Tìm Sniffer trên mạng LAN

Những công cụ hoặc kỹ thuật nào có sẵn cho * nix và Windows giúp tìm kiếm nếu có ai đó trên mạng LAN đang sử dụng trình thám thính?

Đã nói điều đó và mạnh mẽ xem xét rằng có những công cụ ngoài kia để khám phá những "hiện tượng" như vậy, công việc xung quanh để không bị đánh hơi là gì?

Rất khó để phát hiện người đánh hơi, vì họ làm việc thụ động . Một số người đánh hơi tạo ra lưu lượng nhỏ và mặc dù vậy, có một số kỹ thuật để phát hiện chúng.

• Máy ARP bộ đệm (Giao thức phân giải địa chỉ). Gửi một ARP không phát sóng, một máy ở chế độ lăng nhăng (thẻ mạng giúp thẻ vượt qua tất cả lưu lượng truy cập) sẽ lưu trữ địa chỉ ARP của bạn. Sau đó, gửi một gói ping quảng bá với IP của chúng tôi, nhưng một địa chỉ MAC khác. Chỉ một máy có địa chỉ MAC chính xác của chúng tôi từ khung ARP được đánh hơi mới có thể đáp ứng yêu cầu ping phát sóng của chúng tôi. Vì vậy, nếu máy đang phản hồi thì phải đánh hơi.
• Hầu hết các sniffers làm một số phân tích cú pháp. Gửi một lượng lớn dữ liệu và ping máy nghi ngờ trước và trong khi lũ dữ liệu. Nếu card mạng của máy bị nghi ngờ ở chế độ lăng nhăng, nó sẽ phân tích dữ liệu và tăng tải cho nó. Bằng cách này, bạn sẽ mất thêm thời gian để phản hồi ping. Độ trễ nhỏ này có thể được sử dụng như một chỉ báo cho biết máy có đánh hơi hay không. Nó có thể gây ra một số tích cực sai, nếu có một số độ trễ "bình thường" trên mạng vì lưu lượng truy cập cao.
• Phương pháp sau đây đã cũ và không còn đáng tin cậy nữa: gửi yêu cầu ping bằng địa chỉ IP của máy nghi ngờ nhưng không phải địa chỉ MAC của nó. Lý tưởng nhất là không ai nên xem gói này vì mỗi card mạng sẽ từ chối ping vì nó không khớp với địa chỉ MAC của nó. Nếu máy nghi ngờ đang đánh hơi thì nó sẽ phản hồi vì nó không bận tâm từ chối các gói có địa chỉ MAC đích khác.

Có một số công cụ thực hiện các kỹ thuật này, ví dụ như các công cụ nguồn mở như Neped và ARP Watch hoặc AntiSniff cho Windows, là một công cụ thương mại.

Nếu bạn muốn ngăn chặn việc đánh hơi, cách tốt nhất là sử dụng mã hóa cho bất kỳ hoạt động mạng nào (SSH, https, v.v.). Bằng cách này, người đánh hơi có thể đọc lưu lượng, nhưng dữ liệu sẽ không có ý nghĩa với họ.

Đánh hơi gói là một hoạt động thụ động, nói chung không thể biết được ai đó đang đánh hơi mạng của bạn. Tuy nhiên, để ai đó trên mạng LAN có dây, đã chuyển đổi LAN để xem lưu lượng truy cập không chỉ đến hoặc từ IP của họ (hoặc phát lên mạng / mạng con), họ cần có quyền truy cập vào cổng được giám sát / nhân đôi để sao chép tất cả lưu lượng, hoặc cài đặt 'tap' trên cổng.

Bảo vệ tốt nhất chống lại việc đánh hơi là mã hóa đầu cuối khá tốt và các điều khiển vật lý trên phần cứng nhạy cảm.

Chỉnh sửa: CPM, Neped và AntiSniff hiện đã cũ 10 - 15 năm ... Hãy nghĩ rằng nhân Linux <2.2 hoặc Windows NT4. Nếu ai đó có quyền truy cập vào một vòi hoặc gương, thường sẽ rất khó phát hiện. Thao tác ARP hoặc DNS có lẽ là đặt cược tốt nhất, nhưng nó không phải là một điều chắc chắn.

Cách duy nhất (tôi tin) là bạn có thể đánh hơi tất cả lưu lượng truy cập trên mạng LAN đã chuyển đổi bằng một cuộc tấn công 'người ở giữa'. Về cơ bản, bạn thực hiện ngộ độc ARP, đánh cắp các gói của mọi người, đọc chúng và gửi chúng đến đúng máy tính sau đó.

Có lẽ có nhiều công cụ có thể làm điều này, tôi chỉ biết một:

Ettercap có thể thực hiện cả cuộc tấn công Mitm và phát hiện một người khi người khác đang thực hiện.

Kỹ thuật xã hội là cách khác để làm điều đó. Thiết lập tài khoản root / admin honeypot hoặc một số mục tiêu hấp dẫn khác, phát mật khẩu của nó rõ ràng và xem nhật ký của bạn.

Có một cách đơn giản để phát hiện hầu hết những người đánh hơi. Đặt hai hộp trên mạng không có trong DNS và không được sử dụng cho bất kỳ thứ gì khác. Có họ định kỳ ping hoặc giao tiếp với nhau.

Bây giờ, hãy giám sát mạng của bạn để biết bất kỳ tra cứu DNS và / hoặc yêu cầu ARP nào cho IP của họ. Nhiều người đánh hơi theo mặc định sẽ tìm kiếm bất kỳ địa chỉ nào họ tìm thấy, và do đó, bất kỳ tra cứu nào trên các thiết bị này sẽ là một cảnh báo chắc chắn.

Một hacker thông minh có thể tắt các tra cứu này, nhưng nhiều người không nghĩ tới, và nó chắc chắn sẽ làm chậm anh ta.

Bây giờ, nếu anh ta đủ thông minh để không kích hoạt tra cứu DNS và ngăn chặn mọi ARP cho các thiết bị này, thì nhiệm vụ của bạn sẽ khó khăn hơn nhiều. Tại thời điểm này, bạn nên làm việc theo triết lý rằng mạng luôn bị đánh hơi và ban hành các quy trình chủ động để ngăn chặn mọi lỗ hổng sẽ phát sinh theo giả định này. Một số bao gồm:

1. Sử dụng mạng chuyển đổi hoàn toàn
2. Ràng buộc chuyển cổng sang địa chỉ MAC
3. Không cho phép chế độ bừa bãi cho phép trên các NIC (nếu có thể trong môi trường của bạn)
4. Sử dụng các giao thức bảo mật

Wireshark là một công cụ tuyệt vời để giám sát lưu lượng mạng. Và nó sẽ tìm tên để khớp với địa chỉ IP, tìm nhà sản xuất từ ​​địa chỉ MAC, v.v ... Đương nhiên, bạn có thể xem nó thực hiện các truy vấn này và sau đó bạn biết nó đang chạy.

Tất nhiên, bạn có thể tắt những thứ này và sau đó không bị phát hiện. Và có những chương trình khác được thiết kế để cố tình không bị phát hiện. Vì vậy, nó chỉ là một cái gì đó để xem xét trong khi cố gắng trả lời câu hỏi này.

Cách chắc chắn duy nhất để làm điều này là kiểm tra từng thiết bị trên mạng phụ.

Có các công cụ, ví dụ như nmap , nhưng chúng không được đảm bảo để hoạt động và vòi thụ động sẽ không phản bội sự hiện diện của chúng.

Cách tiếp cận tốt nhất là giả định rằng mạng của bạn ít nhiều công khai và sử dụng mã hóa. Trên cơ sở ứng dụng - SSH, HTTPS IMAPS, v.v. hoặc đường hầm tất cả lưu lượng truy cập của bạn thông qua VPN

Ngoài đỉnh đầu tôi muốn xem dữ liệu giao diện SNMP cho các giao diện mà máy chủ đang nhận được nhiều dữ liệu hơn và / hoặc gửi ít dữ liệu hơn mức trung bình. Tìm kiếm bất cứ điều gì bên ngoài độ lệch chuẩn trên một trong hai và có thể bạn sẽ tìm thấy những người có khả năng nhất đang làm điều gì đó họ không nên làm.

Nó có thể không chỉ là người đánh hơi, mặc dù, có thể tìm thấy những người theo dõi hulu / netflix khao khát.

Các thiết bị chuyển mạch / bộ định tuyến của bạn cũng có thể có các tính năng để theo dõi và bắt những người đang cố gắng đầu độc các bảng arp, đó cũng là một món quà khá lớn.

Các trung tâm (hoặc các thiết lập mạng thực sự cũ, như Thinnet / thicknet) chuyển tất cả dữ liệu qua dây mọi lúc. Bất cứ ai cắm vào sẽ thấy mọi gói trên phân khúc cục bộ của họ. Nếu bạn đặt card mạng ở chế độ lăng nhăng (đọc tất cả các gói, không chỉ các gói được gửi trực tiếp cho bạn) và chạy chương trình chụp gói, bạn có thể thấy mọi thứ xảy ra, đánh hơi mật khẩu, v.v.

Các công tắc hoạt động giống như các cầu nối mạng trường học cũ-- chúng chỉ truyền lưu lượng ra một cổng nếu đó là a) phát sóng b) dành cho thiết bị đó

Các công tắc duy trì bộ đệm cho biết địa chỉ MAC nào đang ở trên cổng nào (đôi khi sẽ có một trung tâm hoặc công tắc được nối với một cổng). Công tắc không sao chép tất cả lưu lượng truy cập đến tất cả các cổng.

Các thiết bị chuyển mạch cấp cao hơn (dành cho sử dụng kinh doanh) có thể có các cổng đặc biệt (Span hoặc Management) có thể được cấu hình để sao chép tất cả lưu lượng truy cập. Bộ phận CNTT sử dụng các cổng đó để giám sát lưu lượng (đánh hơi hợp pháp). Phát hiện việc đánh hơi trái phép phải dễ dàng - hãy nhìn vào công tắc và xem có thứ gì được cắm vào cổng đó không.