LAN上のスニファーを見つける

* nixとWindowsで、LAN上の他の誰かがスニファを使用しているかどうかを確認するのに役立つツールやテクニックはありますか？

そうは言っても、そのような「現象」を発見するためのツールがそこにあることを強く考慮して、盗聴されないようにするための回避策は何でしょうか？

スニファは受動的に動作するため、検出するのは非常に困難です。一部のスニファは少量のトラフィックを生成しますが、それらを検出するためのいくつかの手法があります。

• マシンはARP（アドレス解決プロトコル）をキャッシュします。非ブロードキャストARPを送信すると、プロミスキャスモードのマシン（カードにすべてのトラフィックを通過させるネットワークカード）はARPアドレスをキャッシュします。次に、ブロードキャストpingパケットを送信しますが、IPは異なりますが、MACアドレスは異なります。スニッフィングされたARPフレームからの正しいMACアドレスを持つマシンのみが、ブロードキャストping要求に応答できます。したがって、マシンが応答している場合は、スニッフィングしている必要があります。
• ほとんどのスニファは、いくつかの解析を行います。データフラッディングの前と最中に、大量のデータを送信し、疑わしいマシンに pingを送信します。疑わしいマシンのネットワークカードがプロミスキャスモードの場合、データを解析して負荷を増加させます。この方法では、pingに応答するまでに少し時間がかかります。この小さな遅延は、マシンがスニッフィングしているかどうかの指標として使用できます。トラフィックが多いためにネットワークで「通常の」遅延が発生した場合、誤検知を引き起こす可能性があります。
• 次の方法は古く、信頼性がなくなりました。疑わしいマシンのIPアドレスを使用してping要求を送信しますが、MACアドレスは送信しません。MACアドレスと一致しないため、各ネットワークカードがpingを拒否するため、理想的にはこのパケットを誰も見ないでください。疑わしいマシンがスニッフィングしている場合は、異なる宛先MACアドレスを持つパケットを拒否する必要がないため、応答します。

以下のような例のオープンソースツールのために、これらの技術をimplmentいくつかのツールがありますNepedとARPウォッチまたはAntiSniff商用ツールであるWindows用には、。

スニッフィングを防止したい場合、最善の方法は、ネットワークアクティビティ（SSH、httpsなど）に暗号化を使用することです。このように、スニファはトラフィックを読み取ることができますが、データはそれらには意味がありません。

パケットスニッフィングはパッシブアクティビティです。通常、誰かがネットワークをスニッフィングしているかどうかを判別することはできません。ただし、有線のスイッチドLAN上の誰かが、自分のIPへの、またはIPからの（またはネットワーク/サブネットへのブロードキャスト）だけを宛先としないトラフィックを見るには、すべてのトラフィックを複製する監視対象ポートまたはミラーリングされたポートにアクセスできる必要があります。またはゲートウェイに「タップ」をインストールします。

スニッフィングに対する最善の防御は、適切なエンドツーエンドの暗号化と、機密性の高いハードウェアの物理的な制御です。

編集：CPM、Neped、およびAntiSniffは10〜15年古くなっています... Linuxカーネル<2.2またはWindows NT4を考えてください。誰かがタップやミラーにアクセスできる場合、一般的にそれを検出することは非常に困難です。ARPまたはDNSの操作がおそらく最善の策ですが、確実なものとはほど遠いものです。

スイッチドLAN上のすべてのトラフィックを盗聴できる（私は信じている）唯一の方法は、「man in the middle」攻撃です。基本的に、ARPポイズニングを実行し、すべてのパケットを盗み、それらを読み取って、適切なコンピューターに送信します。

これを実行できるツールはおそらく複数あると思いますが、私が知っているのは1つだけです。

Ettercapは、Mitm攻撃を実行することも、他の誰かが実行しているときに1つを検出することもできます。

ソーシャルエンジニアリングはそれを行うもう1つの方法です。ハニーポットのroot / adminアカウントまたはその他の魅力的なターゲットをセットアップし、パスワードを平文でブロードキャストし、ログを監視します。

ほとんどのスニファを検出する簡単な方法があります。DNSになく、他の目的で使用されていない2つのボックスをネットワークに配置します。定期的にpingを送信するか、他の方法で互いに通信してもらいます。

次に、ネットワークのDNSルックアップやIPのARPリクエストを監視します。多くのスニッファはデフォルトで見つけたアドレスを検索するため、これらのデバイスでの検索は確実な警告になります。

巧妙なハッカーはこれらのルックアップをオフにすることができますが、多くの人はそうは思わないでしょう、そしてそれは間違いなく彼を遅くします。

さて、彼がDNSルックアップを有効にできないほど賢く、これらのデバイスのARPを阻止している場合、タスクははるかに困難になります。この時点で、ネットワークが常に傍受されているという哲学の下で作業し、この前提の下で発生する可能性のある脆弱性を防ぐための予防的な手順を制定する必要があります。いくつか含まれます：

1. 完全に切り替えられたネットワークを使用する
2. スイッチポートをMACアドレスにバインドする
3. NICでの無差別モードの有効化を許可しない（ご使用の環境で可能であれば）
4. 安全なプロトコルを使用する

Wiresharkは、ネットワークトラフィックを監視するための優れたツールです。IPアドレスと一致する名前を検索したり、MACアドレスから製造元を検索したりします。当然のことながら、これらのクエリが実行されていることを確認すれば、実行されていることがわかります。

もちろん、これらのものをオフにすると、検出されなくなります。また、意図的に検出されないように設計された他のプログラムもあります。ですから、この質問に答えようとする際に考慮すべきことです。

これを行う唯一の確実な方法は、サブネット上の各デバイスを調べることです。

nmapなどのツールがありますが、それらの動作は保証されておらず、パッシブタップはその存在を裏切りません。

最善のアプローチは、ネットワークが多かれ少なかれパブリックであると想定し、暗号化を使用することです。アプリケーションベース-SSH、HTTPS IMAPSなど、またはすべてのトラフィックをVPN経由でトンネル

私は頭の中で、ホストが平均よりも多くのデータを受信したり送信したりしているインターフェイスのスイッチSNMPインターフェイスデータを監視します。どちらかで標準偏差の範囲外のものを探してください。そうすれば、自分がしてはいけないことをしている可能性が最も高い人々を見つけるでしょう。

しかし、それは単なるスニファーではないかもしれません、熱心なhulu / netflixウォッチャーを見つけるかもしれません。

スイッチ/ルーターには、arpテーブルを汚染しようとする人々を監視およびキャッチする機能もある場合があります。これは、かなり大きなgivawayでもあります。

ハブ（またはThinnet / Thicknetのような本当に古いネットワーク設定）は、すべてのデータを常にネットワーク経由で転送します。接続されている人は誰でも、ローカルセグメントのすべてのパケットを見ることができます。ネットワークカードをプロミスキャスモード（直接送信されたパケットだけでなく、すべてのパケットを読み取る）に設定し、パケットキャプチャプログラムを実行すると、発生するすべてを確認したり、パスワードを盗聴したりできます。

スイッチは古い学校のネットワークブリッジのように動作します。スイッチは、a）ブロードキャストb）そのデバイス宛ての場合にのみ、ポートからトラフィックを転送します。

スイッチは、どのMACアドレスがどのポートにあるかを示すキャッシュを維持します（ハブまたはスイッチがポートからデイジーチェーン接続される場合があります）。スイッチは、すべてのトラフィックをすべてのポートに複製するわけではありません。

ハイエンドのスイッチ（ビジネス用）には、すべてのトラフィックを複製するように構成できる特別なポート（スパンまたは管理）がある場合があります。IT部門はこれらのポートを使用してトラフィックを監視します（legit sniffing）。不正なスニッフィングの検出は簡単です。スイッチを見て、そのポートに何かが接続されていないか確認してください。