Wie kann man herausfinden, dass sich eine Netzwerkkarte in einem LAN im Promiscuous-Modus befindet?
Wie kann man herausfinden, dass sich eine Netzwerkkarte in einem LAN im Promiscuous-Modus befindet?
DNS-Test - Viele Paket-Sniffing-Tools führen IP-Adressen-Namenssuchen durch, um DNS-Namen anstelle von IP-Adressen bereitzustellen. Um dies zu testen, müssen Sie Ihre Netzwerkkarte in den Promiscuous-Modus versetzen und Pakete an das Netzwerk senden, die an falsche Hosts gerichtet sind. Wenn Namenssuchen von den falschen Hosts angezeigt werden, ist möglicherweise ein Sniffer auf dem Host aktiv, der die Suchvorgänge durchführt.
ARP-Test - Im Promiscuous-Modus der Treiber für das Netzwerk Die Karte prüft, ob die MAC-Adresse die der Netzwerkkarte für Unicast-Pakete ist, prüft jedoch nur das erste Oktett der MAC-Adresse anhand des Werts 0xff, um festzustellen, ob das Paket gesendet wird oder nicht. Beachten Sie, dass die Adresse für ein Broadcast-Paket ff: ff: ff: ff: ff: ff lautet. Um diesen Fehler zu testen, senden Sie ein Paket mit einer MAC-Adresse von ff: 00: 00: 00: 00: 00 und der richtigen Ziel-IP-Adresse des Hosts. Nach dem Empfang eines Pakets antwortet das Microsoft-Betriebssystem, das den fehlerhaften Treiber verwendet, im Promiscuous-Modus. Wahrscheinlich passiert dies nur mit dem Standard-MS-Treiber.
Ether Ping-Test - In älteren Linux-Kerneln wird jedes Paket an das Betriebssystem weitergeleitet, wenn eine Netzwerkkarte in den Promiscuous-Modus versetzt wird. Einige Linux-Kernel haben nur die IP-Adresse in den Paketen überprüft, um festzustellen, ob sie verarbeitet werden sollen oder nicht. Um diesen Fehler zu testen, müssen Sie ein Paket mit einer falschen MAC-Adresse und einer gültigen IP-Adresse senden. Anfällige Linux-Kernel mit ihren Netzwerkkarten im Promiscuous-Modus überprüfen nur die gültige IP-Adresse. Um eine Antwort zu erhalten, wird eine ICMP-Echoanforderungsnachricht innerhalb des falschen Pakets gesendet, die zu anfälligen Hosts im Promiscuous-Modus führt, um zu antworten.
Vielleicht gibt es noch mehr, der DNS-Test ist für mich der zuverlässigste
@vp gab die Theorie an, ich werde einige Werkzeuge geben.
Zur Verwendung in Linux-Systemen:
Außerdem:
nmap
: Es gibt ein NSE-Skript für nmap sniffer-detect.nse, das genau das tut. nast
: Es erkennt andere PCs im Promiscuous-Modus, indem es das tut ARP-Test. ptool
: Führt einen ARP- und ICMP-Test durch. Das letzte Commit war 2009. Für Windows-Systeme:
Für allgemeine Erkennungstechniken gibt es auch eine andere, die als Honeypot-Erkennung bezeichnet wird. Einzelheiten zum Latenztest und zur Honeypot-Technik finden Sie in der Dokumentation von sniffdet.
Sie können nicht garantieren, dass Sie es erkennen können.
Sie können beispielsweise einfach ein schreibgeschütztes Ethernet-Kabel herstellen, indem Sie TX + (Pin 1) und TX- ( Pin 2) des Sniffing-Computers, dann TX + (Pin 1) auf RX + (Pin 3 des Sniffers) und TX- (Pin 2) auf RX- (Pin 6 des Sniffers) setzen. Es ist dann für den Sniffing-Computer unmöglich, den Datenverkehr im Netzwerk zu beeinflussen.
Es kann möglich sein, einen Spannungsabfall oder HF-Emissionen zu erkennen (im Sinne von Van Eck phreaking ) a>), aber mir ist keine COTS-Hardware bekannt, die dies erkennt.
Während es möglicherweise nicht immer möglich ist, festzustellen, ob das lokale Netzwerk den lokalen Netzwerkverkehr promiskuiv abspielt, kann es möglich sein, die meisten oder alle Paketerfassungsanwendungen zum Absturz zu bringen.
Schauen Sie sich Samy's an http://samy.pl/killmon.pl Skript als Ausgangspunkt. Beachten Sie, dass die meisten Anwendungen, die 2011 arbeiten, zumindest für einen DoS-Absturz anfällig sind, auch wenn der Absturz nicht als Speicherzugriffsverletzung (oder als Lese- / Schreibausnahme, die zu einem Pufferüberlauf führt) anfällig ist.
Ich glaube, es gibt ein Tool, das dies zuverlässig erkennt, indem es den Unterschied in den Ping-Antwortzeiten untersucht. Das Tool sendet Pings und sendet gleichzeitig eine große Anzahl von Pings an dieselbe IP-Adresse, jedoch mit unterschiedlichen MAC-Adressen.
Das Tool funktioniert, da Karten im Promiscuous-Modus den gesamten Datenverkehr an die CPU zurückgeben Wenn also viele Pakete auf die CPU treffen, verlangsamt dies die Reaktion auf echte Pings. Eine Karte im normalen Modus würde alle Pakete mit unterschiedlichen MAC-Adressen ignorieren, sodass es keinen Unterschied in der Antwortzeit gibt.
Jemand gibt den Namen des Werkzeugs ein