it-swarm-eu.dev

Jak zjistit, že a NIC je v promiskuitním režimu na LAN?

Jak zjistit, že a NIC je v promiskuitním režimu na LAN?

30
LanceBaynes

test DNS - mnoho nástrojů pro čichání paketů provádí vyhledávání adres IP podle názvů, aby místo názvů IP poskytovalo názvy DNS. Chcete-li to otestovat, musíte umístit síťovou kartu do promiskuitního režimu a odeslat pakety ven do sítě zaměřené na falešné hostitele. Pokud se objeví nějaké jméno vyhledávání od falešných hostitelů, může být v akci na hostitele provádějící vyhledávání.

test ARP - Pokud je v promiskuitním režimu ovladač síťové karty zkontroluje, zda adresa MAC je adresa síťové karty pro unicast pakety, ale pouze zkontroluje první oktet adresy MAC proti hodnotě 0xff to určit, zda je paket vysílán nebo ne. Upozorňujeme, že adresa pro vysílací paket je ff: ff: ff: ff: ff: ff. Chcete-li otestovat tuto chybu, pošlete-li paket s MAC adresou ff: 00: 00: 00: 00: 00 a správnou cílovou IP adresou hostitele. Po obdržení paketu bude operační systém Microsoft Windows pomocí chybného ovladače reagovat v promiskuitním režimu. Pravděpodobně se to stane jen s výchozím ovladačem MS.

Test Ether Ping - Ve starších linuxových jádrech, když je síťová karta umístěna v promiskuitním režimu, je každý paket předán OS. Některá linuxová jádra zkoumala pouze IP adresu v paketech, aby určila, zda mají být zpracována nebo ne. Chcete-li otestovat tuto chybu, musíte odeslat paket s falešnou MAC adresou a platnou IP adresou. Zranitelná jádra systému Linux se svými síťovými kartami v promiskuitním režimu se dívají pouze na platnou adresu IP. Abychom dostali odpověď, je v rámci falešného paketu odeslána zpráva s požadavkem na ozvěnu ICMP, což vede k zranitelným hostitelům v promiskuitním režimu, aby mohli reagovat.

Možná existuje více, nejspolehlivější je pro mě test DNS

33
VP.

@ Vp dal teorii, dám nějaké nástroje.

Pro použití v systémech Linux:

  • SniffDet: Tento test využívá 4 různé testy: test ICMP, test ARP; Test DNS a test LATENCY (který VP01 nezmínil). Tento nástroj je nedávno aktualizován a doporučuji jej.

Taky:

  • nmap: Existuje skript NSE pro nmap s názvem sniffer-detection.nse , který to jen dělá.
  • nast : Detekuje ostatní počítače v promiskuitním režimu provedením testu ARP.
  • ptool : Testuje ARP a ICMP. Poslední odevzdání bylo v roce 2009 .

Pro systémy Windows:

  • Cain & Abel umí promiskuitní sken pomocí mnoha typů testů ARP.
  • Promqry a PromqryUI Microsoft nástroje pro tento účel příliš, ale nejsem si úplně jistý, jak fungují.

Pokud jde o obecné detekční techniky, existuje také další, zvaná detekce honeypotů. Podrobnosti o testu latence a technice honeypot lze nalézt v dokumentace .

25
john

Nemůžete zaručit, že to dokážete detekovat.

Například můžete snadno vytvořit ethernetový kabel jen pro čtení smyčkami TX + (pin 1) a TX pin 2) čichajícího počítače a poté nastavit TX + (pin 1) na RX + (pin 3 sniffera) a TX- (pin 2) až RX- (pin 6 snifferu). Potom nebude možné, aby čichající počítač ovlivnil veškerý datový přenos v síti.

Je možné detekovat pokles napětí nebo RF emise (podél řádků --- (Van Eck phreaking )), ale nevím o žádném hardwaru COTS, který bude detekovat to.

15
Jon Bringhurst

I když nemusí být vždy možné zjistit, zda místní síť promiskuitně čichá na místní síťový provoz - je možné, že dojde k selhání většiny nebo všech aplikací pro sběr paketů.

Podívejte se na skript Samyho http://samy.pl/killmon.pl pro počáteční bod. Uvědomte si, že většina aplikací pracujících v roce 2011 je zranitelná alespoň při havárii DoS, i když havárie není zranitelná jako narušení přístupu do paměti (nebo výjimka čtení/zápisu, která vede k přetečení vyrovnávací paměti).

2
atdre

Věřím, že existuje nástroj, který to spolehlivě detekuje sledováním rozdílu v časech odezvy ping. Nástroj odešle ping a současně odešle velké množství pingů na stejnou IP adresu, ale s odlišnými MAC adresami.

Nástroj funguje, protože karty v promiskuitním režimu budou vracet veškerý provoz do procesoru, takže když bude do CPU zasáhnout mnoho paketů, zpomalí to reakci na skutečné pingy. Karta v normálním režimu by ignorovala všechny pakety s různými MAC adresami, takže by nebyl žádný rozdíl v době odezvy.

Někdo vloží název nástroje

2
Stuart