Найти Sniffer в локальной сети

Какие инструменты или методы доступны для *nix и Windows, которые помогают определить, использует ли сниффер кто-то еще в локальной сети?

Сказав это и решительно учитывая, что существуют инструменты для обнаружения таких "явлений", какой будет обходной путь к тому, чтобы не понюхать?

9 ответов

Решение

Обнаружить снифферы очень сложно, потому что они работают пассивно. Некоторые анализаторы генерируют небольшие объемы трафика и, тем не менее, существуют некоторые методы их обнаружения.

  • Машины кэшируют ARP (протокол разрешения адресов). Отправляя не транслируемый ARP, компьютер в случайном режиме (сетевая карта, которая заставляет карту пропускать весь трафик) будет кэшировать ваш адрес ARP. Затем отправляем широковещательный пинг-пакет с нашим IP, но с другим MAC-адресом. Только машина, которая имеет наш правильный MAC-адрес из кадра ARP, сможет ответить на запрос широковещательного пинга. Итак, если машина реагирует, она должна быть нюхает.
  • Большинство снифферов делают разбор. Отправка огромного количества данных и проверка связи с подозрительной машиной до и во время потока данных. Если сетевая карта подозреваемого компьютера находится в случайном режиме, она проанализирует данные и увеличит нагрузку на нее. Таким образом, для ответа на пинг требуется дополнительное время. Эта небольшая задержка может использоваться как индикатор того, что машина нюхает или нет. Это может спровоцировать ложное срабатывание, если в сети возникли "нормальные" задержки из-за большого трафика.
  • Следующий метод устарел и больше не надежен: отправка запроса ping с IP-адресом подозрительного компьютера, но не с его MAC-адресом. В идеале никто не должен видеть этот пакет, поскольку каждая сетевая карта будет отклонять эхо-запрос, поскольку он не соответствует своему MAC-адресу. Если подозрительный компьютер нюхает, он ответит, поскольку не будет отклонять пакеты с другим MAC-адресом назначения.

Есть некоторые инструменты, которые реализуют эти методы, например, инструменты с открытым исходным кодом, такие как Neped и ARP Watch или AntiSniff для Windows, который является коммерческим инструментом.

Если вы хотите предотвратить прослушивание, лучше всего использовать шифрование для любой сетевой активности (SSH, https и т. Д.). Таким образом снифферы могут читать трафик, но данные для них не имеют никакого смысла.

Обнаружение пакетов - это пассивное занятие, обычно невозможно определить, кто-то анализирует вашу сеть. Однако для того, чтобы кто-то в проводной коммутируемой ЛВС мог видеть трафик, который не предназначен только для его IP-адреса (или широковещательной передачи в сеть / подсеть) или от него, ему необходимо либо иметь доступ к контролируемому / зеркальному порту, который дублирует весь трафик, или установите "кран" на шлюзе.

Лучшая защита от перехвата - это достойное сквозное шифрование и физический контроль на чувствительном оборудовании.

Изменить: CPM, Neped и AntiSniff теперь устарели 10-15 лет... Подумайте ядро ​​Linux <2.2 или Windows NT4. Если у кого-то есть доступ к крану или зеркалу, его обычно очень трудно обнаружить. Манипулирование ARP или DNS, вероятно, является лучшим выбором, но это далеко не так.

(Я полагаю) единственный способ, которым вы можете перехватить весь трафик в коммутируемой локальной сети, - это атака "человек посередине". Вы в основном делаете отравление ARP, крадете все пакеты, читаете их и потом отправляете на нужный компьютер.

Вероятно, есть несколько инструментов, которые могут сделать это, я знаю только один:

Ettercap может выполнять атаку Mitm и обнаруживать ее, когда кто-то другой делает это.

Социальная инженерия - другой способ сделать это. Создайте учетную запись root/admin или другую заманчивую цель в honeypot, передайте ее пароль в открытом виде и просмотрите ваши логи.

Существует простой способ обнаружить большинство снифферов. Поставьте в сеть два ящика, которых нет в DNS и которые больше ни для чего не используются. Попросите их периодически пинговать или иным образом общаться друг с другом.

Теперь следите за своей сетью на предмет поиска DNS и / или запросов ARP на их IP-адреса. Многие снифферы по умолчанию будут искать любые адреса, которые они найдут, и поэтому любой поиск на этих устройствах будет серьезным предупреждением.

Умный хакер может отключить эти поиски, но многие не подумают, и это определенно замедлит его.

Теперь, если он достаточно умен, чтобы не разрешать DNS-запросы, и предотвращает какие-либо ARP для этих устройств, ваша задача намного сложнее. На этом этапе вам следует придерживаться философии, согласно которой сеть всегда прослушивается, и принимать проактивные процедуры для предотвращения любых уязвимостей, которые могут возникнуть в этом предположении. Некоторые включают в себя:

  1. Используйте полностью коммутируемую сеть
  2. Привязать порты коммутатора к MAC-адресам
  3. Запретить неразборчивый режим на сетевых картах (если это возможно в вашей среде)
  4. Используйте безопасные протоколы

Единственный верный способ сделать это - проверить каждое устройство в подсети.

Есть инструменты, например, nmap, но они не гарантированно работают, а пассивные касания не предадут их присутствия.

Лучше всего предположить, что ваша сеть более или менее общедоступна, и использовать шифрование. Либо на основе приложения - SSH, HTTPS IMAPS и т. Д., Либо туннелируйте весь свой трафик через VPN

Wireshark - отличный инструмент для мониторинга сетевого трафика. И он будет искать имена в соответствии с IP-адресами, находить производителя по MAC-адресу и т. Д. Естественно, вы можете наблюдать, как он выполняет эти запросы, а затем вы знаете, что он работает.

Конечно, вы можете отключить эти вещи, а затем не будут обнаружены. И есть другие программы, разработанные, чтобы преднамеренно остаться незамеченными. Так что это просто что-то, чтобы рассмотреть, пытаясь ответить на этот вопрос.

Вдобавок ко всему, я бы смотрел данные интерфейса SNMP коммутатора для интерфейсов, которые хост получает больше данных и / или отправляет меньше данных, чем в среднем. Посмотрите на что-либо кроме стандартного отклонения, и вы, вероятно, найдете людей, которые, скорее всего, будут делать то, что им не следует.

Хотя это могут быть не просто снифферы, они могут найти заядлых наблюдателей hulu / netflix.

Ваши коммутаторы / маршрутизаторы также могут иметь функции, позволяющие отслеживать и отлавливать людей, пытающихся отравить таблицы arp, что также будет довольно большим уловком.

Концентраторы (или действительно старые сетевые установки, такие как Thinnet/Thicknet) всегда передают все данные по сети. Любой подключенный будет видеть каждый пакет в своем локальном сегменте. Если вы установите свою сетевую карту в случайный режим (прочитайте все пакеты, а не только те, которые отправлены непосредственно вам) и запустите программу захвата пакетов, вы сможете увидеть все, что происходит, прослушивать пароли и т. Д.

Коммутаторы работают как сетевые мосты старой школы - они передают трафик через порт, если он либо: а) широковещательный, б) предназначен для этого устройства.

Коммутаторы поддерживают кэш, указывающий, какие MAC-адреса находятся на каком порту (иногда это может быть концентратор или коммутатор, подключенный к порту). Коммутаторы не реплицируют весь трафик на все порты.

Коммутаторы более высокого уровня (для бизнес-использования) могут иметь специальные порты (Span или Management), которые можно настроить для репликации всего трафика. ИТ-отделы используют эти порты для мониторинга трафика (законный анализ трафика). Обнаружение несанкционированного прослушивания должно быть простым - посмотрите на коммутатор и посмотрите, подключено ли что-либо к этому порту.

Другие вопросы по тегам