it-swarm-id.com

Bagaimana mengetahui bahwa NIC dalam mode promiscuous pada LAN?

Bagaimana mengetahui bahwa NIC dalam mode promiscuous pada LAN?

30
LanceBaynes

ji DNS - banyak alat sniffing paket melakukan pencarian alamat IP untuk memberikan nama DNS menggantikan nama alamat IP. Untuk mengujinya, Anda harus meletakkan kartu jaringan ke mode promiscuous dan mengirimkan paket ke jaringan yang ditujukan untuk host palsu. Jika ada pencarian nama dari host palsu terlihat, sniffer mungkin beraksi pada Host yang melakukan pencarian.

ARP Test - Ketika dalam mode bebas pilih-pilih driver untuk kartu jaringan memeriksa alamat MAC adalah kartu jaringan untuk paket unicast, tetapi hanya memeriksa oktet pertama dari alamat MAC terhadap nilai 0xff untuk tentukan apakah paket tersebut disiarkan atau tidak. Perhatikan bahwa alamat untuk paket siaran adalah ff: ff: ff: ff: ff: ff. Untuk menguji cacat ini, jika Anda mengirim paket dengan alamat MAC ff: 00: 00: 00: 00: 00 dan alamat IP tujuan Host yang benar. Setelah menerima paket, OS Microsoft menggunakan driver cacat akan merespons saat dalam mode promiscuous. Mungkin itu terjadi hanya dengan driver MS default.

Ether Ping test - Dalam kernel Linux yang lebih tua ketika kartu jaringan ditempatkan dalam mode promiscuous setiap paket diteruskan ke OS. Beberapa kernel Linux hanya melihat alamat IP dalam paket untuk menentukan apakah mereka harus diproses atau tidak. Untuk menguji cacat ini, Anda harus mengirim paket dengan alamat MAC palsu dan alamat IP yang valid. Kernel Linux yang rentan dengan kartu jaringan mereka dalam mode promiscuous hanya melihat alamat IP yang valid. Untuk mendapatkan respons, pesan permintaan gema ICMP dikirim dalam paket palsu yang mengarah ke host yang rentan dalam mode promiscuous untuk merespons.

Mungkin ada lagi, tes DNS untuk saya adalah yang paling dapat diandalkan

33
VP.

VP memberikan teorinya, saya akan memberikan beberapa alat.

Untuk digunakan dalam sistem Linux:

  • SniffDet: Yang ini menggunakan 4 tes berbeda: tes ICMP, tes ARP; Tes DNS dan juga tes LATENCY (yang tidak disebutkan oleh VP01). Alat ini baru saja diperbarui dan saya merekomendasikannya.

Juga:

  • nmap: Ada skrip NSE untuk nmap bernama sniffer-detect.nse yang melakukan hal itu.
  • nast : Mendeteksi PC lain dalam mode promiscuous dengan melakukan tes ARP.
  • ptool : Apakah tes ARP dan ICMP. Komit terakhir pada 2009 .

Untuk sistem Windows:

  • Cain & Abel dapat melakukan pemindaian bebas pilih-pilih menggunakan banyak jenis tes ARP.
  • Promqry dan PromqryUI Alat Microsoft untuk tujuan ini juga, tapi saya tidak begitu yakin bagaimana cara kerjanya.

Adapun teknik deteksi umum, ada juga yang lain, yang disebut deteksi honeypot. Detail tentang tes latensi dan teknik honeypot dapat ditemukan di sniffdet dokumentasi .

25
john

Anda tidak dapat menjamin bahwa Anda akan dapat mendeteksinya.

Misalnya, Anda dapat dengan mudah membuat kabel ethernet hanya-baca dengan memutarkan TX + (pin 1) dan TX pin 2) dari komputer sniffing, kemudian mengatur TX + (pin 1) ke RX + (pin 3 dari sniffer) dan TX- (pin 2) ke RX- (pin 6 dari sniffer). Maka tidak mungkin bagi komputer sniffing untuk memengaruhi lalu lintas data apa pun di jaringan.

Dimungkinkan untuk mendeteksi penurunan tegangan atau RF emisi (sepanjang garis --- (Van Eck phreaking ), tapi saya tidak mengetahui adanya perangkat keras COTS yang akan deteksi itu.

15
Jon Bringhurst

Meskipun tidak selalu mungkin untuk mengidentifikasi apakah jaringan lokal secara sembarangan mengendus lalu lintas jaringan lokal - dimungkinkan untuk membuat crash sebagian besar atau semua aplikasi penangkapan paket melakukannya.

Lihat Samy's http://samy.pl/killmon.pl skrip untuk titik awal. Sadarilah bahwa sebagian besar aplikasi yang bekerja pada 2011 rentan terhadap setidaknya serangan crash DoS, bahkan jika kerusakan tidak rentan sebagai pelanggaran akses memori (atau pengecualian baca/tulis yang mengarah ke buffer overflow).

2
atdre

Saya percaya ada alat yang andal mendeteksi ini dengan melihat perbedaan waktu respons ping. Alat mengirim ping dan pada saat yang sama mengirim sejumlah besar ping ke alamat IP yang sama tetapi dengan alamat MAC yang berbeda.

Alat ini berfungsi karena kartu dalam mode bebas memilih akan mengembalikan semua lalu lintas ke CPU sehingga ketika ada banyak paket yang mengenai CPU ini akan memperlambat respons terhadap ping yang asli. Kartu dalam mode normal akan mengabaikan semua paket dengan alamat MAC yang berbeda sehingga tidak ada perbedaan dalam waktu respons.

Seseorang memasukkan nama alat

2
Stuart