it-swarm.com.de

Wie kann ich feststellen, ob jemand Netzwerkpakete im LAN abhört?

Ich möchte wissen, ob es ein Produkt oder eine Software gibt, die erkennen kann, ob sich derzeit ein Sniffer im Netzwerk befindet.

Mit anderen Worten, kann überhaupt festgestellt werden, ob sich eine Netzwerkkarte im Netzwerk befindet, die sich derzeit im Promiscuous-Modus befindet?

18
Hanan N.

Es wurden einige Arbeiten durchgeführt, von denen ich gehört habe, wie Anti-Sniff , die Maschinen im Promiscuous-Modus anhand von Timing-Informationen erkennen sollen.

Die Idee ist, dass Maschinen im Promiscuous-Modus alle Pakete verarbeiten müssen, die sie sehen. Wenn also große Mengen an Verkehr verarbeitet werden müssen, ist das System ausgelastet und reagiert langsamer auf gerichteten Verkehr.

Diese Art von Ansatz würde, wenn er noch praktikabel ist, nicht in jedem Szenario funktionieren. Wenn ein Host beispielsweise keine IP-Adresse hat, kann er möglicherweise weiterhin Datenverkehr abhören, und es ist mit diesem Ansatz nicht möglich, ihn zu erkennen.

Es ist jedoch ein möglicher Ansatz, der untersucht werden könnte.

14
Rory McCune

Es ist möglich, Pakete auf nicht geschaltetem Ethernet oder WLAN vollständig passiv zu schnüffeln. Tools wie Throwing Star Lan Tap machen dies noch einfacher. In diesem passiven Fall können Sie nichts wirklich dagegen tun.

Wenn Sie sich jedoch in einem Switched LAN befinden, muss jeder Sniffer damit beginnen, ARP-Caches zu vergiften, selbst wenn er sich nur auf dem Switch befindet. Dies ist etwas, das Sie viel leichter erkennen können und eine nette Frühwarnung, dass jemand etwas Böses plant.

14
lynks

Wenn das System den Sniffer ausführt, befindet sich seine Schnittstelle im Promiscuous-Modus. Der Test funktioniert folgendermaßen: Senden Sie einen Ping mit der richtigen IP-Adresse an das Netzwerk, jedoch mit einer falschen Mac-Adresse. Der Sniffing-Host beantwortet das Ping-Paket, da er jedes Paket im Promiscuous-Modus empfängt. In nmap gibt es ein gebrauchsfertiges Skript, das diese Erkennung unterstützt.

http://nmap.org/nsedoc/scripts/sniffer-detect.html

JEDOCH: Diese Methode funktioniert nur, wenn,

  1. der Sniffing-Host befindet sich im selben Layer2-Netzwerk
  2. der Sniffing-Host verfügt nicht über eine Firewall, die eingehende ICMP-Pakete blockiert
  3. der Sniffing-Host führt das Sniffing mit einer Schnittstelle durch, für die TCP/IP aktiviert ist, und kann somit das ICMP-Paket beantworten.

Quelle: http://ask.wireshark.org/questions/14351/detectprevent-wireshark

8
Arka