Encuentra Sniffer en LAN

8

¿Qué herramientas o técnicas están disponibles para * nix y Windows que ayudan a encontrar si alguien más en la LAN está usando un sniffer?

Habiendo dicho eso y considerando fuertemente que existen herramientas para descubrir tales "fenómenos", ¿cuál sería el trabajo para no ser olisqueado?

Anand Shah
fuente

Respuestas:

16

Es muy difícil detectar rastreadores, porque funcionan de forma pasiva . Sin embargo, algunos rastreadores generan pequeñas cantidades de tráfico, por lo que existen algunas técnicas para detectarlos.

  • Las máquinas almacenan en caché los ARP (Protocolo de resolución de direcciones). Al enviar un ARP sin transmisión, una máquina en modo promiscuo (una tarjeta de red que hace que la tarjeta pase todo el tráfico) almacenará en caché su dirección ARP. Luego, enviando un paquete de ping de difusión con nuestra IP, pero con una dirección MAC diferente. Solo una máquina que tenga nuestra dirección MAC correcta de la trama ARP detectada podrá responder a nuestra solicitud de ping de difusión. Entonces, si la máquina está respondiendo, debe estar olfateando.
  • La mayoría de los rastreadores analizan un poco. Enviar una gran cantidad de datos y hacer ping a la máquina sospechosa antes y durante la inundación de datos. Si la tarjeta de red de la máquina sospechosa está en modo promiscuo, analizará los datos y aumentará la carga. De esta forma, lleva un tiempo extra responder al ping. Este pequeño retraso puede usarse como un indicador de si una máquina está olfateando o no. Podría provocar algunos falsos positivos, si hubiera algunos retrasos "normales" en la red debido al alto tráfico.
  • El siguiente método es antiguo y ya no es confiable: enviar una solicitud de ping con la dirección IP de la máquina sospechosa pero no con su dirección MAC. Idealmente, nadie debería ver este paquete ya que cada tarjeta de red rechazará el ping porque no coincide con su dirección MAC. Si la máquina sospechosa está olfateando, responderá, ya que no se molesta en rechazar paquetes con una dirección MAC de destino diferente.

Hay algunas herramientas que implican estas técnicas, por ejemplo, herramientas de código abierto como Neped y ARP Watch o AntiSniff para Windows, que es una herramienta comercial.

Si desea evitar el rastreo, la mejor manera es utilizar el cifrado para cualquier actividad de red (SSH, https, etc.). De esta forma, los rastreadores pueden leer el tráfico, pero los datos no tendrán sentido para ellos.

splattne
fuente
"Los rastreadores generan una pequeña cantidad de tráfico": es muy importante tener en cuenta que los sistemas de rastreo pueden configurarse para no generar absolutamente NINGÚN tráfico.
Adam Davis
14

El rastreo de paquetes es una actividad pasiva, generalmente no es posible saber si alguien está olfateando su red. Sin embargo, para que alguien en una LAN cableada y conmutada pueda ver el tráfico que no está destinado solo hacia o desde su IP (o transmitido a la red / subred) debe tener acceso a un puerto monitoreado / duplicado que duplica todo el tráfico, o instale un 'toque' en la puerta de enlace.

La mejor defensa contra el rastreo es un cifrado decente de extremo a extremo y controles físicos en hardware sensible.

Editar: CPM, Neped y AntiSniff ahora están obsoletos de 10 a 15 años ... Piense en el kernel de Linux <2.2 o Windows NT4. Si alguien tiene acceso a un grifo o espejo, generalmente será muy difícil de detectar. Manipular ARP o DNS es probablemente la mejor apuesta, pero está lejos de ser algo seguro.

nedm
fuente
y para agregar ... el más barato es IPSEC.
Saif Khan
CPM, Neped y AntiSniff se pueden usar para detectar el olfateo.
kmarsh
Eche un vistazo a 802.1x, que puede ser otra capa para proteger el acceso de la capa 2 a su lan. Esto evita que las personas aparezcan y solo se conecten a su red. Reduzca el acceso físico a los puntos de red / armarios de conmutación. use encriptación de extremo a extremo. ¡Usa interruptores de capa 3! ¡Asigne a cada puerto su propia subred! No hay arp en absoluto! tener una política de seguridad!
The Unix Janitor
5

La única forma (creo) de que puedes oler todo el tráfico en una LAN conmutada es con un ataque de 'hombre en el medio'. Básicamente haces envenenamiento por ARP, robas los paquetes de todos, los lees y luego los envías a la computadora correcta.

Probablemente hay varias herramientas que pueden hacer esto, solo sé de una:

Ettercap puede realizar el ataque Mitm y detectar uno cuando alguien más lo está haciendo.

Gert M
fuente
'dsniff' afirma que también puede hacer envenenamiento por ARP y MITM. Solo he leído los documentos, no los he usado. monkey.org/~dugsong/dsniff
pboin
4

La ingeniería social es la otra forma de hacerlo. Configure una cuenta de administrador / raíz honeypot o algún otro objetivo tentador, difunda su contraseña en claro y mire sus registros.

Adán
fuente
3

Hay una manera simple de detectar la mayoría de los rastreadores. Coloque dos cuadros en la red que no estén en DNS y no se usen para nada más. Haga que periódicamente hagan ping o se comuniquen entre sí.

Ahora, monitoree su red para cualquier búsqueda de DNS y / o solicitudes ARP para sus IP. Muchos rastreadores buscarán por defecto cualquier dirección que encuentren, y por lo tanto cualquier búsqueda en estos dispositivos sería una advertencia sólida.

Un hacker inteligente podría desactivar estas búsquedas, pero muchos no pensarían, y definitivamente lo retrasaría.

Ahora, si es lo suficientemente inteligente como para no habilitar las búsquedas de DNS y evita cualquier ARP para estos dispositivos, su tarea es mucho más difícil. En este punto, debe trabajar bajo la filosofía de que la red siempre está siendo detectada, y promulgar procedimientos proactivos para evitar cualquier vulnerabilidad que surja bajo esta suposición. Varios incluyen:

  1. Use una red totalmente conmutada
  2. Enlace los puertos del conmutador a las direcciones MAC
  3. No permita el modo promiscuo habilitado en NIC (si es posible en su entorno)
  4. Use protocolos seguros
Rym
fuente
1
He visto un sniffer donde el cable de ethernet tenía parte de la línea cortada, por lo que era solo un cable RX. Eso fue que no había tráfico ARP o DNS proveniente de la máquina.
Walter
2

Wireshark es una gran herramienta para monitorear el tráfico de red. Y buscará nombres para que coincidan con las direcciones IP, encontrará el fabricante de una dirección MAC, etc. Naturalmente, puede verlo haciendo estas consultas y luego sabe que se está ejecutando.

Por supuesto, puede apagar estas cosas y luego no ser detectado. Y hay otros programas diseñados para pasar desapercibidos intencionalmente. Por lo tanto, es algo a tener en cuenta al intentar responder a esta pregunta.

gbarry
fuente
2

La única forma segura de hacerlo es examinar cada uno de los dispositivos en la subred.

Hay herramientas, por ejemplo, nmap , pero no se garantiza que funcionen y los grifos pasivos no traicionarán su presencia.

El mejor enfoque es asumir que su red es más o menos pública y usar cifrado. Ya sea por aplicación: SSH, HTTPS IMAPS, etc., o haga un túnel de todo su tráfico a través de una VPN

John McC
fuente
1

De la parte superior de mi cabeza, vería cambiar los datos de la interfaz SNMP para las interfaces en las que un host recibe más datos y / o envía menos datos que el promedio. Busque cualquier cosa fuera de una desviación estándar en cualquiera de las dos y probablemente encontrará que las personas tienen más probabilidades de estar haciendo algo que no deberían.

Sin embargo, podría no solo ser rastreador, sino encontrar ávidos observadores de hulu / netflix.

Sus conmutadores / enrutadores también pueden tener características para vigilar y atrapar a las personas que intentan envenenar las mesas de arp, eso también sería una gran obviedad.

Sclarson
fuente
1

Los concentradores (o configuraciones de red realmente antiguas, como Thinnet / Thicknet) transfieren todos los datos a través del cable en todo momento. Cualquiera que esté conectado vería cada paquete en su segmento local. Si configura su tarjeta de red en modo promiscuo (lea todos los paquetes, no solo los que se le envían directamente) y ejecuta un programa de captura de paquetes, puede ver todo lo que sucede, oler contraseñas, etc.

Los conmutadores funcionan como puentes de red de la vieja escuela: solo transfieren el tráfico fuera de un puerto si es a) difusión b) destinado a ese dispositivo

Los conmutadores mantienen una memoria caché que indica qué direcciones MAC están en qué puerto (a veces habrá un concentrador o conmutador conectado en cadena desde un puerto). Los conmutadores no replican todo el tráfico a todos los puertos.

Los conmutadores de extremo superior (para uso comercial) pueden tener puertos especiales (Span o Management) que se pueden configurar para replicar todo el tráfico. Los departamentos de TI usan esos puertos para monitorear el tráfico (rastreo legítimo). Detectar el olfateo no autorizado debería ser fácil: mire el conmutador y vea si hay algo conectado a ese puerto.

hellimat
fuente