Come posso rilevare se qualcuno sta fiutando i pacchetti di rete sulla LAN?

15

Vorrei sapere se c'è un prodotto o un software in grado di rilevare se c'è uno sniffer attualmente sulla rete?

In altre parole, è possibile rilevare se sulla rete è presente una scheda di rete che è attualmente in modalità promiscua?

    
posta Hanan N. 05.12.2012 - 10:12
fonte

3 risposte

13

È possibile annusare i pacchetti su Ethernet non commutata o wifi completamente passivamente. Strumenti come Tocco Lan Lan Stella rendono ancora più semplice. In questo caso passivo, non c'è nulla che tu possa davvero fare al riguardo.

Tuttavia, se ci si trova su una LAN commutata, qualsiasi sniffer dovrebbe iniziare ad avvelenare le cache ARP, anche se solo sull'interruttore. Questo è qualcosa che puoi rilevare molto più facilmente ed è un buon avvertimento che qualcuno sta pianificando qualcosa di malvagio.

    
risposta data 05.12.2012 - 13:14
fonte
12

Sono stati fatti alcuni lavori di cui ho sentito parlare come anti-sniff , che sembra per rilevare le macchine in modalità promiscua usando le informazioni sul tempo.

L'idea è che le macchine in modalità promiscua dovranno elaborare tutti i pacchetti che vedono così se ci sono grandi quantità di traffico che devono essere elaborate il sistema sarà occupato e più lento a rispondere al traffico diretto.

Questo tipo di approccio, se è ancora pratico, non funzionerebbe in ogni scenario. Ad esempio, se un host non ha un indirizzo IP, può ancora annusare il traffico e non sarebbe possibile rilevarlo utilizzando questo approccio.

Tuttavia è un approccio possibile che potrebbe essere esplorato.

    
risposta data 05.12.2012 - 10:41
fonte
6

Se il sistema esegue lo sniffer, la sua interfaccia sarà in modalità promiscua. Il test funziona così: Invia un ping con l'indirizzo IP corretto nella rete ma con un indirizzo mac sbagliato. L'host sniffing risponderà al pacchetto ping, poiché riceverà ogni pacchetto in modalità promiscua. C'è uno script pronto all'uso in nmap per supportare questo rilevamento.

link

TUTTAVIA: questo metodo funziona solo se,

  1. l'host sniffing si trova sulla stessa rete Layer2
  2. l'host sniffing non ha un firewall che blocca i pacchetti icmp in entrata
  3. l'host sniffing esegue lo sniffing con un'interfaccia abilitata per TCP / IP e quindi è in grado di rispondere al pacchetto ICMP.

Fonte: link

    
risposta data 26.03.2014 - 13:34
fonte

Leggi altre domande sui tag