Encontre o Sniffer na LAN

Quais ferramentas ou técnicas estão disponíveis para * nix e Windows que ajudam a descobrir se alguém na LAN está usando um sniffer?

Dito isto, e considerando fortemente que existem ferramentas disponíveis para descobrir tais "fenômenos", qual seria a solução para não ser farejado?

É muito difícil detectar sniffers, porque eles trabalham passivamente . Alguns sniffers geram pequenas quantidades de tráfego e, portanto, existem algumas técnicas para detectá-los.

• As máquinas armazenam ARPs (Address Resolution Protocol). Ao enviar um ARP sem difusão, uma máquina no modo promíscuo (uma placa de rede que faz a placa passar todo o tráfego) armazenará em cache o seu endereço ARP. Em seguida, enviando um pacote de ping de difusão com nosso IP, mas um endereço MAC diferente. Somente uma máquina que tenha o nosso endereço MAC correto a partir do quadro ARP detectado poderá responder à nossa solicitação de ping de transmissão. Portanto, se a máquina estiver respondendo, ela deve estar farejando.
• A maioria dos farejadores faz algumas análises. Enviando uma enorme quantidade de dados e executando ping na máquina suspeita antes e durante a inundação de dados. Se a placa de rede da máquina suspeita estiver no modo promíscuo, ela analisará os dados e aumentará a carga nela. Dessa forma, leva algum tempo extra para responder ao ping. Esse pequeno atraso pode ser usado como um indicador para saber se uma máquina está farejando ou não. Pode provocar algum falso positivo, se houver alguns atrasos "normais" na rede devido ao tráfego intenso.
• O método a seguir é antigo e não é mais confiável: o envio de uma solicitação de ping com o endereço IP da máquina suspeita, mas não com o endereço MAC. Idealmente, ninguém deve ver esse pacote, pois cada placa de rede rejeitará o ping porque não corresponde ao seu endereço MAC. Se a máquina suspeita estiver farejando, ela responderá, pois não se incomoda em rejeitar pacotes com um endereço MAC de destino diferente.

Existem algumas ferramentas que implementam essas técnicas, por exemplo, ferramentas de código aberto como Neped e ARP Watch ou AntiSniff for Windows, que é uma ferramenta comercial.

Se você deseja impedir o sniffing, a melhor maneira é usar a criptografia para qualquer atividade de rede (SSH, https etc.). Dessa forma, os farejadores podem ler o tráfego, mas os dados não farão sentido para eles.

Farejar pacotes é uma atividade passiva, geralmente não é possível saber se alguém está farejando sua rede. No entanto, para que alguém em uma LAN comutada e com fio veja o tráfego que não é destinado apenas para o IP (ou transmitido para a rede / sub-rede), ele precisa ter acesso a uma porta monitorada / espelhada que duplica todo o tráfego, ou instale um 'toque' no gateway.

A melhor defesa contra o sniffing é a criptografia de ponta a ponta decente e os controles físicos em hardware sensível.

Edit: CPM, Neped e AntiSniff agora são obsoletos por 10 a 15 anos ... Pense no kernel do Linux <2.2 ou no Windows NT4. Se alguém tiver acesso a um toque ou espelho, geralmente será muito difícil de detectar. Manipular ARP ou DNS é provavelmente a melhor aposta, mas está longe de ser uma coisa certa.

A (acredito) única maneira de detectar todo o tráfego em uma LAN comutada é com um ataque de 'homem do meio'. Basicamente, você envenena o ARP, roubando os pacotes de todos, lendo-os e enviando-os para o computador certo posteriormente.

Provavelmente existem várias ferramentas que podem fazer isso, eu só conheço uma:

O Ettercap pode executar o ataque do Mitm e detectar um quando alguém o está fazendo.

Engenharia social é a outra maneira de fazê-lo. Configure uma conta root / admin do honeypot ou algum outro alvo tentador, transmita sua senha de forma clara e observe seus registros.

Existe uma maneira simples de detectar a maioria dos sniffers. Coloque duas caixas na rede que não estão no DNS e não são usadas para mais nada. Faça com que periodicamente façam ping ou se comuniquem entre si.

Agora, monitore sua rede quanto a pesquisas de DNS e / ou solicitações de ARP para seus IPs. Por padrão, muitos farejadores procurarão os endereços que encontrarem e, portanto, qualquer pesquisa nesses dispositivos seria um aviso sólido.

Um hacker inteligente poderia desativar essas pesquisas, mas muitos não pensariam, e isso definitivamente o atrasaria.

Agora, se ele for inteligente o suficiente para não ativar as pesquisas de DNS e impedir qualquer ARP para esses dispositivos, sua tarefa será muito mais difícil. Nesse ponto, você deve trabalhar com a filosofia de que a rede está sempre sendo detectada e adotar procedimentos proativos para evitar quaisquer vulnerabilidades que possam surgir sob essa suposição. Vários incluem:

1. Use uma rede totalmente comutada
2. Vincular portas do switch aos endereços MAC
3. Não permitir o modo promíscuo ativado nas NICs (se possível em seu ambiente)
4. Use protocolos seguros

O Wireshark é uma ótima ferramenta para monitorar o tráfego de rede. E ele procurará nomes para corresponder aos endereços IP, encontre o fabricante a partir de um endereço MAC, etc. Naturalmente, você pode assistir a essas consultas e saber que está em execução.

Obviamente, você pode desativar essas coisas e depois não ser detectado. E existem outros programas projetados para intencionalmente não serem detectados. Portanto, é apenas algo a considerar ao tentar responder a essa pergunta.

A única maneira certa de fazer isso é examinar cada um dos dispositivos na sub-rede.

Existem ferramentas, por exemplo, nmap , mas não é garantido que elas funcionem, e torneiras passivas não traem sua presença.

A melhor abordagem é assumir que sua rede é mais ou menos pública e usar criptografia. Com base em aplicativos - SSH, HTTPS IMAPS etc., ou encapsule todo o seu tráfego através de uma VPN

Em cima da minha cabeça, eu assistia ao switch SNMP da interface de dados para interfaces que um host está recebendo mais dados e / ou enviando menos dados que a média. Procure algo fora de um desvio padrão em qualquer um deles e provavelmente encontrará as pessoas com maior probabilidade de estar fazendo algo que não deveria.

Pode não ser apenas farejador, mas pode encontrar ávidos observadores hulu / netflix.

Seus switches / roteadores também podem ter recursos a serem observados e capturar pessoas que tentam envenenar as tabelas arp, o que também seria uma grande vantagem.

Hubs (ou configurações de rede realmente antigas, como Thinnet / Thicknet) transferem todos os dados pela conexão o tempo todo. Qualquer pessoa conectada veria todos os pacotes em seu segmento local. Se você configurar sua placa de rede para o modo promíscuo (leia todos os pacotes, não apenas os enviados diretamente para você) e executar um programa de captura de pacotes, poderá ver tudo o que acontece, cheirar senhas etc.

Os switches operam como pontes de rede da velha escola - eles apenas transferem tráfego para uma porta se for a) broadcast b) destinado a esse dispositivo

Os comutadores mantêm um cache indicando quais endereços MAC estão em qual porta (às vezes haverá um hub ou um comutador encadeado em uma porta). Os comutadores não replicam todo o tráfego para todas as portas.

Os switches de extremidade superior (para uso comercial) podem ter portas especiais (Span ou Management) que podem ser configuradas para replicar todo o tráfego. Os departamentos de TI usam essas portas para monitorar o tráfego (sniffing legítimo). A detecção de cheiros não autorizados deve ser fácil - vá ao switch e veja se alguma coisa está conectada a essa porta.