web-dev-qa-db-ja.com

NICがLANで無差別モードであることを確認するにはどうすればよいですか?

NICがLANで無差別モードであることを確認するにはどうすればよいですか?

networkaudit
30
LanceBaynes

DNSテスト-多くのパケットスニッフィングツールは、IPアドレスから名前の検索を実行して、IPアドレスの代わりにDNS名を提供します。これをテストするには、ネットワークカードを無差別モードにして、偽のホストを対象としたネットワークにパケットを送信する必要があります。偽のホストからの名前の検索が見られる場合、検索を実行しているホストでスニファが動作している可能性があります。

ARPテスト-無差別モードの場合、ネットワークカードのドライバーは、MACアドレスがネットワークカードのユニキャストパケットかどうかをチェックしますが、MACアドレスの最初のオクテットのみを値0xffに対してチェックします。パケットがブロードキャストされるかどうかを決定します。ブロードキャストパケットのアドレスはff:ff:ff:ff:ff:ffであることに注意してください。この欠陥をテストするために、ff:00:00:00:00:00のMACアドレスとホストの正しい宛先IPアドレスを含むパケットを送信する場合。パケットを受信した後、問題のあるドライバーを使用しているMicrosoft OSは無差別モードで応答します。おそらく、デフォルトのMSドライバーだけで発生します。

Ether Pingテスト-古いLinuxカーネルでは、ネットワークカードがプロミスキャスモードになっていると、すべてのパケットがOSに渡されます。一部のLinuxカーネルは、パケット内のIPアドレスのみを調べて、処理する必要があるかどうかを判断しました。この欠陥をテストするには、偽のMACアドレスと有効なIPアドレスを含むパケットを送信する必要があります。無差別モードのネットワークカードを備えた脆弱なLinuxカーネルは、有効なIPアドレスのみを調べます。応答を取得するために、ICMPエコー要求メッセージが偽のパケット内で送信され、無差別モードの脆弱なホストに応答して応答します。

多分もっとあるかもしれません、私にとってのDNSテストは最も信頼できます

33
VP.

@vpは理論を与えました、私はいくつかのツールを与えます。

Linuxシステムで使用する場合:

  • SniffDet:これは、4つの異なるテストを採用しています。ICMPテスト、ARPテスト。 DNSテストとLATENCYテスト(VP01は言及していません)。ツールは最近更新されたので、お勧めします。

また:

  • nmapsniffer-detect.nse と呼ばれるnmapのNSEスクリプトがあり、それを実行します。
  • nast :ARPテストを実行することにより、混合モードで他のPCを検出します。
  • ptool :ARPおよびICMPテストを行います。最後のコミット 2009年でした

Windowsシステムの場合:

  • Cain&Abel は、さまざまなタイプのARPテストを使用して無差別スキャンを実行できます。
  • PromqryおよびPromqryUI この目的のためのMicrosoftツールも、どのように機能するのか本当にわかりません。

一般的な検出手法については、ハニーポット検出と呼ばれる別の手法もあります。レイテンシテストとハニーポットテクニックの詳細については、sniffdetの ドキュメント を参照してください。

25
john

確実に検出できるとは限りません。

たとえば、スニファコンピュータのTX +(ピン1)とTX ピン2)をループさせ、TX +(ピン1)をRX +(スニファのピン3)に設定して、読み取り専用のイーサネットケーブルを簡単に作成できます。 TX-(ピン2)からRX-(スニファーのピン6)。その後、スニッフィングコンピュータがネットワーク上のデータトラフィックに影響を与えることは不可能になります。

電圧降下またはRFエミッション(---(Van Eck phreaking の行に沿って)を検出することは可能ですが、私はCOTSハードウェアを認識していませんそれを検出します。

15
Jon Bringhurst

ローカルネットワークが無差別にローカルネットワークトラフィックをスニッフィングしているかどうかを常に特定できるとは限りませんが、ほとんどまたはすべてのパケットキャプチャアプリケーションがクラッシュする可能性があります。

開始点については、Samyの http://samy.pl/killmon.pl スクリプトを確認してください。メモリアクセス違反(またはバッファオーバーフローにつながる読み取り/書き込み例外)として脆弱性がなくても、2011年に動作するほとんどのアプリケーションは少なくともDoSクラッシュ攻撃に対して脆弱であることを認識してください。

2
atdre

Pingの応答時間の違いを見て、これを確実に検出するツールがあると思います。ツールはpingを送信すると同時に、同じIPアドレスに異なるMACアドレスで多数のpingを送信します。

混合モードのカードはすべてのトラフィックをCPUに返すため、ツールが機能します。CPUに大量のパケットが到達すると、本物のpingへの応答が遅くなります。通常モードのカードは、異なるMACアドレスを持つすべてのパケットを無視するため、応答時間に違いはありません。

誰かがツールの名前を挿入します

2
Stuart