Trouvez Sniffer sur LAN

8

Quels outils ou techniques sont disponibles pour * nix et Windows qui aident à trouver si quelqu'un d'autre sur le LAN utilise un renifleur?

Cela dit, et considérant fermement qu'il existe des outils pour découvrir de tels «phénomènes», quel serait le travail à faire pour ne pas être reniflé?

Anand Shah
la source

Réponses:

16

Il est très difficile de détecter les renifleurs, car ils fonctionnent passivement . Certains renifleurs génèrent de petites quantités de trafic et il existe donc des techniques pour les détecter.

  • Les machines mettent en cache les ARP (Address Resolution Protocol). En envoyant un ARP non diffusé, une machine en mode promiscuous (une carte réseau qui fait passer la carte à tout le trafic) mettra en cache votre adresse ARP. Ensuite, envoyer un paquet ping de diffusion avec notre IP, mais une adresse MAC différente. Seule une machine qui possède notre adresse MAC correcte dans la trame ARP reniflée pourra répondre à notre demande de diffusion ping. Donc, si la machine répond, elle doit renifler.
  • La plupart des renifleurs effectuent une analyse. Envoi d'une énorme quantité de données et ping sur la machine suspecte avant et pendant l'inondation des données. Si la carte réseau de la machine suspectée est en mode promiscuité, elle analysera les données et augmentera la charge qu'elles contiennent. De cette façon, il faut du temps supplémentaire pour répondre au ping. Ce petit délai peut être utilisé comme un indicateur si une machine renifle ou non. Cela pourrait provoquer des faux positifs s'il y avait des retards "normaux" sur le réseau en raison du trafic élevé.
  • La méthode suivante est ancienne et n'est plus fiable: envoyer une requête ping avec l'adresse IP de la machine suspecte mais pas son adresse MAC. Idéalement, personne ne devrait voir ce paquet car chaque carte réseau rejettera le ping car il ne correspond pas à son adresse MAC. Si la machine suspecte renifle, elle répondra car elle ne dérange pas de rejeter les paquets avec une adresse MAC de destination différente.

Il existe certains outils qui implémentent ces techniques, par exemple des outils open source comme Neped et ARP Watch ou AntiSniff pour Windows, qui est un outil commercial.

Si vous souhaitez empêcher le reniflement, le meilleur moyen est d'utiliser le chiffrement pour toute activité réseau (SSH, https, etc.). De cette façon, les renifleurs peuvent lire le trafic, mais les données n'auront aucun sens pour eux.

splattne
la source
"Les renifleurs génèrent une petite quantité de trafic" - Il est très important de noter que les systèmes de reniflement peuvent être configurés pour générer absolument AUCUN trafic.
Adam Davis
14

Le reniflage de paquets est une activité passive, il n'est généralement pas possible de dire si quelqu'un renifle votre réseau. Cependant, pour que quelqu'un sur un LAN câblé et commuté puisse voir le trafic qui n'est pas destiné uniquement à ou depuis son IP (ou diffusé vers le réseau / sous-réseau), il doit avoir accès à un port surveillé / en miroir qui duplique tout le trafic, ou installez un «robinet» sur la passerelle.

La meilleure défense contre le reniflement est un cryptage de bout en bout décent et des contrôles physiques sur le matériel sensible.

Edit: CPM, Neped et AntiSniff sont maintenant périmés de 10 à 15 ans ... Pensez au noyau Linux <2.2 ou Windows NT4. Si quelqu'un a accès à un robinet ou à un miroir, il sera généralement très difficile à détecter. Manipuler ARP ou DNS est probablement le meilleur pari, mais c'est loin d'être une chose sûre.

nedm
la source
et pour ajouter ... le moins cher est IPSEC.
Saif Khan
CPM, Neped et AntiSniff peuvent être utilisés pour détecter le reniflement.
kmarsh
Jetez un œil à 802.1x qui peut être une autre couche pour protéger l'accès de la couche 2 à votre réseau local. Cela empêche les gens de se connecter et de se connecter à votre réseau. Réduisez l'accès physique aux points réseau / armoires électriques. utilisez le chiffrement de bout en bout. Utilisez des commutateurs de couche 3! Attribuez à chaque port son propre sous-réseau! Aucun arp du tout! avoir une politique de sécurité!
The Unix Janitor
5

La (je crois) seule façon de flairer tout le trafic sur un réseau local commuté est avec une attaque «homme au milieu». Vous empoisonnez ARP, volez les paquets de tout le monde, lisez-les et envoyez-les ensuite au bon ordinateur.

Il existe probablement plusieurs outils qui peuvent le faire, je n'en connais qu'un:

Ettercap peut à la fois effectuer l'attaque Mitm et en détecter une lorsque quelqu'un d'autre le fait.

Gert M
la source
'dsniff' prétend également être capable d'empoisonner l'ARP et le MITM. Je n'ai lu que les documents, je ne les ai pas utilisés. monkey.org/~dugsong/dsniff
pboin
4

L'ingénierie sociale est l'autre façon de le faire. Configurez un compte racine / administrateur de pot de miel ou une autre cible tentante, diffusez son mot de passe en clair et regardez vos journaux.

Adam
la source
3

Il existe un moyen simple de détecter la plupart des renifleurs. Mettez deux boîtes sur le réseau qui ne sont pas dans DNS et ne sont utilisées pour rien d'autre. Demandez-leur périodiquement de faire un ping ou de communiquer entre eux.

Maintenant, surveillez votre réseau pour toute recherche DNS et / ou demande ARP pour leurs IP. De nombreux renifleurs rechercheront par défaut toutes les adresses qu'ils trouvent, et donc toute recherche sur ces appareils serait un avertissement solide.

Un pirate intelligent pourrait désactiver ces recherches, mais beaucoup n'y penseraient pas, et cela le ralentirait certainement.

Maintenant, s'il est assez intelligent pour ne pas activer les recherches DNS et empêche tout ARP pour ces appareils, votre tâche est beaucoup plus difficile. À ce stade, vous devez travailler selon la philosophie selon laquelle le réseau est toujours reniflé et adopter des procédures proactives pour éviter les vulnérabilités qui surviendraient dans cette hypothèse. Plusieurs comprennent:

  1. Utilisez un réseau entièrement commuté
  2. Lier les ports de commutateur aux adresses MAC
  3. Interdire l'activation du mode promiscuous sur les cartes réseau (si possible dans votre environnement)
  4. Utilisez des protocoles sécurisés
Rym
la source
1
J'ai vu un renifleur où le câble Ethernet avait une partie de la ligne coupée de sorte qu'il s'agissait d'un câble RX uniquement. Cela signifie qu'il n'y avait pas de trafic ARP ou DNS provenant de la machine.
Walter
2

Wireshark est un excellent outil pour surveiller le trafic réseau. Et il recherchera des noms pour faire correspondre les adresses IP, trouvera le fabricant à partir d'une adresse MAC, etc. Naturellement, vous pouvez le regarder faire ces requêtes et ensuite vous savez qu'il fonctionne.

Bien sûr, vous pouvez désactiver ces éléments et ne pas être détecté. Et il existe d'autres programmes conçus pour ne pas être détectés intentionnellement. C'est donc quelque chose à considérer tout en essayant de répondre à cette question.

gbarry
la source
2

La seule façon sûre de procéder consiste à examiner chacun des périphériques du sous-réseau.

Il existe des outils, par exemple nmap , mais leur fonctionnement n'est pas garanti et les taps passifs ne trahiront pas leur présence.

La meilleure approche consiste à supposer que votre réseau est plus ou moins public et à utiliser le chiffrement. Soit sur une base d'application - SSH, HTTPS IMAPS, etc., soit tunneler tout votre trafic via un VPN

John McC
la source
1

Du haut de ma tête, je regarderais passer les données d'interface SNMP pour les interfaces qu'un hôte reçoit plus de données et / ou envoie moins de données que la moyenne. Recherchez quoi que ce soit en dehors d'un écart-type sur l'un et l'autre et vous trouverez probablement les personnes les plus susceptibles de faire quelque chose qu'elles ne devraient pas faire.

Il ne s'agit peut-être pas seulement de renifleurs, mais peut également trouver des observateurs passionnés de hulu / netflix.

Vos commutateurs / routeurs peuvent également avoir des fonctionnalités à surveiller et à attraper les personnes qui tentent d'empoisonner les tables d'arp, ce qui serait également un gros don.

sclarson
la source
1

Les concentrateurs (ou les configurations réseau vraiment anciennes, comme Thinnet / Thicknet) transfèrent toutes les données sur le câble à tout moment. Toute personne connectée verrait chaque paquet sur son segment local. Si vous définissez votre carte réseau en mode promiscuous (lisez tous les paquets, pas seulement ceux qui vous sont envoyés directement) et exécutez un programme de capture de paquets, vous pouvez voir tout ce qui se passe, renifler les mots de passe, etc.

Les commutateurs fonctionnent comme des ponts de réseau à l'ancienne - ils ne transfèrent le trafic vers un port que s'il est soit a) diffusé b) destiné à cet appareil

Les commutateurs maintiennent un cache indiquant quelles adresses MAC se trouvent sur quel port (il y aura parfois un concentrateur ou un commutateur connecté en guirlande sur un port). Les commutateurs ne répliquent pas tout le trafic sur tous les ports.

Les commutateurs haut de gamme (pour une utilisation professionnelle) peuvent avoir des ports spéciaux (étendue ou gestion) qui peuvent être configurés pour répliquer tout le trafic. Les services informatiques utilisent ces ports pour surveiller le trafic (reniflement légitime). La détection des reniflements non autorisés devrait être facile - allez voir le commutateur et voyez si quelque chose est branché sur ce port.

hellimat
la source