Encontre o Sniffer na LAN

8

Quais ferramentas ou técnicas estão disponíveis para * nix e Windows que ajudam a descobrir se alguém na LAN está usando um sniffer?

Dito isto, e considerando fortemente que existem ferramentas disponíveis para descobrir tais "fenômenos", qual seria a solução para não ser farejado?

Anand Shah
fonte

Respostas:

16

É muito difícil detectar sniffers, porque eles trabalham passivamente . Alguns sniffers geram pequenas quantidades de tráfego e, portanto, existem algumas técnicas para detectá-los.

  • As máquinas armazenam ARPs (Address Resolution Protocol). Ao enviar um ARP sem difusão, uma máquina no modo promíscuo (uma placa de rede que faz a placa passar todo o tráfego) armazenará em cache o seu endereço ARP. Em seguida, enviando um pacote de ping de difusão com nosso IP, mas um endereço MAC diferente. Somente uma máquina que tenha o nosso endereço MAC correto a partir do quadro ARP detectado poderá responder à nossa solicitação de ping de transmissão. Portanto, se a máquina estiver respondendo, ela deve estar farejando.
  • A maioria dos farejadores faz algumas análises. Enviando uma enorme quantidade de dados e executando ping na máquina suspeita antes e durante a inundação de dados. Se a placa de rede da máquina suspeita estiver no modo promíscuo, ela analisará os dados e aumentará a carga nela. Dessa forma, leva algum tempo extra para responder ao ping. Esse pequeno atraso pode ser usado como um indicador para saber se uma máquina está farejando ou não. Pode provocar algum falso positivo, se houver alguns atrasos "normais" na rede devido ao tráfego intenso.
  • O método a seguir é antigo e não é mais confiável: o envio de uma solicitação de ping com o endereço IP da máquina suspeita, mas não com o endereço MAC. Idealmente, ninguém deve ver esse pacote, pois cada placa de rede rejeitará o ping porque não corresponde ao seu endereço MAC. Se a máquina suspeita estiver farejando, ela responderá, pois não se incomoda em rejeitar pacotes com um endereço MAC de destino diferente.

Existem algumas ferramentas que implementam essas técnicas, por exemplo, ferramentas de código aberto como Neped e ARP Watch ou AntiSniff for Windows, que é uma ferramenta comercial.

Se você deseja impedir o sniffing, a melhor maneira é usar a criptografia para qualquer atividade de rede (SSH, https etc.). Dessa forma, os farejadores podem ler o tráfego, mas os dados não farão sentido para eles.

splattne
fonte
"Farejadores geram uma pequena quantidade de tráfego" - É muito importante observar que os sistemas de farejamento podem ser configurados para gerar absolutamente NENHUM tráfego.
1411 Adam Davis
14

Farejar pacotes é uma atividade passiva, geralmente não é possível saber se alguém está farejando sua rede. No entanto, para que alguém em uma LAN comutada e com fio veja o tráfego que não é destinado apenas para o IP (ou transmitido para a rede / sub-rede), ele precisa ter acesso a uma porta monitorada / espelhada que duplica todo o tráfego, ou instale um 'toque' no gateway.

A melhor defesa contra o sniffing é a criptografia de ponta a ponta decente e os controles físicos em hardware sensível.

Edit: CPM, Neped e AntiSniff agora são obsoletos por 10 a 15 anos ... Pense no kernel do Linux <2.2 ou no Windows NT4. Se alguém tiver acesso a um toque ou espelho, geralmente será muito difícil de detectar. Manipular ARP ou DNS é provavelmente a melhor aposta, mas está longe de ser uma coisa certa.

nedm
fonte
e para adicionar ... o mais barato é o IPSEC.
Saif Khan 14/05
CPM, Neped e AntiSniff podem ser usados ​​para detectar sniffing.
Kmarsh
Dê uma olhada no 802.1x, que pode ser outra camada para proteger o acesso da camada 2 à sua LAN. Isso impede que as pessoas apareçam e apenas se conectem à sua rede. Reduza o acesso físico aos pontos de rede / gabinetes de comutação. use criptografia de ponta a ponta. Use switches da camada 3! Atribua a cada porta sua própria sub-rede! Sem arp! tenha uma política de segurança!
The Unix Janitor
5

A (acredito) única maneira de detectar todo o tráfego em uma LAN comutada é com um ataque de 'homem do meio'. Basicamente, você envenena o ARP, roubando os pacotes de todos, lendo-os e enviando-os para o computador certo posteriormente.

Provavelmente existem várias ferramentas que podem fazer isso, eu só conheço uma:

O Ettercap pode executar o ataque do Mitm e detectar um quando alguém o está fazendo.

Gert M
fonte
'dsniff' afirma ser capaz de fazer envenenamento por ARP e MITM também. Eu apenas li os documentos, não o usei. monkey.org/~dugsong/dsniff
pboin
4

Engenharia social é a outra maneira de fazê-lo. Configure uma conta root / admin do honeypot ou algum outro alvo tentador, transmita sua senha de forma clara e observe seus registros.

Adão
fonte
3

Existe uma maneira simples de detectar a maioria dos sniffers. Coloque duas caixas na rede que não estão no DNS e não são usadas para mais nada. Faça com que periodicamente façam ping ou se comuniquem entre si.

Agora, monitore sua rede quanto a pesquisas de DNS e / ou solicitações de ARP para seus IPs. Por padrão, muitos farejadores procurarão os endereços que encontrarem e, portanto, qualquer pesquisa nesses dispositivos seria um aviso sólido.

Um hacker inteligente poderia desativar essas pesquisas, mas muitos não pensariam, e isso definitivamente o atrasaria.

Agora, se ele for inteligente o suficiente para não ativar as pesquisas de DNS e impedir qualquer ARP para esses dispositivos, sua tarefa será muito mais difícil. Nesse ponto, você deve trabalhar com a filosofia de que a rede está sempre sendo detectada e adotar procedimentos proativos para evitar quaisquer vulnerabilidades que possam surgir sob essa suposição. Vários incluem:

  1. Use uma rede totalmente comutada
  2. Vincular portas do switch aos endereços MAC
  3. Não permitir o modo promíscuo ativado nas NICs (se possível em seu ambiente)
  4. Use protocolos seguros
Rym
fonte
11
Eu vi sniffer onde o cabo ethernet teve um pouco da linha cortada, de modo que era um cabo somente RX. Ou seja, não havia tráfego ARP ou DNS vindo da máquina.
Walter
2

O Wireshark é uma ótima ferramenta para monitorar o tráfego de rede. E ele procurará nomes para corresponder aos endereços IP, encontre o fabricante a partir de um endereço MAC, etc. Naturalmente, você pode assistir a essas consultas e saber que está em execução.

Obviamente, você pode desativar essas coisas e depois não ser detectado. E existem outros programas projetados para intencionalmente não serem detectados. Portanto, é apenas algo a considerar ao tentar responder a essa pergunta.

gbarry
fonte
2

A única maneira certa de fazer isso é examinar cada um dos dispositivos na sub-rede.

Existem ferramentas, por exemplo, nmap , mas não é garantido que elas funcionem, e torneiras passivas não traem sua presença.

A melhor abordagem é assumir que sua rede é mais ou menos pública e usar criptografia. Com base em aplicativos - SSH, HTTPS IMAPS etc., ou encapsule todo o seu tráfego através de uma VPN

John McC
fonte
1

Em cima da minha cabeça, eu assistia ao switch SNMP da interface de dados para interfaces que um host está recebendo mais dados e / ou enviando menos dados que a média. Procure algo fora de um desvio padrão em qualquer um deles e provavelmente encontrará as pessoas com maior probabilidade de estar fazendo algo que não deveria.

Pode não ser apenas farejador, mas pode encontrar ávidos observadores hulu / netflix.

Seus switches / roteadores também podem ter recursos a serem observados e capturar pessoas que tentam envenenar as tabelas arp, o que também seria uma grande vantagem.

Sclarson
fonte
1

Hubs (ou configurações de rede realmente antigas, como Thinnet / Thicknet) transferem todos os dados pela conexão o tempo todo. Qualquer pessoa conectada veria todos os pacotes em seu segmento local. Se você configurar sua placa de rede para o modo promíscuo (leia todos os pacotes, não apenas os enviados diretamente para você) e executar um programa de captura de pacotes, poderá ver tudo o que acontece, cheirar senhas etc.

Os switches operam como pontes de rede da velha escola - eles apenas transferem tráfego para uma porta se for a) broadcast b) destinado a esse dispositivo

Os comutadores mantêm um cache indicando quais endereços MAC estão em qual porta (às vezes haverá um hub ou um comutador encadeado em uma porta). Os comutadores não replicam todo o tráfego para todas as portas.

Os switches de extremidade superior (para uso comercial) podem ter portas especiais (Span ou Management) que podem ser configuradas para replicar todo o tráfego. Os departamentos de TI usam essas portas para monitorar o tráfego (sniffing legítimo). A detecção de cheiros não autorizados deve ser fácil - vá ao switch e veja se alguma coisa está conectada a essa porta.

hellimat
fonte