Finde Sniffer im LAN

Welche Tools oder Techniken stehen für * nix und Windows zur Verfügung, mit denen Sie feststellen können, ob eine andere Person im LAN einen Sniffer verwendet?

Trotzdem und angesichts der Tatsache, dass es Werkzeuge gibt, um solche "Phänomene" zu entdecken, was wäre die Lösung, um nicht beschnüffelt zu werden?

Es ist sehr schwierig, Schnüffler zu erkennen, da sie passiv arbeiten . Einige Schnüffler erzeugen zwar wenig Verkehr, daher gibt es einige Techniken, um sie zu erkennen.

• Maschinen zwischenspeichern ARPs (Address Resolution Protocol). Beim Senden eines nicht gesendeten ARP speichert ein Computer im Promiscuous-Modus (eine Netzwerkkarte, mit der die Karte den gesamten Datenverkehr durchläuft) Ihre ARP-Adresse zwischen. Dann senden Sie ein Broadcast-Ping-Paket mit unserer IP, aber einer anderen MAC-Adresse. Nur ein Computer, der unsere korrekte MAC-Adresse aus dem geschnüffelten ARP-Frame hat, kann auf unsere Broadcast-Ping-Anfrage antworten. Wenn die Maschine reagiert, muss sie schnüffeln.
• Die meisten Schnüffler analysieren. Senden einer großen Datenmenge und Pingen des verdächtigen Computers vor und während der Datenflutung. Wenn sich die Netzwerkkarte des verdächtigen Computers im Promiscuous-Modus befindet, werden die Daten analysiert und die Belastung erhöht. Auf diese Weise dauert es etwas länger, bis Sie auf den Ping reagieren. Diese kleine Verzögerung kann als Indikator dafür verwendet werden, ob eine Maschine schnüffelt oder nicht. Es könnte zu falsch positiven Ergebnissen führen, wenn es aufgrund des hohen Datenverkehrs zu "normalen" Verzögerungen im Netzwerk kommt.
• Die folgende Methode ist alt und nicht mehr zuverlässig: Senden einer Ping-Anfrage mit der IP-Adresse des verdächtigen Computers, jedoch nicht mit seiner MAC-Adresse. Im Idealfall sollte niemand dieses Paket sehen, da jede Netzwerkkarte den Ping ablehnt, da er nicht mit ihrer MAC-Adresse übereinstimmt. Wenn der verdächtige Computer schnüffelt, reagiert er, da er keine Pakete mit einer anderen Ziel-MAC-Adresse ablehnt.

Es gibt einige Tools, die diese Techniken implementieren, z. B. Open Source-Tools wie Neped und ARP Watch oder AntiSniff für Windows, ein kommerzielles Tool.

Wenn Sie das Schnüffeln verhindern möchten, verwenden Sie am besten die Verschlüsselung für alle Netzwerkaktivitäten (SSH, https usw.). Auf diese Weise können Sniffer den Datenverkehr lesen, aber die Daten ergeben für sie keinen Sinn.

Paket-Sniffing ist eine passive Aktivität. Im Allgemeinen kann nicht festgestellt werden, ob jemand an Ihrem Netzwerk schnüffelt. Damit jedoch jemand in einem kabelgebundenen, geschalteten LAN Datenverkehr sehen kann, der nicht nur für oder von seiner IP bestimmt ist (oder an das Netzwerk / Subnetz gesendet wird), muss er entweder Zugriff auf einen überwachten / gespiegelten Port haben, der den gesamten Datenverkehr dupliziert. oder installieren Sie einen Tipp auf dem Gateway.

Die beste Verteidigung gegen Sniffing ist eine anständige End-to-End-Verschlüsselung und physische Kontrollen auf sensibler Hardware.

Bearbeiten: CPM, Neped und AntiSniff sind jetzt 10-15 Jahre alt ... Denken Sie an Linux-Kernel <2.2 oder Windows NT4. Wenn jemand Zugang zu einem Wasserhahn oder Spiegel hat, ist dies im Allgemeinen sehr schwer zu erkennen. Das Manipulieren von ARP oder DNS ist wahrscheinlich die beste Wahl, aber alles andere als sicher.

Die (ich glaube) einzige Möglichkeit, den gesamten Datenverkehr in einem Switched LAN zu verfolgen, ist ein "Mann in der Mitte" -Angriff. Grundsätzlich vergiften Sie ARP, stehlen alle Pakete, lesen sie und senden sie anschließend an den richtigen Computer.

Es gibt wahrscheinlich mehrere Tools, die dies können, ich kenne nur eines:

Ettercap kann sowohl den Mitm-Angriff ausführen als auch einen erkennen, wenn jemand anderes dies tut.

Social Engineering ist der andere Weg, dies zu tun. Richten Sie ein Honeypot-Root- / Administratorkonto oder ein anderes verlockendes Ziel ein, senden Sie das Kennwort im Klartext und beobachten Sie Ihre Protokolle.

Es gibt eine einfache Möglichkeit, die meisten Schnüffler zu erkennen. Platzieren Sie zwei Boxen im Netzwerk, die sich nicht in DNS befinden und für nichts anderes verwendet werden. Lassen Sie sie regelmäßig pingen oder auf andere Weise miteinander kommunizieren.

Überwachen Sie jetzt Ihr Netzwerk auf DNS-Lookups und / oder ARP-Anforderungen für deren IPs. Viele Sniffer suchen standardmäßig nach Adressen, die sie finden, und daher wäre jede Suche auf diesen Geräten eine solide Warnung.

Ein kluger Hacker könnte diese Suchvorgänge ausschalten, aber viele würden nicht daran denken, und es würde ihn definitiv verlangsamen.

Wenn er intelligent genug ist, um DNS-Suchvorgänge nicht zu aktivieren, und ARPs für diese Geräte verhindert, ist Ihre Aufgabe viel schwieriger. An diesem Punkt sollten Sie nach der Philosophie arbeiten, dass das Netzwerk ständig beschnüffelt wird, und proaktive Verfahren anwenden, um Schwachstellen zu vermeiden, die unter dieser Annahme auftreten würden. Einige umfassen:

1. Verwenden Sie ein vollständig geschaltetes Netzwerk
2. Binden Sie Switch-Ports an MAC-Adressen
3. Deaktivieren Sie die Aktivierung des Promiscuous-Modus auf Netzwerkkarten (falls möglich in Ihrer Umgebung).
4. Verwenden Sie sichere Protokolle

Wireshark ist ein großartiges Tool zur Überwachung des Netzwerkverkehrs. Außerdem werden Namen nach IP-Adressen gesucht, der Hersteller anhand einer MAC-Adresse ermittelt usw. Natürlich können Sie beobachten, wie diese Abfragen ausgeführt werden, und dann wissen Sie, dass sie ausgeführt werden.

Natürlich können Sie diese Dinge ausschalten und dann nicht erkannt werden. Und es gibt andere Programme, die absichtlich unentdeckt bleiben sollen. Es ist also nur etwas zu beachten, wenn Sie versuchen, diese Frage zu beantworten.

Der einzig sichere Weg, dies zu tun, besteht darin, jedes der Geräte im Subnetz zu untersuchen.

Es gibt Tools, z. B. nmap , aber es ist nicht garantiert, dass sie funktionieren, und passive Taps verraten ihre Anwesenheit nicht.

Der beste Ansatz ist anzunehmen, dass Ihr Netzwerk mehr oder weniger öffentlich ist und Verschlüsselung verwendet. Entweder auf Anwendungsbasis - SSH, HTTPS IMAPS usw. oder Sie tunneln Ihren gesamten Datenverkehr über ein VPN

Auf den ersten Blick würde ich beobachten, wie SNMP-Schnittstellendaten für Schnittstellen geschaltet werden, bei denen ein Host mehr Daten empfängt und / oder weniger Daten als der Durchschnitt sendet. Suchen Sie nach etwas außerhalb einer Standardabweichung und Sie werden wahrscheinlich feststellen, dass die Leute am wahrscheinlichsten etwas tun, was sie nicht tun sollten.

Es könnten aber nicht nur Schnüffler sein, sondern auch begeisterte Hulu / Netflix-Beobachter.

Ihre Switches / Router verfügen möglicherweise auch über Funktionen, mit denen Sie nach Personen suchen und diese fangen können, die versuchen, Arp-Tische zu vergiften. Dies wäre ebenfalls ein ziemlich großer Gewinn.

Hubs (oder wirklich alte Netzwerk-Setups wie Thinnet / Thicknet) übertragen alle Daten jederzeit über das Kabel. Jeder, der angeschlossen ist, sieht jedes Paket in seinem lokalen Segment. Wenn Sie Ihre Netzwerkkarte in den Promiscuous-Modus versetzen (alle Pakete lesen, nicht nur die direkt an Sie gesendeten) und ein Paketerfassungsprogramm ausführen, können Sie alles sehen, was passiert, Passwörter abhören usw.

Switches funktionieren wie Netzwerkbrücken der alten Schule - sie übertragen den Datenverkehr nur dann über einen Port, wenn er entweder a) Broadcast b) für dieses Gerät bestimmt ist

Switches verwalten einen Cache, der angibt, welche MAC-Adressen sich an welchem ​​Port befinden (manchmal ist ein Hub oder Switch-Daisy an einem Port verkettet). Switches replizieren nicht den gesamten Datenverkehr auf alle Ports.

High-End-Switches (für geschäftliche Zwecke) verfügen möglicherweise über spezielle Ports (Span oder Management), die so konfiguriert werden können, dass der gesamte Datenverkehr repliziert wird. IT-Abteilungen verwenden diese Ports zur Überwachung des Datenverkehrs (legitimes Sniffing). Das Erkennen von nicht autorisiertem Schnüffeln sollte einfach sein. Sehen Sie sich den Schalter an und prüfen Sie, ob an diesem Anschluss etwas angeschlossen ist.