Következő: 5.9.7.2.3 Portscan-ek Fel: 5.9.7.2 Külső behatolási kísérletek Előző: 5.9.7.2.1 Hálózati kommunikáció védelme   Index

5.9.7.2.2 Sniffer-ek

Aki a gépünk és a célgép közötti forgalmat figyelni képes, értékes információkhoz juthat a titkosítatlan kapcsolatokból. Ehhez persze az kell, hogy a hálózaton valahol legyen egy root accountja. Ha ez megvan, több program is rendelkezésére áll a tcpdump-tól (minden Linux disztribúcióban megtalálható) az intelligensebb programokig (pl. sniffit vagy tcpflow).

Működésük a hálózati interface promiscuous módba kapcsolásán alapszik. Detektálásuk is erre épül, mivel létezik program a promiscuous mód-ban levő ethernet interface-ek keresésére. Ezzel általában meghatározható, milyen címről fut a sniffer (feltéve, hogy az elkövető nem olyan operációs rendszert használ, mely a detektálást megakadályozza). A detektorok működési elve valami ilyesmi: végigpingeli a lokális hálózatot, így megkapja minden interface hadver címét. Ezután egyenként minden IP-hez tartozó hardver (MAC) címet véletlenszerűen megváltoztat az ARP cache-ben és újra pingel. Amelyik gép erre válaszol, ott az interface promiscuous módban van. Persze ez még nem jelenti, hogy sniffert futtat, mert néhány más program is átkapcsolja az interface-t ebbe a módba.