Итак есть так называемое Lинтернет здание¦. Есть хаб в подсобке и есть куча довольных жизнью потребителей интернет-траффика навешанных на этот хаб. И ты, родимый, среди них. Все зашибись-

Но если у тебя крутится WWW, или открыт любой другой TCP-порт в который можно послать хоть один байт - ты мишень для loozy sniffing-a. Что есть Lloozy sniffing¦? На схеме это выглядит так:

Так как хаб это концентратор, а не коммутатор, то ВСЕ сетевые карты, в сегменте обслуживаемом этим хабом, получают ВСЕ пакеты адресованные любой из них. Соответственно поток данных, который HackerSERV передает (через любой открытый прокси) любому открытому сервису машины MyHOST или OtherHOST так же попадают и на сетевую карту машины HackerHOST.

Осталось дело за малым - пишется простейший сниффер, который перехватывает все пакеты адресованные определенному порту любого адреса, и сравнивает содержимое пакетов с некоей структурой. Например такой:

{
заголовок_HTTP_запроса (n bytes),
сигнатура LХАКЕР¦ (5 bytes),
длина заголовка (2 bytes),
заголовок хакерского пакета (n bytes),
длина пакета (2 bytes),
данные (n byte);
}

При нахождении такового пакета из его хакерского заголовка вытаскиваются необходимые поля (например имя передаваемого файла и номер передаваемого куска) и сами данные. Вуаля! Данные у хакера, а за входящий трафик платит хозяин MyHOST-

Теперь встает вопрос LКак от этого защищаться¦.

Если учесть, что длина Ethernet-пакета не зависит от того, сколько байт из него будет принято сервисом на машине-получателе, то ограничением длинны принимаемого TCP-запроса мы ничего не добьемся. Огромное количество открытых для всех proxy-серверов говорит о том, что наш непосредственный провайдер не сможет их все зафильтровать.

Итого вывод - что бы такого не приключилось надо менять концентратор здания (тот самый хаб) на коммутатор (свич) и молить Аллаха, чтобы наш хакер не знал как этот свич обмануть (что возможно).

PS: Вышеописаный метод был проверен лично мной ? работает :(