C'è un modo per scoprire se qualcuno che è connesso alla mia rete sta sniffando i pacchetti? C'è un modo con nmap se la sua carta è in modalità promiscua, ma cosa succede se è passiva?
C'è un modo per scoprire se qualcuno che è connesso alla mia rete sta sniffando i pacchetti? C'è un modo con nmap se la sua carta è in modalità promiscua, ma cosa succede se è passiva?
Il problema dello sniffing passivo è che non ottieni il traffico di rete di altre persone a meno che tu non sia in grado di vedere quel traffico a causa della topologia della rete (ad esempio stai sniffando una porta trunk) o stai facendo lo spoofing della rete (ad es. spoofing ARP) che fa sì che i pacchetti vengano inviati al tuo dispositivo.
Se stanno facendo il secondo, devi solo cercare gli attacchi di spoofing ARP. Molte soluzioni IDS hanno funzionalità in grado di rilevare lo spoofing ARP. Un modo economico di bassa qualità per catturare i dispositivi non autorizzati è cercare i pacchetti provenienti da indirizzi MAC che non riconosci. Soluzioni migliori abbinano gli indirizzi MAC conosciuti a porte e dispositivi fisici, in modo da individuare rapidamente il routing inusuale.
Non riesco a pensare ad alcun modo per rilevare per sé completamente passivi, ma sarebbe certamente possibile cercare i dispositivi non autorizzati sulla rete eseguendo scansioni ARP, sonde DHCP o applicazione -layer (ad esempio su 192.168.x.255) e alla ricerca di risposte da dispositivi che non riconosci.
Lasciando da parte gli attacchi fisici come lo splicing e l'intercettazione dei cavi, ci sono un paio di modi per trovare gli sniffer del traffico. Un modo, come già accennato in @Polynomial, è quello di rilevare la manomissione del traffico necessaria per indirizzare il traffico utile (cioè di altre persone) allo sniffer. Un programma di esempio che fa questo è arpwatch
.
Un altro meccanismo di rilevamento utilizza sonde per determinare se l'interfaccia dell'host è in modalità promiscua. Nmap ha uno script, sniffer-detect
che può farlo, ma ci sono anche altri programmi.
C'è sempre la possibilità che uno sniffer possa essere installato sulla macchina locale per annusare la rete, restringerà il traffico solo all'host locale ma è efficace se è in corso un attacco mirato per monitorare una persona specifica e / o host di interesse.
In alcuni casi questo può essere alquanto difficile da rilevare a causa del fatto che questo tipo di sniffing è di natura passiva, forse persino mascherato da rootkit ecc.
Voglio approfondire questo aspetto, ma ricordo che un mio amico di rete mi ha parlato di un avanzato " Fluke Strumento "in grado di rilevare la distanza di un cavo e qualsiasi cosa fisicamente sul filo. Questo non sta usando il traffico di rete, ma qualcosa di molto basso nel livello fisico, ecc. Immagino che se tu conoscessi il tuo stato precedente potresti eseguire periodicamente la scansione di eventuali cambiamenti nelle connessioni fisiche (su una rete cablata) e questo potrebbe mostrare connessioni errate. Su una grande rete, questo suona un po 'poco pratico però.
Un modo migliore per fare questo è supporre che tu stia sfruttando il livello fisico e utilizzare IPSec, VPN, ecc. in modo che la connessione non autorizzata catturi solo dati crittografati. Per un insider malintenzionato, se si tratta di apparecchiature di proprietà dell'azienda, si spera che si abbiano gli strumenti di amministrazione del sistema, le policy, ecc per bloccare il software e prevenire la modalità promiscua (credo che su Windows sia necessario il livello di amministrazione per entrare in modalità promiscua).