Trova Sniffer su LAN

Quali strumenti o tecniche sono disponibili per * nix e Windows che aiutano a scoprire se qualcun altro sulla LAN sta usando uno sniffer?

Detto questo e considerando fortemente che ci sono strumenti là fuori per scoprire tali "fenomeni", quale sarebbe il modo per non essere fiutato?

È molto difficile rilevare gli sniffer perché funzionano passivamente . Alcuni sniffer generano piccole quantità di traffico e, quindi, ci sono alcune tecniche per rilevarli.

• Le macchine memorizzano nella cache ARP (Address Resolution Protocol). L'invio di un ARP non broadcast, una macchina in modalità promiscua (una scheda di rete che fa passare tutto il traffico della scheda) memorizzerà nella cache il tuo indirizzo ARP. Quindi, inviando un pacchetto ping broadcast con il nostro IP, ma un indirizzo MAC diverso. Solo una macchina che ha il nostro indirizzo MAC corretto dal frame ARP sniffato sarà in grado di rispondere alla nostra richiesta di ping broadcast. Quindi, se la macchina risponde, deve annusare.
• La maggior parte degli sniffer esegue un po 'di analisi. Invio di enormi quantità di dati e ping della macchina sospetta prima e durante il flooding dei dati. Se la scheda di rete della macchina sospetta è in modalità promiscua, analizzerà i dati e aumenterà il carico su di essa. In questo modo ci vuole del tempo extra per rispondere al ping. Questo piccolo ritardo può essere usato come indicatore del fatto che una macchina stia fiutando o meno. Potrebbe provocare alcuni falsi positivi, se ci fossero dei ritardi "normali" sulla rete a causa dell'elevato traffico.
• Il seguente metodo è vecchio e non è più affidabile: invio di una richiesta ping con l'indirizzo IP della macchina sospetta ma non con il suo indirizzo MAC. Idealmente nessuno dovrebbe vedere questo pacchetto poiché ogni scheda di rete rifiuterà il ping perché non corrisponde al suo indirizzo MAC. Se la macchina sospetta sta annusando, risponderà in quanto non si preoccupa di rifiutare i pacchetti con un indirizzo MAC di destinazione diverso.

Ci sono alcuni strumenti che impiantano queste tecniche, ad esempio strumenti open source come Neped e ARP Watch o AntiSniff per Windows, che è uno strumento commerciale.

Se si desidera impedire lo sniffing, il modo migliore è utilizzare la crittografia per qualsiasi attività di rete (SSH, https ecc.). In questo modo gli sniffer possono leggere il traffico, ma i dati non avranno alcun senso per loro.

Lo sniffing dei pacchetti è un'attività passiva, in genere non è possibile stabilire se qualcuno sta annusando la tua rete. Tuttavia, per consentire a qualcuno su una LAN cablata e commutata di vedere il traffico che non è destinato solo al proprio IP (o trasmesso alla rete / sottorete), devono avere accesso a una porta monitorata / con mirroring che duplica tutto il traffico, o installa un "tap" sul gateway.

La miglior difesa contro lo sniffing è una decente crittografia end-to-end e controlli fisici su hardware sensibile.

Modifica: CPM, Neped e AntiSniff ora sono vecchi di 10-15 anni ... Pensa al kernel Linux <2.2 o Windows NT4. Se qualcuno ha accesso a un tocco o a un mirror, sarà generalmente molto difficile da rilevare. Manipolare ARP o DNS è probabilmente la soluzione migliore, ma è tutt'altro che sicuro.

L'unico modo (credo) che puoi annusare tutto il traffico su una LAN commutata è con un attacco "man in the middle". Fondamentalmente fai avvelenamenti da ARP, rubando i pacchetti di tutti, leggendoli e spedendoli al computer giusto in seguito.

Probabilmente ci sono più strumenti che possono farlo, ne conosco solo uno:

Ettercap può sia eseguire l'attacco Mitm sia rilevarne uno quando qualcun altro lo sta facendo.

L'ingegneria sociale è l'altro modo di farlo. Configura un account honeypot root / admin o qualche altro target allettante, trasmetti la sua password in chiaro e guarda i tuoi registri.

Esiste un modo semplice per rilevare la maggior parte degli sniffer. Metti due box sulla rete che non sono in DNS e non sono usati per nient'altro. Invitali periodicamente a ping o altrimenti a comunicare tra loro.

Ora, controlla la tua rete per eventuali ricerche DNS e / o richieste ARP per i loro IP. Molti sniffer cercheranno di default tutti gli indirizzi che trovano, e quindi qualsiasi ricerca su questi dispositivi sarebbe un solido avvertimento.

Un hacker intelligente potrebbe disattivare queste ricerche, ma molti non ci penserebbero, e sicuramente lo rallenterebbe.

Ora, se è abbastanza intelligente da non abilitare le ricerche DNS e impedisce qualsiasi ARP per questi dispositivi, il tuo compito è molto più difficile. A questo punto, dovresti lavorare secondo la filosofia secondo cui la rete viene sempre sniffata e attuare procedure proattive per prevenire eventuali vulnerabilità che potrebbero insorgere sotto questo presupposto. Diversi includono:

1. Utilizzare una rete completamente commutata
2. Associare le porte degli switch agli indirizzi MAC
3. Non consentire l'abilitazione della modalità promiscua nelle schede di rete (se possibile nel proprio ambiente)
4. Usa protocolli sicuri

Wireshark è un ottimo strumento per monitorare il traffico di rete. E cercherà i nomi per abbinare gli indirizzi IP, trovare il produttore da un indirizzo MAC, ecc. Naturalmente, puoi guardarlo mentre fa queste query e poi sai che è in esecuzione.

Naturalmente, puoi disattivare queste cose e non essere rilevate. E ci sono altri programmi progettati per non essere rilevati intenzionalmente. Quindi è solo qualcosa da considerare durante il tentativo di rispondere a questa domanda.

L'unico modo sicuro per farlo è esaminare ciascuno dei dispositivi nella sottorete.

Esistono strumenti, ad esempio nmap , ma non sono garantiti per il loro funzionamento e i tocchi passivi non tradiranno la loro presenza.

L'approccio migliore è supporre che la tua rete sia più o meno pubblica e utilizzare la crittografia. O su base applicativa - SSH, HTTPS IMAPS ecc., Oppure tunneling tutto il tuo traffico attraverso una VPN

Dalla parte superiore della mia testa guarderei passare i dati dell'interfaccia SNMP per le interfacce che un host sta ricevendo più dati e / o inviando meno dati della media. Cerca qualcosa al di fuori di una deviazione standard su entrambi e probabilmente troverai le persone che hanno maggiori probabilità di fare qualcosa che non dovrebbero.

Potrebbe non essere solo sniffer, ma potrebbe trovare avidi osservatori di hulu / netflix.

I tuoi switch / router potrebbero anche avere funzionalità da tenere d'occhio e catturare le persone che tentano di avvelenare i tavoli arp, che sarebbe anche un grande givaway.

Gli hub (o configurazioni di rete molto vecchie, come Thinnet / Thicknet) trasferiscono tutti i dati attraverso il cavo in ogni momento. Chiunque fosse collegato vedrebbe ogni pacchetto sul proprio segmento locale. Se imposti la scheda di rete in modalità promiscua (leggi tutti i pacchetti, non solo quelli inviati direttamente a te) ed esegui un programma di acquisizione dei pacchetti, puoi vedere tutto ciò che accade, annusare le password, ecc.

Gli switch funzionano come ponti di rete della vecchia scuola: trasferiscono il traffico fuori da una porta solo se è a) trasmesso b) destinato a quel dispositivo

Gli switch mantengono una cache che indica quali indirizzi MAC si trovano su quale porta (a volte ci sarà un hub o switch daisy concatenato da una porta). Gli switch non replicano tutto il traffico verso tutte le porte.

Gli switch di fascia più alta (per uso aziendale) possono avere porte speciali (Span o Management) che possono essere configurate per replicare tutto il traffico. I dipartimenti IT utilizzano tali porte per monitorare il traffico (sniffing legittimo). Rilevare lo sniffing non autorizzato dovrebbe essere facile: vai allo switch e vedi se qualcosa è collegato a quella porta.