Sangat sulit untuk mendeteksi sniffer, karena mereka bekerja secara pasif . Beberapa penghirup memang menghasilkan sedikit lalu lintas dan, jadi ada beberapa teknik untuk mendeteksi mereka.
- ARP cache mesin (Address Resolution Protocol). Mengirim ARP non-siaran, mesin dalam mode promiscuous (kartu jaringan yang membuat kartu melewati semua lalu lintas) akan men-cache alamat ARP Anda. Kemudian, mengirim paket ping broadcast dengan IP kami, tetapi alamat MAC yang berbeda. Hanya mesin yang memiliki alamat MAC kami yang benar dari bingkai ARP yang diendus yang dapat menanggapi permintaan ping siaran kami. Jadi, jika mesin merespons, itu pasti mengendus.
- Kebanyakan sniffer melakukan parsing. Mengirim sejumlah besar data dan melakukan ping mesin yang dicurigai sebelum dan selama banjir data. Jika kartu jaringan dari mesin yang dicurigai dalam mode promiscuous, itu akan mengurai data dan meningkatkan beban di atasnya. Dengan cara ini dibutuhkan beberapa waktu ekstra untuk merespons ping. Penundaan kecil ini dapat digunakan sebagai indikator apakah mesin mengendus atau tidak. Ini bisa memancing beberapa kesalahan positif, jika ada beberapa penundaan "normal" pada jaringan karena lalu lintas tinggi.
- Metode berikut ini sudah tua dan tidak dapat diandalkan lagi: mengirim permintaan ping dengan alamat IP mesin yang dicurigai tetapi tidak alamat MAC-nya. Idealnya tidak ada yang melihat paket ini karena setiap kartu jaringan akan menolak ping karena tidak cocok dengan alamat MAC-nya. Jika mesin yang dicurigai mengendus, mesin itu akan merespons karena tidak mau repot menolak paket dengan alamat tujuan MAC yang berbeda.
Ada beberapa alat yang menerapkan teknik ini, misalnya alat open source seperti Neped dan ARP Watch atau AntiSniff untuk Windows, yang merupakan alat komersial.
Jika Anda ingin mencegah mengendus, cara terbaik adalah menggunakan enkripsi untuk aktivitas jaringan apa pun (SSH, https, dll.). Dengan cara ini sniffer dapat membaca traffic, tetapi datanya tidak masuk akal bagi mereka.
Packiff sniffing adalah aktivitas pasif, umumnya tidak mungkin untuk mengetahui apakah seseorang mengendus jaringan Anda. Namun, agar seseorang yang menggunakan kabel, switch LAN untuk melihat lalu lintas yang tidak diperuntukkan hanya ke atau dari IP mereka (atau disiarkan ke jaringan / subnet) mereka harus memiliki akses ke port yang dipantau / dicerminkan yang menduplikasi semua lalu lintas, atau pasang 'ketuk' di gateway.
Pertahanan terbaik terhadap mengendus adalah enkripsi end-to-end yang layak, dan kontrol fisik pada perangkat keras yang sensitif.
Sunting: CPM, Neped, dan AntiSniff sekarang sudah basi 10-15 tahun ... Pikirkan kernel Linux <2.2 atau Windows NT4. Jika seseorang memiliki akses ke keran atau cermin, biasanya akan sangat sulit untuk dideteksi. Memanipulasi ARP atau DNS mungkin merupakan taruhan terbaik, tetapi jauh dari pasti.
sumber
Satu-satunya cara (saya percaya) Anda bisa mengendus semua lalu lintas pada LAN yang diaktifkan adalah dengan serangan 'man in the middle'. Anda pada dasarnya melakukan keracunan ARP, mencuri paket semua orang, membacanya dan mengirimnya ke komputer yang tepat sesudahnya.
Mungkin ada beberapa alat yang bisa melakukan ini, saya hanya tahu satu:
Ettercap dapat melakukan serangan Mitm dan mendeteksi satu ketika orang lain melakukannya.
sumber
Rekayasa sosial adalah cara lain untuk melakukannya. Menyiapkan akun root / admin honeypot atau target menggoda lainnya, menyiarkan kata sandi di tempat yang bersih dan menonton log Anda.
sumber
Ada cara sederhana untuk mendeteksi sebagian besar penghirup. Letakkan dua kotak di jaringan yang tidak ada dalam DNS dan tidak digunakan untuk hal lain. Mintalah mereka secara berkala melakukan ping atau berkomunikasi satu sama lain.
Sekarang, monitor jaringan Anda untuk mencari DNS dan / atau permintaan ARP untuk IP mereka. Banyak sniffer secara default akan mencari alamat yang mereka temukan, dan karenanya pencarian pada perangkat ini akan menjadi peringatan yang kuat.
Seorang peretas yang pintar bisa mematikan pencarian ini, tetapi banyak yang tidak berpikir, dan itu pasti akan memperlambatnya.
Sekarang, jika dia cukup pintar untuk tidak mengaktifkan pencarian DNS, dan mencegah ARP untuk perangkat ini, tugas Anda jauh lebih sulit. Pada titik ini, Anda harus bekerja di bawah filosofi bahwa jaringan selalu terendus, dan memberlakukan prosedur proaktif untuk mencegah kerentanan apa pun yang akan timbul berdasarkan asumsi ini. Beberapa di antaranya:
sumber
Wireshark adalah alat yang hebat untuk memonitor lalu lintas jaringan. Dan itu akan mencari nama-nama yang cocok dengan alamat IP, menemukan pabrikan dari alamat MAC, dll. Tentu saja, Anda dapat melihatnya melakukan kueri ini dan kemudian Anda tahu itu berjalan.
Tentu saja, Anda dapat mematikan hal-hal ini dan kemudian tidak terdeteksi. Dan ada program lain yang dirancang untuk sengaja tidak terdeteksi. Jadi itu hanya sesuatu untuk dipertimbangkan saat mencoba menjawab pertanyaan ini.
sumber
Satu-satunya cara pasti untuk melakukan ini adalah dengan memeriksa masing-masing perangkat di sub-net.
Ada beberapa alat, misalnya nmap , tetapi mereka tidak dijamin untuk bekerja dan keran pasif tidak akan mengkhianati kehadiran mereka.
Pendekatan terbaik adalah dengan menganggap bahwa jaringan Anda lebih atau kurang umum dan menggunakan enkripsi. Baik berdasarkan aplikasi - SSH, HTTPS IMAPS dll, atau terowongan semua lalu lintas Anda melalui VPN
sumber
Dari atas kepala saya, saya akan menonton beralih data antarmuka SNMP untuk antarmuka yang host menerima lebih banyak data dan / atau mengirim data kurang dari rata-rata. Cari apa pun di luar deviasi standar baik dan Anda mungkin akan menemukan orang-orang yang paling mungkin melakukan sesuatu yang seharusnya tidak mereka lakukan.
Mungkin bukan hanya pengendus, mungkin menemukan pengamat hulu / netflix yang rajin.
Switch / router Anda mungkin juga memiliki fitur untuk diperhatikan dan menangkap orang yang mencoba meracuni tabel arp, yang akan menjadi givaway yang cukup besar juga.
sumber
Hub (atau pengaturan jaringan yang benar-benar tua, seperti Thinnet / Thicknet) mentransfer semua data sepanjang kabel setiap saat. Siapa pun yang terhubung akan melihat setiap paket di segmen lokal mereka. Jika Anda mengatur kartu jaringan Anda ke mode promiscuous (baca semua paket, bukan hanya yang dikirim langsung ke Anda) dan menjalankan program pengambilan paket, Anda dapat melihat semua yang terjadi, mengendus kata sandi, dll.
Switch beroperasi seperti jembatan jaringan sekolah lama - mereka hanya mentransfer lalu lintas keluar port jika itu a) menyiarkan b) ditujukan untuk perangkat itu
Switch mempertahankan cache yang menunjukkan alamat MAC mana di port mana (kadang-kadang akan ada hub atau switch daisy dirantai dari port). Switch tidak mereplikasi semua lalu lintas ke semua port.
Sakelar ujung atas (untuk penggunaan bisnis) mungkin memiliki port khusus (Rentang atau Manajemen) yang dapat dikonfigurasi untuk mereplikasi semua lalu lintas. Departemen TI menggunakan port-port itu untuk memantau lalu lintas (sniffing resmi). Mendeteksi mengendus yang tidak sah seharusnya mudah - lihat sakelar dan lihat apakah ada yang dicolokkan ke port itu.
sumber