Come scoprire che una NIC è in modalità promiscua su una LAN?

27

Come scoprire che una scheda NIC è in modalità promiscua su una LAN?

    
posta LanceBaynes 06.05.2011 - 23:24
fonte

5 risposte

32

Test DNS - molti strumenti di sniffing dei pacchetti eseguono l'indirizzo IP per denominare le ricerche per fornire nomi DNS al posto degli indirizzi IP. Per verificare ciò, è necessario posizionare la scheda di rete in modalità promiscua e inviare i pacchetti sulla rete destinati agli host fasulli. Se vengono visualizzate ricerche di nomi dagli host fasulli, potrebbe essere in atto uno sniffer sull'host che esegue le ricerche.

Test ARP - In modalità promiscua, il driver per la scheda di rete controlla che l'indirizzo MAC sia quello della scheda di rete per i pacchetti unicast, ma controlla solo il primo ottetto dell'indirizzo MAC contro il valore 0xff per determinare se il pacchetto è trasmesso o meno. Si noti che l'indirizzo per un pacchetto broadcast è ff: ff: ff: ff: ff: ff. Per verificare questo difetto, inviare un pacchetto con un indirizzo MAC ff: 00: 00: 00: 00: 00 e l'indirizzo IP di destinazione corretto dell'host. Dopo aver ricevuto un pacchetto, il sistema operativo Microsoft che utilizza il driver difettoso risponderà in modalità promiscua. Probabilmente accade solo con il driver MS predefinito.

Test Ether Ping - Nei kernel Linux precedenti quando una scheda di rete viene inserita in modalità promiscua, ogni pacchetto viene passato al sistema operativo. Alcuni kernel di Linux guardavano solo l'indirizzo IP nei pacchetti per determinare se dovessero essere elaborati o meno. Per verificare questo difetto, è necessario inviare un pacchetto con un indirizzo MAC fasullo e un indirizzo IP valido. I kernel vulnerabili di Linux con le loro schede di rete in modalità promiscua guardano solo all'indirizzo IP valido. Per ottenere una risposta, un messaggio di richiesta echo ICMP viene inviato all'interno del pacchetto fasullo che porta agli host vulnerabili in modalità promiscua per rispondere.

Forse ce ne sono altri, il test DNS per me è il più affidabile

    
risposta data 06.05.2011 - 23:40
fonte
24

VP01 ha dato la teoria, darò alcuni strumenti.

Per l'uso nei sistemi linux:

SniffDet : questo impiega 4 test diversi: test ICMP, test ARP; Test DNS e anche un test LATENCY (che VP01 non ha menzionato). Lo strumento è stato recentemente aggiornato e lo raccomando.

Inoltre:

NMAP: esiste uno script NSE per nmap chiamato sniffer-detect.nse che fa proprio questo .

NAST : - rileva altri PC in modalità promiscua eseguendo il test ARP.

PTOOL - fa test ARP e ICMP

Per i sistemi Windows: Cain & Abel può eseguire una scansione promiscua utilizzando molti tipi di test ARP.

Microsoft ha anche strumenti per questo scopo. Promqry e PromqryUI - ma non sono proprio sicuro di come funzionano.

Come per le tecniche di rilevamento generale, ce n'è anche un'altra, chiamata honeypot detect. Dettagli sul test di latenza e sulla tecnica honeypot possono essere trovati in documentazione

    
risposta data 17.05.2011 - 20:45
fonte
14

Non puoi garantire che sarai in grado di rilevarlo.

Ad esempio, puoi facilmente creare un cavo ethernet di sola lettura collegando il TX + (pin 1) e TX- (pin 2) del computer sniffing, quindi imposta TX + (pin 1) su RX + (pin 3 del sniffer) e TX- (pin 2) a RX- (pin 6 dello sniffer). Sarà quindi impossibile per il computer sniffing influenzare il traffico di dati sulla rete.

Potrebbe essere possibile rilevare una caduta di tensione o emissioni RF (sulla falsariga di phishing di Van Eck ), ma Non sono a conoscenza di alcun hardware COT che lo rilevi.

    
risposta data 18.05.2011 - 06:09
fonte
2

Anche se potrebbe non essere sempre possibile identificare se la rete locale stia annusando in modo promiscuo il traffico di rete locale - potrebbe essere possibile bloccare la maggior parte o tutte le applicazioni di acquisizione dei pacchetti.

Controlla lo script link di Samy per un punto di partenza. Renditi conto che la maggior parte delle applicazioni che funzionano nel 2011 sono vulnerabili ad almeno un attacco di arresto DoS, anche se l'arresto non è vulnerabile come violazione di accesso alla memoria (o un'eccezione di lettura / scrittura che causa un overflow del buffer).

    
risposta data 23.05.2011 - 16:36
fonte
2

Credo che ci sia uno strumento che rileva in modo affidabile questo osservando la differenza nei tempi di risposta del ping. Lo strumento invia ping e allo stesso tempo invia un gran numero di ping allo stesso indirizzo IP ma con indirizzi MAC diversi.

Lo strumento funziona perché le carte in modalità promiscua restituiranno tutto il traffico alla CPU, quindi quando ci sono molti pacchetti che colpiscono la CPU questo rallenterà la risposta ai veri ping. Una scheda in modalità normale ignorerebbe tutti i pacchetti con indirizzi MAC diversi, quindi non ci sarebbe differenza nel tempo di risposta.

Qualcuno inserisce il nome dello strumento

    
risposta data 25.05.2011 - 10:45
fonte

Leggi altre domande sui tag