ネットワークが盗聴されていますか？

パッシブスニッフィングの重要な点は、ネットワークトポロジが原因でトラフィックを確認できる位置にいる場合（たとえば、トランクポートをスニッフィングしている場合）、またはネットワークスプーフィングを行っている場合（ARPなど）を除いて、他の人のネットワークトラフィックを取得できないことです。なりすまし）により、パケットがデバイスに送信されます。

後者の場合は、ARPスプーフィング攻撃に注意する必要があります。多くのIDSソリューションには、ARPスプーフィングを検出できる機能があります。不正なデバイスを見つけるための本当に低品質の安価な方法は、認識できないMACアドレスからのパケットを探すことです。優れたソリューションは、既知のMACアドレスを物理ポートおよびデバイスと照合するため、異常なルーティングをすばやく見つけることができます。

完全にパッシブスニッフィングを検出する方法は考えられませんそれ自体ですが、ARPスキャン、DHCPプローブ、またはアプリケーション層ブロードキャストを実行することで、ネットワーク上の不正なデバイスをプローブすることは確かに可能です。 （例：192.168.x.255）そして、あなたが認識できないデバイスからの応答を探します。

これについてもう少し詳しく説明したいと思いますが、ネットワークの友人が、ケーブルの距離や物理的に何かを検出できる高度な「 Fluke ツール」について私に一度教えてくれたことを思い出しますワイヤー。これはネットワークトラフィックを使用していませんが、物理層などのどこかでダウンしています。以前の状態を知っていれば、定期的に（有線ネットワーク上の）物理接続の変更をスキャンでき、これが表示される可能性があります。不正な接続。大規模なネットワークでは、これは少し現実的ではありませんが。

これを行うためのより良い方法は、物理レベルで盗聴されていると想定し、IPSec、VPNなどを使用して、不正な接続が暗号化されたデータのみをキャプチャするようにすることです。悪意のある内部関係者の場合、会社所有の機器であれば、ソフトウェアをロックダウンしてプロミスキャスモードを防止するためのシステム管理ツール、ポリシーなどが必要です（Windowsでは、プロミスキャスモードに入るには管理者レベルが必要だと思います）。

ケーブルのスプライシングや盗聴などの物理的な攻撃は別として、トラフィックスニファを見つける方法はいくつかあります。 @Polynomialで既に述べたように、1つの方法は、有用な（つまり、他の人の）トラフィックをスニファに転送するために必要なトラフィックの改ざんを検出することです。これを行うプログラムの例は arpwatch です。

別の検出メカニズムは、プローブを使用して、ホストのインターフェースが無差別モードにあるかどうかを判別することです。 Nmapスクリプトがあります sniffer-detect これはこれを実行できますが、他のプログラムもあります。

スニファーをローカルマシンに導入してネットワークをスニッフィングできる可能性は常にあります。これにより、トラフィックがローカルホストのみに絞り込まれますが、特定の人物やホストを監視する標的型攻撃が進行中の場合は効果的です。興味を持っている。

このタイプのスニッフィングは本質的にパッシブであり、おそらくルートキットなどによって隠されているため、これを検出するのは多少難しい場合があります。