it-swarm-eu.dev

Wie kann man herausfinden, dass sich ein NIC] in einem LAN im Promiscuous-Modus befindet?

Wie kann man herausfinden, dass sich ein NIC] in einem LAN im Promiscuous-Modus befindet?

30
LanceBaynes

DNS-Test - Viele Paket-Sniffing-Tools führen IP-Adressen-Namenssuchen durch, um DNS-Namen anstelle von IP-Adressen bereitzustellen. Um dies zu testen, müssen Sie Ihre Netzwerkkarte in den Promiscuous-Modus versetzen und Pakete an das Netzwerk senden, die an falsche Hosts gerichtet sind. Wenn Namenssuchen von den falschen Hosts angezeigt werden, ist möglicherweise ein Sniffer auf dem Host aktiv, der die Suchvorgänge ausführt.

ARP-Test - Im Promiscuous-Modus prüft der Treiber für die Netzwerkkarte, ob die MAC-Adresse die der Netzwerkkarte für Unicast-Pakete ist, prüft jedoch nur das erste Oktett der MAC-Adresse anhand des Werts 0xff bis Bestimmen Sie, ob das Paket gesendet wird oder nicht. Beachten Sie, dass die Adresse für ein Broadcast-Paket ff: ff: ff: ff: ff: ff lautet. Um diesen Fehler zu testen, senden Sie ein Paket mit einer MAC-Adresse von ff: 00: 00: 00: 00: 00 und der richtigen Ziel-IP-Adresse des Hosts. Nach dem Empfang eines Pakets antwortet das Microsoft-Betriebssystem, das den fehlerhaften Treiber verwendet, im Promiscuous-Modus. Wahrscheinlich passiert es nur mit dem Standard-MS-Treiber.

Ether Ping-Test - In älteren Linux-Kerneln wird jedes Paket an das Betriebssystem weitergeleitet, wenn eine Netzwerkkarte in den Promiscuous-Modus versetzt wird. Einige Linux-Kernel haben nur die IP-Adresse in den Paketen überprüft, um festzustellen, ob sie verarbeitet werden sollen oder nicht. Um diesen Fehler zu testen, müssen Sie ein Paket mit einer falschen MAC-Adresse und einer gültigen IP-Adresse senden. Anfällige Linux-Kernel mit ihren Netzwerkkarten im Promiscuous-Modus überprüfen nur die gültige IP-Adresse. Um eine Antwort zu erhalten, wird eine ICMP-Echoanforderungsnachricht innerhalb des falschen Pakets gesendet, die zu anfälligen Hosts im Promiscuous-Modus führt, um zu antworten.

Vielleicht gibt es noch mehr, der DNS-Test ist für mich der zuverlässigste

33
VP.

@vp gab die Theorie, ich werde einige Werkzeuge geben.

Zur Verwendung in Linux-Systemen:

  • SniffDet: Dieser verwendet 4 verschiedene Tests: ICMP-Test, ARP-Test; DNS-Test und auch ein LATENCY-Test (den VP01 nicht erwähnte). Das Tool wurde kürzlich aktualisiert und ich empfehle es.

Ebenfalls:

  • nmap: Es gibt ein NSE-Skript für nmap namens sniffer-detect.nse , das genau das tut.
  • nast : Durch Ausführen des ARP-Tests werden andere PCs im Promiscuous-Modus erkannt.
  • ptool : Testet ARP und ICMP. Letztes Commit war 2009 .

Für Windows-Systeme:

  • Cain & Abel kann mit vielen Arten von ARP-Tests einen promiskuitiven Scan durchführen.
  • Promqry und PromqryUI Microsoft-Tools auch für diesen Zweck, aber ich bin mir nicht sicher, wie sie funktionieren.

Für allgemeine Erkennungstechniken gibt es auch eine andere, die als Honeypot-Erkennung bezeichnet wird. Details zum Latenztest und zur Honeypot-Technik finden Sie in sniffdet's Dokumentation .

25
john

Sie können nicht garantieren, dass Sie es erkennen können.

Sie können beispielsweise einfach ein schreibgeschütztes Ethernet-Kabel herstellen, indem Sie TX + (Pin 1) und TX Pin 2) des Sniffing-Computers schleifen und dann TX + (Pin 1) auf RX + (Pin 3 des Sniffers) und setzen TX- (Pin 2) bis RX- (Pin 6 des Schnüfflers). Es ist dann für den Sniffing-Computer unmöglich, den Datenverkehr im Netzwerk zu beeinflussen.

Es kann möglich sein, einen Spannungsabfall oder RF Emissionen (im Sinne von --- (Van Eck phreaking ) zu erkennen, aber mir ist keine COTS-Hardware bekannt, die dies tut erkenne es.

15
Jon Bringhurst

Während es möglicherweise nicht immer möglich ist, festzustellen, ob das lokale Netzwerk den lokalen Netzwerkverkehr promiskuiv abspielt, ist es möglicherweise möglich, die meisten oder alle Paketerfassungsanwendungen zum Absturz zu bringen.

Schauen Sie sich Samys http://samy.pl/killmon.pl Skript als Ausgangspunkt an. Beachten Sie, dass die meisten Anwendungen, die 2011 arbeiten, zumindest für einen DoS-Absturz anfällig sind, auch wenn der Absturz nicht als Verletzung des Speicherzugriffs (oder als Lese-/Schreibausnahme, die zu einem Pufferüberlauf führt) anfällig ist.

2
atdre

Ich glaube, es gibt ein Tool, das dies zuverlässig erkennt, indem es den Unterschied in den Ping-Antwortzeiten untersucht. Das Tool sendet Pings und sendet gleichzeitig eine große Anzahl von Pings an dieselbe IP-Adresse, jedoch mit unterschiedlichen MAC-Adressen.

Das Tool funktioniert, weil Karten im Promiscuous-Modus den gesamten Datenverkehr an die CPU zurückgeben. Wenn also viele Pakete auf die CPU treffen, verlangsamt dies die Reaktion auf echte Pings. Eine Karte im normalen Modus würde alle Pakete mit unterschiedlichen MAC-Adressen ignorieren, sodass es keinen Unterschied in der Antwortzeit gibt.

Jemand gibt den Namen des Werkzeugs ein

2
Stuart