web-dev-qa-db-ja.com

誰かがLAN上のネットワークパケットをスニッフィングしているかどうかをどのように検出できますか?

現在ネットワーク上にスニファがあるかどうかを検出できる製品またはソフトウェアがあるかどうか知りたいのですが。

言い換えれば、ネットワーク上に現在無差別モードになっているネットワークカードがあるかどうかを検出することはまったく可能ですか?

18
Hanan N.

anti-sniff と聞いて、タイミング情報を使用してプロミスキャスモードのマシンを検出するために行われたいくつかの作業がありました。

無差別モードのマシンは、すべてのパケットを処理する必要があるため、処理が必要なトラフィックが大量にある場合、システムはビジー状態になり、指示されたトラフィックへの応答が遅くなります。

この種のアプローチは、それがまだ実用的である場合、すべてのシナリオで機能するわけではありません。たとえば、ホストにIPアドレスがない場合でも、トラフィックを盗聴する可能性があり、このアプローチを使用してホストを検出することはできません。

しかし、それは探求される可能性のある1つの可能なアプローチです。

14
Rory McCune

非スイッチイーサネットまたはwifi上のパケットを完全に受動的に傍受することが可能です。 Throwing Star Lan Tap のようなツールは、これをさらに簡単にします。この受動的なケースでは、それについて実際にできることは何もありません。

ただし、スイッチドLANを使用している場合、スニファーは、スイッチ上のみであっても、ARPキャッシュのポイズニングを開始する必要があります。これは、はるかに簡単に検出できるものであり、誰かが何か悪いことを計画しているという素晴らしい早期警告です。

14
lynks

システムがスニファを実行している場合、そのインターフェイスは無差別モードになります。テストは次のように機能します。正しいIPアドレスを使用してpingをネットワークに送信しますが、MACアドレスを誤って送信します。スニッフィングホストは無差別モードですべてのパケットを受信するため、pingパケットに応答します。 nmapには、この検出をサポートするすぐに使用できるスクリプトがあります。

http://nmap.org/nsedoc/scripts/sniffer-detect.html

ただし、この方法は、次の場合にのみ機能します。

  1. スニッフィングホストが同じレイヤ2ネットワーク上にある
  2. スニッフィングホストには、着信ICMPパケットをブロックするファイアウォールがありません。
  3. スニッフィングホストは、TCP/IPが有効になっているインターフェイスでスニッフィングを行うため、ICMPパケットに応答できます。

ソース: http://ask.wireshark.org/questions/14351/detectprevent-wireshark

8
Arka