Frage:
Wie kann man herausfinden, dass sich eine Netzwerkkarte in einem LAN im Promiscuous-Modus befindet?
LanceBaynes
2011-05-07 02:24:24 UTC
view on stackexchange narkive permalink

Wie kann man herausfinden, dass sich eine Netzwerkkarte in einem LAN im Promiscuous-Modus befindet?

Wahrscheinlich ein besserer Kandidat für superuser.com?
Es lohnt sich auch, einen Blick auf die Netzwerkhardware zu werfen. Wenn Sie auf unerwartete Netzwerkgeräte und Portaktivitäten überwachen, sollten diese Geräte angezeigt werden.
Kennt jemand eine Möglichkeit, dies über wlan zu tun? Ich sehe nicht ein, wie es möglich wäre, wenn das Anzeigegerät möglicherweise aufgrund der Verschlüsselung nicht zugeordnet werden müsste.
Es ist möglich, ein "Nur-Empfangen" -Netzwerkkabel zu erstellen, das von jemandem verwendet wird, dessen Gerät sich im Promiscuous-Modus befindet und den es nicht erkennen kann. http://www.infosecwriters.com/hhworld/hh9/roc/node3.html
Waybackmachine-Link, da das Original gelöscht worden zu sein scheint: https://web.archive.org/web/20150415194325/http://www.infosecwriters.com/hhworld/hh9/roc/node3.html
Fünf antworten:
#1
+33
VP.
2011-05-07 02:40:43 UTC
view on stackexchange narkive permalink

DNS-Test - Viele Paket-Sniffing-Tools führen IP-Adressen-Namenssuchen durch, um DNS-Namen anstelle von IP-Adressen bereitzustellen. Um dies zu testen, müssen Sie Ihre Netzwerkkarte in den Promiscuous-Modus versetzen und Pakete an das Netzwerk senden, die an falsche Hosts gerichtet sind. Wenn Namenssuchen von den falschen Hosts angezeigt werden, ist möglicherweise ein Sniffer auf dem Host aktiv, der die Suchvorgänge durchführt.

ARP-Test - Im Promiscuous-Modus der Treiber für das Netzwerk Die Karte prüft, ob die MAC-Adresse die der Netzwerkkarte für Unicast-Pakete ist, prüft jedoch nur das erste Oktett der MAC-Adresse anhand des Werts 0xff, um festzustellen, ob das Paket gesendet wird oder nicht. Beachten Sie, dass die Adresse für ein Broadcast-Paket ff: ff: ff: ff: ff: ff lautet. Um diesen Fehler zu testen, senden Sie ein Paket mit einer MAC-Adresse von ff: 00: 00: 00: 00: 00 und der richtigen Ziel-IP-Adresse des Hosts. Nach dem Empfang eines Pakets antwortet das Microsoft-Betriebssystem, das den fehlerhaften Treiber verwendet, im Promiscuous-Modus. Wahrscheinlich passiert dies nur mit dem Standard-MS-Treiber.

Ether Ping-Test - In älteren Linux-Kerneln wird jedes Paket an das Betriebssystem weitergeleitet, wenn eine Netzwerkkarte in den Promiscuous-Modus versetzt wird. Einige Linux-Kernel haben nur die IP-Adresse in den Paketen überprüft, um festzustellen, ob sie verarbeitet werden sollen oder nicht. Um diesen Fehler zu testen, müssen Sie ein Paket mit einer falschen MAC-Adresse und einer gültigen IP-Adresse senden. Anfällige Linux-Kernel mit ihren Netzwerkkarten im Promiscuous-Modus überprüfen nur die gültige IP-Adresse. Um eine Antwort zu erhalten, wird eine ICMP-Echoanforderungsnachricht innerhalb des falschen Pakets gesendet, die zu anfälligen Hosts im Promiscuous-Modus führt, um zu antworten.

Vielleicht gibt es noch mehr, der DNS-Test ist für mich der zuverlässigste

#2
+25
john
2011-05-17 23:45:37 UTC
view on stackexchange narkive permalink

@vp gab die Theorie an, ich werde einige Werkzeuge geben.

Zur Verwendung in Linux-Systemen:

  • SniffDet : Dieser verwendet 4 verschiedene Tests: ICMP-Test, ARP-Test; DNS-Test und auch ein LATENCY-Test (den VP01 nicht erwähnte). Das Tool wurde kürzlich aktualisiert und ich empfehle es.

Außerdem:

  • nmap : Es gibt ein NSE-Skript für nmap sniffer-detect.nse, das genau das tut.
  • nast : Es erkennt andere PCs im Promiscuous-Modus, indem es das tut ARP-Test.
  • ptool : Führt einen ARP- und ICMP-Test durch. Das letzte Commit war 2009.

Für Windows-Systeme:

  • Cain & Abel kann dies Ein promiskuitiver Scan mit vielen Arten von ARP-Tests.
  • Promqry und PromqryUI Microsoft-Tools auch für diesen Zweck, aber ich bin mir nicht sicher, wie sie funktionieren.

Für allgemeine Erkennungstechniken gibt es auch eine andere, die als Honeypot-Erkennung bezeichnet wird. Einzelheiten zum Latenztest und zur Honeypot-Technik finden Sie in der Dokumentation von sniffdet.

schönes Kompliment!
#3
+15
Jon Bringhurst
2011-05-18 09:09:11 UTC
view on stackexchange narkive permalink

Sie können nicht garantieren, dass Sie es erkennen können.

Sie können beispielsweise einfach ein schreibgeschütztes Ethernet-Kabel herstellen, indem Sie TX + (Pin 1) und TX- ( Pin 2) des Sniffing-Computers, dann TX + (Pin 1) auf RX + (Pin 3 des Sniffers) und TX- (Pin 2) auf RX- (Pin 6 des Sniffers) setzen. Es ist dann für den Sniffing-Computer unmöglich, den Datenverkehr im Netzwerk zu beeinflussen.

Es kann möglich sein, einen Spannungsabfall oder HF-Emissionen zu erkennen (im Sinne von Van Eck phreaking ) a>), aber mir ist keine COTS-Hardware bekannt, die dies erkennt.

Nett. Und natürlich gibt es Möglichkeiten, die Konfiguration oder Software des Snooping-Systems zu ändern, um zu verhindern, dass es auch Pakete sendet. Z.B. Ein einfacher iptables-Regelsatz sollte dies unter Linux tun.
@nealmcv http: // www.askapache.com / security / sniffing-on-ethernet-undetected.html
#4
+2
atdre
2011-05-23 19:36:32 UTC
view on stackexchange narkive permalink

Während es möglicherweise nicht immer möglich ist, festzustellen, ob das lokale Netzwerk den lokalen Netzwerkverkehr promiskuiv abspielt, kann es möglich sein, die meisten oder alle Paketerfassungsanwendungen zum Absturz zu bringen.

Schauen Sie sich Samy's an http://samy.pl/killmon.pl Skript als Ausgangspunkt. Beachten Sie, dass die meisten Anwendungen, die 2011 arbeiten, zumindest für einen DoS-Absturz anfällig sind, auch wenn der Absturz nicht als Speicherzugriffsverletzung (oder als Lese- / Schreibausnahme, die zu einem Pufferüberlauf führt) anfällig ist.

#5
+2
Stuart
2011-05-25 13:45:06 UTC
view on stackexchange narkive permalink

Ich glaube, es gibt ein Tool, das dies zuverlässig erkennt, indem es den Unterschied in den Ping-Antwortzeiten untersucht. Das Tool sendet Pings und sendet gleichzeitig eine große Anzahl von Pings an dieselbe IP-Adresse, jedoch mit unterschiedlichen MAC-Adressen.

Das Tool funktioniert, da Karten im Promiscuous-Modus den gesamten Datenverkehr an die CPU zurückgeben Wenn also viele Pakete auf die CPU treffen, verlangsamt dies die Reaktion auf echte Pings. Eine Karte im normalen Modus würde alle Pakete mit unterschiedlichen MAC-Adressen ignorieren, sodass es keinen Unterschied in der Antwortzeit gibt.

Jemand gibt den Namen des Werkzeugs ein



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...