Temukan Sniffer di LAN

8

Alat atau teknik apa yang tersedia untuk * nix dan Windows yang membantu dalam menemukan jika orang lain di LAN menggunakan sniffer?

Setelah mengatakan itu dan sangat mempertimbangkan bahwa ada alat di luar sana untuk menemukan "fenomena" seperti apa yang akan bekerja untuk tidak menjadi dihirup?

Anand Shah
sumber

Jawaban:

16

Sangat sulit untuk mendeteksi sniffer, karena mereka bekerja secara pasif . Beberapa penghirup memang menghasilkan sedikit lalu lintas dan, jadi ada beberapa teknik untuk mendeteksi mereka.

  • ARP cache mesin (Address Resolution Protocol). Mengirim ARP non-siaran, mesin dalam mode promiscuous (kartu jaringan yang membuat kartu melewati semua lalu lintas) akan men-cache alamat ARP Anda. Kemudian, mengirim paket ping broadcast dengan IP kami, tetapi alamat MAC yang berbeda. Hanya mesin yang memiliki alamat MAC kami yang benar dari bingkai ARP yang diendus yang dapat menanggapi permintaan ping siaran kami. Jadi, jika mesin merespons, itu pasti mengendus.
  • Kebanyakan sniffer melakukan parsing. Mengirim sejumlah besar data dan melakukan ping mesin yang dicurigai sebelum dan selama banjir data. Jika kartu jaringan dari mesin yang dicurigai dalam mode promiscuous, itu akan mengurai data dan meningkatkan beban di atasnya. Dengan cara ini dibutuhkan beberapa waktu ekstra untuk merespons ping. Penundaan kecil ini dapat digunakan sebagai indikator apakah mesin mengendus atau tidak. Ini bisa memancing beberapa kesalahan positif, jika ada beberapa penundaan "normal" pada jaringan karena lalu lintas tinggi.
  • Metode berikut ini sudah tua dan tidak dapat diandalkan lagi: mengirim permintaan ping dengan alamat IP mesin yang dicurigai tetapi tidak alamat MAC-nya. Idealnya tidak ada yang melihat paket ini karena setiap kartu jaringan akan menolak ping karena tidak cocok dengan alamat MAC-nya. Jika mesin yang dicurigai mengendus, mesin itu akan merespons karena tidak mau repot menolak paket dengan alamat tujuan MAC yang berbeda.

Ada beberapa alat yang menerapkan teknik ini, misalnya alat open source seperti Neped dan ARP Watch atau AntiSniff untuk Windows, yang merupakan alat komersial.

Jika Anda ingin mencegah mengendus, cara terbaik adalah menggunakan enkripsi untuk aktivitas jaringan apa pun (SSH, https, dll.). Dengan cara ini sniffer dapat membaca traffic, tetapi datanya tidak masuk akal bagi mereka.

percikan
sumber
"Pengendus memang menghasilkan sejumlah kecil lalu lintas" - Sangat penting untuk dicatat bahwa sistem mengendus dapat dikonfigurasikan untuk menghasilkan sama sekali TANPA lalu lintas.
Adam Davis
14

Packiff sniffing adalah aktivitas pasif, umumnya tidak mungkin untuk mengetahui apakah seseorang mengendus jaringan Anda. Namun, agar seseorang yang menggunakan kabel, switch LAN untuk melihat lalu lintas yang tidak diperuntukkan hanya ke atau dari IP mereka (atau disiarkan ke jaringan / subnet) mereka harus memiliki akses ke port yang dipantau / dicerminkan yang menduplikasi semua lalu lintas, atau pasang 'ketuk' di gateway.

Pertahanan terbaik terhadap mengendus adalah enkripsi end-to-end yang layak, dan kontrol fisik pada perangkat keras yang sensitif.

Sunting: CPM, Neped, dan AntiSniff sekarang sudah basi 10-15 tahun ... Pikirkan kernel Linux <2.2 atau Windows NT4. Jika seseorang memiliki akses ke keran atau cermin, biasanya akan sangat sulit untuk dideteksi. Memanipulasi ARP atau DNS mungkin merupakan taruhan terbaik, tetapi jauh dari pasti.

nedm
sumber
dan untuk menambahkan ... yang termurah adalah IPSEC.
Saif Khan
CPM, Neped dan AntiSniff dapat digunakan untuk mendeteksi sniffing.
kmarsh
Lihatlah 802.1x yang bisa menjadi lapisan lain untuk melindungi akses lapisan 2 ke lan Anda. Ini menghentikan orang untuk muncul dan hanya menghubungkan ke jaringan Anda. Kurangi akses fisik ke titik jaringan / alihkan kabinet. gunakan enkripsi ujung ke ujung. Gunakan sakelar layer 3! Tetapkan setiap port dengan subnet sendiri! Tidak ada arp sama sekali! punya kebijakan keamanan!
The Unix Janitor
5

Satu-satunya cara (saya percaya) Anda bisa mengendus semua lalu lintas pada LAN yang diaktifkan adalah dengan serangan 'man in the middle'. Anda pada dasarnya melakukan keracunan ARP, mencuri paket semua orang, membacanya dan mengirimnya ke komputer yang tepat sesudahnya.

Mungkin ada beberapa alat yang bisa melakukan ini, saya hanya tahu satu:

Ettercap dapat melakukan serangan Mitm dan mendeteksi satu ketika orang lain melakukannya.

Gert M
sumber
'dsniff' mengklaim bisa melakukan keracunan ARP dan MITM juga. Saya hanya membaca dokumen, bukan menggunakannya. monkey.org/~dugsong/dsniff
pboin
4

Rekayasa sosial adalah cara lain untuk melakukannya. Menyiapkan akun root / admin honeypot atau target menggoda lainnya, menyiarkan kata sandi di tempat yang bersih dan menonton log Anda.

Adam
sumber
3

Ada cara sederhana untuk mendeteksi sebagian besar penghirup. Letakkan dua kotak di jaringan yang tidak ada dalam DNS dan tidak digunakan untuk hal lain. Mintalah mereka secara berkala melakukan ping atau berkomunikasi satu sama lain.

Sekarang, monitor jaringan Anda untuk mencari DNS dan / atau permintaan ARP untuk IP mereka. Banyak sniffer secara default akan mencari alamat yang mereka temukan, dan karenanya pencarian pada perangkat ini akan menjadi peringatan yang kuat.

Seorang peretas yang pintar bisa mematikan pencarian ini, tetapi banyak yang tidak berpikir, dan itu pasti akan memperlambatnya.

Sekarang, jika dia cukup pintar untuk tidak mengaktifkan pencarian DNS, dan mencegah ARP untuk perangkat ini, tugas Anda jauh lebih sulit. Pada titik ini, Anda harus bekerja di bawah filosofi bahwa jaringan selalu terendus, dan memberlakukan prosedur proaktif untuk mencegah kerentanan apa pun yang akan timbul berdasarkan asumsi ini. Beberapa di antaranya:

  1. Gunakan jaringan yang sepenuhnya beralih
  2. Bind beralih port ke alamat MAC
  3. Larang mode promiscuous yang diaktifkan pada NIC (jika mungkin di lingkungan Anda)
  4. Gunakan protokol aman
Rym
sumber
1
Saya telah melihat sniffer di mana kabel ethernet memiliki beberapa garis sehingga hanya kabel RX. Itu tidak ada lalu lintas ARP atau DNS yang berasal dari mesin.
Walter
2

Wireshark adalah alat yang hebat untuk memonitor lalu lintas jaringan. Dan itu akan mencari nama-nama yang cocok dengan alamat IP, menemukan pabrikan dari alamat MAC, dll. Tentu saja, Anda dapat melihatnya melakukan kueri ini dan kemudian Anda tahu itu berjalan.

Tentu saja, Anda dapat mematikan hal-hal ini dan kemudian tidak terdeteksi. Dan ada program lain yang dirancang untuk sengaja tidak terdeteksi. Jadi itu hanya sesuatu untuk dipertimbangkan saat mencoba menjawab pertanyaan ini.

Gbarry
sumber
2

Satu-satunya cara pasti untuk melakukan ini adalah dengan memeriksa masing-masing perangkat di sub-net.

Ada beberapa alat, misalnya nmap , tetapi mereka tidak dijamin untuk bekerja dan keran pasif tidak akan mengkhianati kehadiran mereka.

Pendekatan terbaik adalah dengan menganggap bahwa jaringan Anda lebih atau kurang umum dan menggunakan enkripsi. Baik berdasarkan aplikasi - SSH, HTTPS IMAPS dll, atau terowongan semua lalu lintas Anda melalui VPN

John McC
sumber
1

Dari atas kepala saya, saya akan menonton beralih data antarmuka SNMP untuk antarmuka yang host menerima lebih banyak data dan / atau mengirim data kurang dari rata-rata. Cari apa pun di luar deviasi standar baik dan Anda mungkin akan menemukan orang-orang yang paling mungkin melakukan sesuatu yang seharusnya tidak mereka lakukan.

Mungkin bukan hanya pengendus, mungkin menemukan pengamat hulu / netflix yang rajin.

Switch / router Anda mungkin juga memiliki fitur untuk diperhatikan dan menangkap orang yang mencoba meracuni tabel arp, yang akan menjadi givaway yang cukup besar juga.

sclarson
sumber
1

Hub (atau pengaturan jaringan yang benar-benar tua, seperti Thinnet / Thicknet) mentransfer semua data sepanjang kabel setiap saat. Siapa pun yang terhubung akan melihat setiap paket di segmen lokal mereka. Jika Anda mengatur kartu jaringan Anda ke mode promiscuous (baca semua paket, bukan hanya yang dikirim langsung ke Anda) dan menjalankan program pengambilan paket, Anda dapat melihat semua yang terjadi, mengendus kata sandi, dll.

Switch beroperasi seperti jembatan jaringan sekolah lama - mereka hanya mentransfer lalu lintas keluar port jika itu a) menyiarkan b) ditujukan untuk perangkat itu

Switch mempertahankan cache yang menunjukkan alamat MAC mana di port mana (kadang-kadang akan ada hub atau switch daisy dirantai dari port). Switch tidak mereplikasi semua lalu lintas ke semua port.

Sakelar ujung atas (untuk penggunaan bisnis) mungkin memiliki port khusus (Rentang atau Manajemen) yang dapat dikonfigurasi untuk mereplikasi semua lalu lintas. Departemen TI menggunakan port-port itu untuk memantau lalu lintas (sniffing resmi). Mendeteksi mengendus yang tidak sah seharusnya mudah - lihat sakelar dan lihat apakah ada yang dicolokkan ke port itu.

hellimat
sumber