Next: Portscan-ek
Up: Sniffer detektorok
Previous: Sniffer detektorok
Contents
- Ping:
Végigpingelve a lokális hálózaton a saját szegmensünket, megkapjuk
minden interface hardver címét. Ezután egyenként minden IP-hez tartozó
hardver (MAC) címet véletlenszerűen megváltoztatunk az ARP cache-ben és
újra pingelünk. Amelyik gép erre is válaszol, ott az interface
promiscuous módban van.
ICMP helyett megfelel bármely más protokoll is, amely felhasználható
válasz generálására (pl. UDP).
E technika ellen nem nehéz védekezni, egyes snifferek meg is teszik.
- DNS lookup:
A legtöbb sniffer használ DNS-t annak érdekében, hogy a kommunikáló
gépek nevét megkapja az IP címük alapján.
Nincs más dolgunk, mint egy nem létező címre (vagy nem létező címről)
forgalmat generálni és figyelni, honnan érkeznek DNS kérések a hamis
cím feloldására.
- Latency:
Mivel a promiscuous módban lévő interface elfogad minden csomagot, ezek
feldolgozása sok időt követel. Ha elárasztjuk a hálózatot random
csomagokkal és közben pingelünk minden IP-t, a sniffelő gépe
valószínűleg később fog válaszolni.
A leírtak mellett még létezik néhány technika, aminek megértéséhez
komolyabb hálózati ismeretek szükségesek, így ezeket most nem
tárgyaljuk.
Néhány sniffer detektor:
- AntiSniff: http://www.l0pht.com/antisniff/
- CPM: ftp://coast.cs.purdue.edu/pub/tools/unix/cpm/
- neped: http://www.apostols.org/projectz/neped/
1999-12-21