب هذا الموضوع الذي هو مجرد توضيح وشرح للطرق المتوفرة لمراقبة وعمل Sniff على الشبكات ...
قبل ان نقوم بعرض الطرق أود بالبداية أن أوضح الفرق بين الشبكات التي تستعمل Hub وبين تلك التي تستعمل Switch ... قبل أكثر من 3 أو 4 سنوات كان بالغالب مستخدمي المنازل والشركات الصغيرة وربما حتى الكبيرة يستعملون في شبكاتهم الـ Hub وذلك للتكلفة العالية للـ Switches في ذلك الوقت ... طريقة عمل هذا الجهاز هو رطب جميع الأجهزة المتصلة به في خط سلكي واحد ... بحيث أي جهاز يريد يتكلم (يرسل) على البقية أن تسمع فقط (تصمت)الى أن ينتهي الجهاز المتكلم ... طبعاً خلال عملية الكلام جميع الكلام يصل الى جميع الأجهزة الموجودة على السلك (الجهاز Hub) ولهذا كلهم مستمعون فقط ... بعد أن ينتهي من الكلام إذا كان الكلام موجه للجهاز A مثلاً سيقوم بالرد عليه، وإذا لم يكن موجه له سيتجاهل الكلام ويبقى صامت ... طبعاً من خلال ما شرحنا نعرف بإن الجهاز الـ Hub يستعمل إتصال من نوع Half Duplex ... أي شخص واحد يتكلم في نفس الوقت ... هذا النوع من الأجهزة عيوبها إنها تبطأ عمل الشبكة وذلك ﻷن الشبكة مستخدمة من شخص في وقت واحد، فتخييل لما يتكلم 10 ماذا سيحدث؟ تصير خبصة
وأيضاً كون الكلام المار فيها يسمع من الجميع تستطيع أن تعمل Sniff ومراقبة عليه بكل سهولة ...
أما في الشبكات التي تستعمل Switches أو Hub-Switch والتي اليوم نستعملها في بيوتنا وشركاتنا فطريقة عملها مختلف جداً ... حيث يقوم الـ Switch بفصل كل جهازين متصلين على الجهاز عن بعضهم البعض ... يعني لو أراد جهاز A على الجهاز أن يكلم جهاز آخر لنفرض إسمه B فإنه الكلام لن يصل سوى الى الجهاز B ... ولهذا نقول عنها أجهزة أكثر ذكاءاً من الـ Hubs بسبب هذه الميزة ... طبعاً هذه الأجهزة بالتالي تزيد من الحماية، لأن البيانات مارة بين طرفين فقط، ولا أحد يعرف ماذا يقول A الى B ولا العكس ... وأيضاً السرعة لن تتأثر وذلك لأن الإتصال بين A و B مفصول عن البقية، وبالتالي هنا نوع الإتصال هو Full-Duplex ... وهذا النوع هو المستعمل صراحة أكثر شيء اليوم، خاصة بعد أن أنخفضت سعر الأجهزة هذه كثيراً والحمد لله ...
الآن السؤال الذي يأتي الى خاطرنا: طيب لما الـ Switch يفصل الجميع عن الجميع، كيف سنقوم بمراقبة باقي الأجهزة والكلام (البيانات) الذي يقال خلال الشبكاة (البيانات المارة كيف سنعرفها ونراها)؟
الجواب: هناك عدة طرق لمراقبة الأجهزة التي تستعمل Switches من أهم هذه الطرق هي:
أولاً: الطريقة التي ربما يعرفها الجميع من خلال إستعمال arp poison... والتي أعتقد جربها الكثيرون، ولكن هذه الطريقة عيبها بإنه يستطيع من على الشبكة أن يكتشف أمرك، ويعرف بإنك تقوم بمراقبة الشبكة أو عمل Sniff عليها بسبب كثرت الـ arp packets الذي يرسلها جهازك لخداع المتصلون على الشبكة ... طريقة غير جيدة بتاتاً وستزيد من صعوبة مراقبة البيانات وذلك لأنه عليك أن تعمل فلترة لهذه الـ arp packets حين تقوم بالمراقبة وهذا كله بالإضافة الى ما ذكرته لك بإنك مكشوف وسهل التعرف عليك إذا كان على الشبكة شخص شاطر ويعرف يقرأ البيانات ويحللها.
ثانياً: من خلال إستعمال جهاز Switch فيه خاصية الـ Port Mirror. حيث يكون هناك منفذ واحد أو اكثر على الـ Switch يعمل بنفس طريقة عمل الـ Hub وبالتالي يستطيع أن يرى جميع البيانات في جميع المنافذ الأخرى ... طبعاً هذا النوع العيب الوحيد له بالنسبة لي حالياً إنه مكلف جداً، أي غالي الثمن بشكل لا أستطيع تحمله ... لكن بالنسبة للشركات التي تود أن تقوم بتركيب IDS في شركتها مثلاً لمراقبة الشبكة وعمل Sniff عليها، فإنه بدون شك لا مشكلة إن قامت بشراء مثل هذا الجهاز وتركيبه ...
طيب يا B!n@ry ألا يوجد حل للغلابة مثلنا
الجواب: إلا يوجد
ثالثاً: الحل هو إننا نقوم بصناعة Ethernet Tap أو Passive Ethernet Tap ... هذا الجهاز لن يكلفك الكثير وتستطيع صراحة عمله بمبلغ بسيط للغاية ... الفكرة هي إنك تقوم بعمل منفذين تضعهم في نفس العلبة التي توضع بالحائط، ولكن هذه العلبة تحتوي على منفذين فقط، الأول تربطه في الجهاز الذي يريد عمل المراقبة، والثاني تربطه مثلاً إما بالـ Switch أو بالبوابة Gateway مباشرة ... وبالتالي هنا لن يستطيع أن يعرف أحد ولا بأي شكل (سوى إن كان لديه Physical Access على غرفة الشبكة والخوادم) بإنك تقوم بمراقبة الشبكة من خلال مثل هذا المنفذ ... لأنك ببساطة لا تقوم بإرسال أي شيء، والجهاز هذا لا يرسل أي إشارة أو أي شيء يدل على إنه يوجد من يراقب الشبكة، كل ما يعمله هو الجلوس وشرب فنجان قهوة (مثلي) ويراقب جميع البيانات المارة من هنا وهناك ...
طريقة عمل وإعداد هذا الجهاز موجودة في الكثير من المواقع، أليكم أهمها:
جربوها وإن شاء الله تعجبكم الطريقة، أو قوموا بشراء جهاز عليه Port Mirror وأستمتع بشكل صحيح، بلا arpspoof ولا بطيخ
دمتم بود
?If you can live for ever, what shall you live for
[========= B!n@ry-z0ne =========]إذا المرء لا يرعاك إلا تكلفاً... فدعه ولا تكثر عليه التأسفا
ففي الناس أبدال وفي الترك راحة... وفي القلب صبر للحبيب ولو جفا
فما كل من تهواه يهواك قلبه... ولا كل من صافيته لك قد صفا
إذا لم يكن صفو الوداد طبعية... فلا خير في خل يجيء تكلفا
ولا خير في خل يخون خليله... ويلقاه من بعد المودة بالجفا
وينكر عيشاً قد تقادم عهده... ويظهر سراً كان بالأمس في خفا
---------------------------------------------------
\\ أروع موقع للإستماع وقراءة القرآن الكريم بلغات عدة وبقراءات عدة //
---------------------------------------------------
Tariq - A Hybrid Port Knocking System
كلامك صحيح.. لكن ماذا ستفعل ان لم تكن أنت مدير الشبكة ولا تستطيع الوصول للـ Switch ؟
وعلى فكرة حتى لو لم تقم بعمل Arp Spoofing أو Poisoning كما تسميها أنت (نفس المعنى) أستطيع معرفة اذا كنت تقوم بعمل Sniff على الباكيتس المارة في الشبكة أم لا لأن أي برنامج Sniffer مثل Wireshark سيجعل كرت الشبكة عندك Promiscuous mode لكي يتمكن من التقاط جميع الباكيتس المارة وأستطيع باستخدام احدى الأدوات أو حتى اضافة في برنامج Ettercap اكتشاف الأجهزة التي تستخدم هذا الوضع في كرت الشبكة الخاص بها.. واذا كان عندي وقت ممكن أتسلى شوي معه
هلا بالشباب ... شكراً لجميع من مر من هنا ... شكراً يا شباب ...
هلا عبدو ...
أولاً: كلامي من باب إنك مدير الشبكة وليس مخترق/مخرب/غير ذلك من التسميات ...
ثانياً: المسألة يبدو إنك لم تفهمها يا عبدو ... أرجوا أن تركز على عبارة "Passive Ethernet Tap" يعني الجهاز لا يرسل ولا يفعل شيء سوى التفرج على البيانات المارة ... أقرأ المواضيع المرفقة يا عبدو ... هذه طريقة الشركات المحترفة والطريقة الصحيحة لعمل المراقبة Sniff ولا يتم إكتشافها كما تعتقد أنت ...
لأن بالأساس كارت شبكتي لن يتحول الى Promiscuous mode
شكراً للمرور
المشاركة الأصلية كتبت بواسطة Br4v3-H34r7
كلامك صحيح.. لكن ماذا ستفعل ان لم تكن أنت مدير الشبكة ولا تستطيع الوصول للـ Switch ؟
وعلى فكرة حتى لو لم تقم بعمل Arp Spoofing أو Poisoning كما تسميها أنت (نفس المعنى) أستطيع معرفة اذا كنت تقوم بعمل Sniff على الباكيتس المارة في الشبكة أم لا لأن أي برنامج Sniffer مثل Wireshark سيجعل كرت الشبكة عندك Promiscuous mode لكي يتمكن من التقاط جميع الباكيتس المارة وأستطيع باستخدام احدى الأدوات أو حتى اضافة في برنامج Ettercap اكتشاف الأجهزة التي تستخدم هذا الوضع في كرت الشبكة الخاص بها.. واذا كان عندي وقت ممكن أتسلى شوي معه
?If you can live for ever, what shall you live for
[========= B!n@ry-z0ne =========]إذا المرء لا يرعاك إلا تكلفاً... فدعه ولا تكثر عليه التأسفا
ففي الناس أبدال وفي الترك راحة... وفي القلب صبر للحبيب ولو جفا
فما كل من تهواه يهواك قلبه... ولا كل من صافيته لك قد صفا
إذا لم يكن صفو الوداد طبعية... فلا خير في خل يجيء تكلفا
ولا خير في خل يخون خليله... ويلقاه من بعد المودة بالجفا
وينكر عيشاً قد تقادم عهده... ويظهر سراً كان بالأمس في خفا
---------------------------------------------------
\\ أروع موقع للإستماع وقراءة القرآن الكريم بلغات عدة وبقراءات عدة //
---------------------------------------------------
Tariq - A Hybrid Port Knocking System
الله يسامحك يا أبومحمد الآن صرت أنا مخرب
لأني لا أتوقع وجود آدمن شبكه لديه ذرة معرفة أن يعمل arp poison ليراقب شبكته!!!!
لا أخي كن متأكد أني فهمت المسألة وكيفية اعداد السويتش ليقوم بهذه العملية لكن السؤال الذي يطرح نفسه كيف ستتفرج على البيانات المارة اذا لم يكن كرت الشبكة عندك Promiscuous mode ؟!!! حسب معلوماتي أي برنامج Sniffer أو برنامج IDS سيجعل كرت الشبكة عندك بهذا الوضع Snort , Wireshark , Ntop... والا كرت الشبكة عندك (NIC) سيقوم برفض البينات المارة ولن يمررها لك كونها ليست مرسلة لجهازك!ثانياً: المسألة يبدو إنك لم تفهمها يا عبدو ... أرجوا أن تركز على عبارة "Passive Ethernet Tap" يعني الجهاز لا يرسل ولا يفعل شيء سوى التفرج على البيانات المارة ... أقرأ المواضيع المرفقة يا عبدو ... هذه طريقة الشركات المحترفة والطريقة الصحيحة لعمل المراقبة Sniff ولا يتم إكتشافها كما تعتقد أنت ...
لأن بالأساس كارت شبكتي لن يتحول الى Promiscuous mode
شكراً للمرور
من Wikipedia:
اذا كان عندك تصحيح لكلامي فتفضل.. دمت بودIn computing, promiscuous mode or promisc mode is a configuration of a network card that makes the card pass all traffic it receives to the central processing unit rather than just packets addressed to it — a feature normally used for packet sniffing.
المشكلة تعرف وين يا عبدو؟ إنك الى الآن مُصر على مسألة Promiscuous Mode وما Promiscuous Mode وآكاد أجزم إنك لم تنظر إلى هيكلية وطريقة ربط الأسلاك في الـ Ethernet Tap ... لو قرأتها وتفرجت عليها لعرفت عن ماذا أتكلم أنا وأنت ماذا تتكلم
بالمناسبة بإمكانك الإستدلال في المستقبل بهذا الموضوع فيما يخص Promiscuous Mode، كتبته من فترة طويلة من الزمن:
تفعيل الـ Promiscuous mode على جنو/لينوكس
الله يسامح الجميع إن شاء الله ... مو قصدي أنت المخرب يارجلقصدي الموضوع ليس للمخربين ... أما بخصوص أدمن الشبكة الشاطر أكيد يعرف يراقبها صح
الله يسامحك يا أبومحمد الآن صرت أنا مخرب
لأني لا أتوقع وجود آدمن شبكه لديه ذرة معرفة أن يعمل arp poison ليراقب شبكته!!!!
ومن قال لك هنا نقوم بعملية إعداد لسويتش ؟
ألقي نظرة هنا طيب:
أنظر الى الأسلاك الواصلة الى الجهاز الذي يراقب الشبكة؟ الجهاز الذي يراقب ليست لديه أصلاً أي أسلاك للإرسال Transmit فقط لديه أسلاك Receive وبالتالي هو عملياً غير موجود حتى على الشبكة
هل فهمت الآن ما قصدت أنا؟ يعني حتى لو مشغل Promiscuous Mode ومشغل برامج المراقبة التي تعمل ضوضاء He does not exist
قم بشراء المعدات وجربها يا عبدو وأدعيلي بس
دمت بود ...لكن السؤال الذي يطرح نفسه كيف ستتفرج على البيانات المارة اذا لم يكن كرت الشبكة عندك Promiscuous mode ؟!!! حسب معلوماتي أي برنامج Sniffer أو برنامج IDS سيجعل كرت الشبكة عندك بهذا الوضع Snort , Wireshark , Ntop... والا كرت الشبكة عندك (NIC) سيقوم برفض البينات المارة ولن يمررها لك كونها ليست مرسلة لجهازك!
من Wikipedia:
اذا كان عندك تصحيح لكلامي فتفضل.. دمت بود
?If you can live for ever, what shall you live for
[========= B!n@ry-z0ne =========]إذا المرء لا يرعاك إلا تكلفاً... فدعه ولا تكثر عليه التأسفا
ففي الناس أبدال وفي الترك راحة... وفي القلب صبر للحبيب ولو جفا
فما كل من تهواه يهواك قلبه... ولا كل من صافيته لك قد صفا
إذا لم يكن صفو الوداد طبعية... فلا خير في خل يجيء تكلفا
ولا خير في خل يخون خليله... ويلقاه من بعد المودة بالجفا
وينكر عيشاً قد تقادم عهده... ويظهر سراً كان بالأمس في خفا
---------------------------------------------------
\\ أروع موقع للإستماع وقراءة القرآن الكريم بلغات عدة وبقراءات عدة //
---------------------------------------------------
Tariq - A Hybrid Port Knocking System
أنا لست مُصر على شيء! وفهمت مقصدك من ردك الأول وأرجع أقولها لك مرة ثانية كن متأكد أني اطلعت على الموضوع وعرفت كيفية اعداد السويتش (أقصد بها ربط الأسلاك داخله!!!!) وفي ردي الثاني لم أكن أقصد اكتشاف الجهاز أم لا بل جملة واحدة قلتها أنت أردت توضيحها للأعضاء!المشكلة تعرف وين يا عبدو؟ إنك الى الآن مُصر على مسألة Promiscuous Mode وما Promiscuous Mode وآكاد أجزم إنك لم تنظر إلى هيكلية وطريقة ربط الأسلاك في الـ Ethernet Tap ... لو قرأتها وتفرجت عليها لعرفت عن ماذا أتكلم أنا وأنت ماذا تتكلم
ردي كان توضيح لهذه النقطة وليس للنقطة الأولى التي ذكرتها في ردي الأول عن اكتشاف الجهاز.لأن بالأساس كارت شبكتي لن يتحول الى Promiscuous mode
أرجو أن أكون استطعت من ايصال مقصدي بطريقة صحيحة!!
شكرا على الموضوع ولقد شاهدته سابقا ولاحظ أني أول شخص رديت على الموضوع!
بصراحة كلامك هذا والكلام الذي كتبته سابقا يحسسني أنك لاتعرفني يا أبومحمد وكأنك تخاطب شخص أول مرة تناقشه بهذه النوعية من المواضيع!!ومن قال لك هنا نقوم بعملية إعداد لسويتش ؟
فاهم عليك من الأول وقلتلك ردي الثاني كان لتوضيح نقطة Promiscuous Mode في كرت الشبكة وفي الرد الثاني أنا أتكلم عن شيء واحد فقط! هل تستطيع أن تشاهد البيانات المارة ان لم يكن كرت الشبكة عندك بالوضعية السابقة؟هل فهمت الآن ما قصدت أنا؟ يعني حتى لو مشغل Promiscuous Mode ومشغل برامج المراقبة التي تعمل ضوضاء He does not exist
قم بشراء المعدات وجربها يا عبدو وأدعيلي بس
دمت بود ...
ان شاء الله سأجربها قريبا وبكل تأكيد سأدعي لك.. تحياتي
مشكور بومحمد على المعلومات
switch او hub ؟والثاني تربطه مثلاً إما بالـ Switch
أتوقع أن هذا الرابط سيفيد البعض...
كان كل قصدي أرد على هذه الجزئية من البداية يا عبدو ولكن ربما أحد ردودي سقط فيه سهواً إنك لن تفعل هذا المود وأنت بقيت مصر على نفس المسألة ... يعني أنا أتكلم شرق وأنت تتكلم غربوعلى فكرة حتى لو لم تقم بعمل Arp Spoofing أو Poisoning كما تسميها أنت (نفس المعنى) أستطيع معرفة اذا كنت تقوم بعمل Sniff على الباكيتس المارة في الشبكة أم لا لأن أي برنامج Sniffer مثل Wireshark سيجعل كرت الشبكة عندك Promiscuous mode لكي يتمكن من التقاط جميع الباكيتس المارة وأستطيع باستخدام احدى الأدوات أو حتى اضافة في برنامج Ettercap اكتشاف الأجهزة التي تستخدم هذا الوضع في كرت الشبكة الخاص بها.. واذا كان عندي وقت ممكن أتسلى شوي معه
+
تأكد أنا أعلم جيداً إني أكلم عبدو أخوي وصديقي وحبيبي لا تقلق، ولا تأخذ من كلامي على إنه شيء سيء ضدك صدقني
وشكراً على إضافة الرابط الجديد فيه شرح راقي جداً مثلك
?If you can live for ever, what shall you live for
[========= B!n@ry-z0ne =========]إذا المرء لا يرعاك إلا تكلفاً... فدعه ولا تكثر عليه التأسفا
ففي الناس أبدال وفي الترك راحة... وفي القلب صبر للحبيب ولو جفا
فما كل من تهواه يهواك قلبه... ولا كل من صافيته لك قد صفا
إذا لم يكن صفو الوداد طبعية... فلا خير في خل يجيء تكلفا
ولا خير في خل يخون خليله... ويلقاه من بعد المودة بالجفا
وينكر عيشاً قد تقادم عهده... ويظهر سراً كان بالأمس في خفا
---------------------------------------------------
\\ أروع موقع للإستماع وقراءة القرآن الكريم بلغات عدة وبقراءات عدة //
---------------------------------------------------
Tariq - A Hybrid Port Knocking System
حياك الله أخوي ... نعم تقوم بربطه بالـ Switch يابو راشد
مشكور بومحمد على المعلومات
switch او hub ؟
?If you can live for ever, what shall you live for
[========= B!n@ry-z0ne =========]إذا المرء لا يرعاك إلا تكلفاً... فدعه ولا تكثر عليه التأسفا
ففي الناس أبدال وفي الترك راحة... وفي القلب صبر للحبيب ولو جفا
فما كل من تهواه يهواك قلبه... ولا كل من صافيته لك قد صفا
إذا لم يكن صفو الوداد طبعية... فلا خير في خل يجيء تكلفا
ولا خير في خل يخون خليله... ويلقاه من بعد المودة بالجفا
وينكر عيشاً قد تقادم عهده... ويظهر سراً كان بالأمس في خفا
---------------------------------------------------
\\ أروع موقع للإستماع وقراءة القرآن الكريم بلغات عدة وبقراءات عدة //
---------------------------------------------------
Tariq - A Hybrid Port Knocking System
طيب جميل الموضوع ولع بالنقاش كله بسبب عبدو
الحين خلي نشوف الكل تفكر وله الكل ماخذه إجازة مثلي
سوعال (يعني سؤال):
ما هو الفرق لو قمت بوضع الـ TAP بيني وبين الـ Switch أوبيني وبين الـ Gateway ؟؟؟؟
ياله خلي نولعها أكثر ونشوف آيه الأفكار بئا
?If you can live for ever, what shall you live for
[========= B!n@ry-z0ne =========]إذا المرء لا يرعاك إلا تكلفاً... فدعه ولا تكثر عليه التأسفا
ففي الناس أبدال وفي الترك راحة... وفي القلب صبر للحبيب ولو جفا
فما كل من تهواه يهواك قلبه... ولا كل من صافيته لك قد صفا
إذا لم يكن صفو الوداد طبعية... فلا خير في خل يجيء تكلفا
ولا خير في خل يخون خليله... ويلقاه من بعد المودة بالجفا
وينكر عيشاً قد تقادم عهده... ويظهر سراً كان بالأمس في خفا
---------------------------------------------------
\\ أروع موقع للإستماع وقراءة القرآن الكريم بلغات عدة وبقراءات عدة //
---------------------------------------------------
Tariq - A Hybrid Port Knocking System
وعليكم السلام ورحمة الله وبركاته
أبو محمد ، مواضيعك يسيل لها اللعاب سيلاً
أحببت فقط أن توضح هذه الجملة :
كيف يمكن له أن يكتشف أن هناك من يعمل Capture للبيانات على الشبكة عندما أقوم باستخدام Passive Ethernet Tap ؟(سوى إن كان لديه Physical Access على غرفة الشبكة والخوادم)
يعني ماهي المزية التي يمتاز بها من لديه Physical Access ليكشف هذه الطريقة ؟
وبالنسبة لجواب السؤال فأعتقد والعلم عند الله أنه عندما أضع TAP بيني وبين Switch أستطيع هنا أن أعمل Capture لكل الأجهزة المتصلة بالـ Switch .
تحيتي يامبدع
الحوار د قديم جدا
أو معرفش يمكن قديم بنسبلي
أولاً بلاش يا بناري تكتب sniff علشان مش معقولة واحد مدير شبكة و بيتجسيس على الناس بتشتغل في المكتب
تاني حاجة بالنسبة لحوار ال سوتش ألي أنت بتكلم عليه
د مينفعش يتعمل على السوتش إلي أنت بتشتريه من الشارع
د لزم سوتش من نوعية ال- manage switch
بيكون فيه السوتش نفس ليه IP
و بيكون ليه حاجة تدير بها ذي الروتر
أنا عندي الكورس بتاع الحوارات د
بس بنت كلب مملا فاحت
بتفكرني بدين ديفس بتاع LinuxCBT
مكن تلقيه مثلاً يشرحلك ازي تعمل login ال-SSH
يخدلك نص ساعة فيها
بلنسبة لحوار أنك تعملك network tab مبن ال-switch و ال-gateway
د حيكون تخلف شوية
لأنك بدل ما أنت حتعمل مونيتور لجهازين
كدة أنت حتعمل مونيتور الشبكة كلها
و مش حتعرف تطلع العيب فين
التعديل الأخير تم بواسطة Sysd ; 12-04-2008 الساعة 08:38 AM
هلا أخوي أبو عابد ... شكراً على كلامك، فهذا من لطفك وذوقك ...
نعم من لديه Physical Access يستطيع معرفة بإنك تراقب الشبكة وذلك لأنه سيرى بإنك مركب جهاز الـ TAP فهمتني ؟
وأشكرك لمرورك الكريم
وعليكم السلام ورحمة الله وبركاته
أبو محمد ، مواضيعك يسيل لها اللعاب سيلاً
أحببت فقط أن توضح هذه الجملة :
كيف يمكن له أن يكتشف أن هناك من يعمل Capture للبيانات على الشبكة عندما أقوم باستخدام Passive Ethernet Tap ؟
يعني ماهي المزية التي يمتاز بها من لديه Physical Access ليكشف هذه الطريقة ؟
وبالنسبة لجواب السؤال فأعتقد والعلم عند الله أنه عندما أضع TAP بيني وبين Switch أستطيع هنا أن أعمل Capture لكل الأجهزة المتصلة بالـ Switch .
تحيتي يامبدع
?If you can live for ever, what shall you live for
[========= B!n@ry-z0ne =========]إذا المرء لا يرعاك إلا تكلفاً... فدعه ولا تكثر عليه التأسفا
ففي الناس أبدال وفي الترك راحة... وفي القلب صبر للحبيب ولو جفا
فما كل من تهواه يهواك قلبه... ولا كل من صافيته لك قد صفا
إذا لم يكن صفو الوداد طبعية... فلا خير في خل يجيء تكلفا
ولا خير في خل يخون خليله... ويلقاه من بعد المودة بالجفا
وينكر عيشاً قد تقادم عهده... ويظهر سراً كان بالأمس في خفا
---------------------------------------------------
\\ أروع موقع للإستماع وقراءة القرآن الكريم بلغات عدة وبقراءات عدة //
---------------------------------------------------
Tariq - A Hybrid Port Knocking System
لما الموضوع قديم وأنت بتعرفه ؟ ليش ما كتبت عنه ؟
لما حتركب IDS وتستعمل بدل الـ TAP جهاز عليه Port Mirror وذلك لمراقبة الشبكة ... حيكون عمل الـ IDS آيه ؟
أولاً أنا ما أشتري أجهزتي من الشارع ... وثانياً كلامك غير سليم، وياريت تقوم بتطبيقه بعد ذلك تعال فند كلامي
ثالثاً ياريت لو عندك كورس ممتاز لنا نحن الجدد أن تعطينا إياه ...
[QUOTE=Sysd;156993
تاني حاجة بالنسبة لحوار ال سوتش ألي أنت بتكلم عليه
د مينفعش يتعمل على السوتش إلي أنت بتشتريه من الشارع
د لزم سوتش من نوعية ال- manage switch
بيكون فيه السوتش نفس ليه IP
و بيكون ليه حاجة تدير بها ذي الروتر
أنا عندي الكورس بتاع الحوارات د
بس بنت كلب مملا فاحت
[/QUOTE]
المدرس أو الشخص الشاطر هو من يوصل المعلومة بغض النظر من هو المتلقي ومستواه (مبتديء، متوسط، متقدم) وأظن ما يقوم به من ذكرت يعمل ذلك ... لو عندك أسلوب أفضل أظهره للناس أفضل من السخرية من الآخرين
الى الآن بنظرك نحن متخلفين وأنت العبقري الوحيد بيننا ... لانه لو وضعت الTAP بيني وبين السويتش أنا مش حراقب جهازين فقط
أتمنى بالمرات القادمة يكون لديك ردود منطقية وليست مجرد سخرية من الآخرين ...
دمت بود ...
?If you can live for ever, what shall you live for
[========= B!n@ry-z0ne =========]إذا المرء لا يرعاك إلا تكلفاً... فدعه ولا تكثر عليه التأسفا
ففي الناس أبدال وفي الترك راحة... وفي القلب صبر للحبيب ولو جفا
فما كل من تهواه يهواك قلبه... ولا كل من صافيته لك قد صفا
إذا لم يكن صفو الوداد طبعية... فلا خير في خل يجيء تكلفا
ولا خير في خل يخون خليله... ويلقاه من بعد المودة بالجفا
وينكر عيشاً قد تقادم عهده... ويظهر سراً كان بالأمس في خفا
---------------------------------------------------
\\ أروع موقع للإستماع وقراءة القرآن الكريم بلغات عدة وبقراءات عدة //
---------------------------------------------------
Tariq - A Hybrid Port Knocking System
لما الموضوع قديم وأنت بتعرفه ؟ ليش ما كتبت عنه ؟
لما حتركب IDS وتستعمل بدل الـ TAP جهاز عليه Port Mirror وذلك لمراقبة الشبكة ... حيكون عمل الـ IDS آيه ؟
أولاً أنا ما أشتري أجهزتي من الشارع ... وثانياً كلامك غير سليم، وياريت تقوم بتطبيقه بعد ذلك تعال فند كلامي
ثالثاً ياريت لو عندك كورس ممتاز لنا نحن الجدد أن تعطينا إياه ...
المدرس أو الشخص الشاطر هو من يوصل المعلومة بغض النظر من هو المتلقي ومستواه (مبتديء، متوسط، متقدم) وأظن ما يقوم به من ذكرت يعمل ذلك ... لو عندك أسلوب أفضل أظهره للناس أفضل من السخرية من الآخرين
الى الآن بنظرك نحن متخلفين وأنت العبقري الوحيد بيننا ... لانه لو وضعت الTAP بيني وبين السويتش أنا مش حراقب جهازين فقط
أتمنى بالمرات القادمة يكون لديك ردود منطقية وليست مجرد سخرية من الآخرين ...
دمت بود ...
يا عام صلي على نبي هو أنت لازم تاخذ كل حاجة قفش
الحوار د شفت تقرباً من سنة بس أنا معرفش كل حاجة عنو
مش معقولة اكتب عن حاجة مش كاملة علي أنا شفت بس
كان عن أنك ازي تعمل أمكن Monitoring
hold sec
بص يا سدي
ال-port mirroring د افتكرت اسمو
SPAN
هل السوتش العادي أنت بتشتريه من الشارع المعفن D-link مثلاً بيكون في SPAN ??
د إلي أنا بتكلم عليه
بالنسبة لو أنت عاوز تعمل مونيتور لسرفير مثلاً
أحسن حاجة أنك تشترلك HUB بمعنى HUB
مش سوتش عادي
حاجة layer 7
و توصلها على السوتش و توصل السرفيرٍن على ال-hub
و end of story
حتقدر تشوف كل حاجة
علشان تعمل monitoring
و بالنسبة لالكورس
أنا مش معقولة أجري قبل ما أمشي
الكورس بيشرح حاجات أنا مش حستفاد بها دلوقتي
ذي ACL ,DNS poisoning , IP scan , port scan etc
الحاجات د أنا مش محتجه في الوقت الحالي
فهمني ؟
حوار ال-TAB مبن الجاتوي و السوتش
ok
أنت عندك مثلاً مشكلة في سرفير معين
السرفير د مش بيشوف السرفير التاني
و أنت عندك نتورك من ١٠٠٠ سرفير
لم أنت تعمل كدة
فصباح الفل
حتعرف ازي المشكلة أصلاً ؟؟
بلنسبة لناس الي عوزى تعمل SNIFF على نتورك
با بدل ما أنت تعمل TAB
أنت مكن تعمل capture من الجاتوي نفسه
و بعد كدة تحليل المعلومات بأي برنامج تاني
لو أنت كنت بدور على بسوردات
بلنسبة لحوار ال-HUB لي النتورك بتكون بطيئة... أي شخص واحد يتكلم في نفس الوقت ... هذا النوع من الأجهزة عيوبها إنها تبطأ عمل الشبكة وذلك ﻷن الشبكة مستخدمة من شخص في وقت واحد، فتخييل لما يتكلم 10 ماذا سيحدث؟ تصير خبصة
مش علشان ال-Half Duplex
علشان hubed network بتكون لير 7
بمعنى أن أي فريم تطلع من النتورك hub حيعملهة كوبي و يبعتهة لكل ports إلي موجودة في ال-hub
half duplex
معناها أنك يا تبعت فريم بس أو تستقبل بس
Rx or Tx
full duplex
معناها أنك تبعات و تستقبل في نفس الوقت
ال-nic card علي عندك تبعات فريمس و تستقبل فريمس
هل ال-hubed نتورك hulf duplex علشان كدة ؟
i dont think so
لو في أي معلومة غلط عندي حد يصححها
اللهم صلي على محمد وعلى آله وصحبه وسلم ...
لا أعرف صراحة شنو معنى كلمة "قفش" ولكن بالنسبة لي يا أحمد أكره النظرية الأمريكية التي تدعي وجود أسلحة الدمار الشامل بالعراق، وحين يتم سؤالها عن الأدلة؟
تقول الأدلة عندي في الأرشفة الخاصة.
طيب خلينه نشوف الأرشفة الخاصة هذي؟ لا هي موجودة.
واللبيب من الإشارة يا أحمد يفهم مقصدي
OK I AM WITH U TO CONTINUEيا عام صلي على نبي هو أنت لازم تاخذ كل حاجة قفش
الحوار د شفت تقرباً من سنة بس أنا معرفش كل حاجة عنو
مش معقولة اكتب عن حاجة مش كاملة علي أنا شفت بس
كان عن أنك ازي تعمل أمكن Monitoring
hold sec
?If you can live for ever, what shall you live for
[========= B!n@ry-z0ne =========]إذا المرء لا يرعاك إلا تكلفاً... فدعه ولا تكثر عليه التأسفا
ففي الناس أبدال وفي الترك راحة... وفي القلب صبر للحبيب ولو جفا
فما كل من تهواه يهواك قلبه... ولا كل من صافيته لك قد صفا
إذا لم يكن صفو الوداد طبعية... فلا خير في خل يجيء تكلفا
ولا خير في خل يخون خليله... ويلقاه من بعد المودة بالجفا
وينكر عيشاً قد تقادم عهده... ويظهر سراً كان بالأمس في خفا
---------------------------------------------------
\\ أروع موقع للإستماع وقراءة القرآن الكريم بلغات عدة وبقراءات عدة //
---------------------------------------------------
Tariq - A Hybrid Port Knocking System
الذين يشاهدون الموضوع الآن: 1 (0 من الأعضاء و 1 زائر)
ضوابط المشاركة
رد مع اقتباس
مواقع النشر (المفضلة)