Metode de detectare sniffer

Salut, prietene! Am ratat? 🙂 În orice caz, sper că nu a reușit încă promozolit ochii :)) Astăzi vorbesc despre șeful sniffere metode de detectare în rețelele locale.

Voi încerca să răspundă la două întrebări principale 1) modul de a detecta lucrări dresați în segmentul, 2) cum să se asigure invizibilitatea sniffer lucrează în segmentul. Nu voi povara textul gropilor de pachete, deoarece vom vorbi destul de simplă și intuitivă.

Cel mai simplu și cel mai evident truc de capturare sniffere din segmentul se bazează pe naivitatea copiilor cu care moleculele de hatskery lansa software-ul străin. Astfel de molecule hatskery (care tind să fie prea ocupat pentru a citi documentația pentru sniffer) sunt cel mai ușor pradă pentru admini.

Dacă hatskery rece vrea să se protejeze de detectare și de deconectare rușinoasă de la rețea în conformitate cu „hacking“ (cum ar fi rețeaua de unde lucrez acum), atunci el are nevoie pentru a dezactiva pur și simplu DNS-rezolving. În tcpdump'e, de exemplu, acest lucru se face folosind tasta „N“ 🙂

Eficacitatea următoarei metode nu este aproape la fel de simplă ca și cea anterioară. Asta este, nu se poate spune dacă va funcționa cu toate sistemele, care să satisfacă miezul de funcționare sniffer. Statistici privind această metodă, nu am, știu doar sigur că funcționează pe Windows 98 și cu nucleele Linux mai vechi.

Luați în considerare metoda în sine. În cazul în care adaptorul de rețea se află în modul promiscious rece hatskery, administratorul de sistem poate defini lucrările dresați prin trimiterea la mesaje provocatoare gazdei sniffyaschy ar trebui să fie interpretate:

Moleculele core hatskery interfață, care funcționează într-un mod obișnuit, un cadru de date ignora pur și simplu. Deci, în teorie, în cazul în care a tradus modul de interfață promiscious, este ca și cum nimic nu sa întâmplat, cadrul de date va trece și să treacă de nucleu. Un nucleu, la rândul său,
la comanda ping primit ar trebui să răspundă.

Eficacitatea metodei kondovogo speculativă. Am sa manifestat doar în rețeaua stomegabaytnoy, cu aproape sarcină de vârf (10.000 de cadre de date pe secundă). tcpdump meu mai mult de jumătate au primit mai puțin trafic de rețea și mașină (p2-300 / 192RAM) a încetinit considerabil în jos, în același timp.

Deci, ai nevoie de un trafic provocator, astfel încât nimeni, dar moleculele destinate hatskerskogo sniffer, acesta nu a primit. Aproximativ vorbind, este orice resturi de la MAC destinatie Adddress'ami, diferit de toate rețea disponibile.

În acest caz, mașinile existente sunt traficul este ignorat, de exemplu, pentru a răspunde la ping-uri foarte rapid (milisecunde sau mai puțin), și gazda kulhatskersky, fie va răspunde la o comandă ping cu o întârziere solid (cum ar fi a mea, aproximativ două sau trei sute de milisecunde) sau chiar să nu răspundă la unele dintre ele. Cel mai bine este de a trimite pachete mici de trafic provocator.

Într-un traffikogenerator provocatoare poate construi o sarcină echilibrist pentru a măsura dinamica răspunsurilor la comanda ping normale a provocat gazdă.

La sfatul unui hacker rău (al cărui aviz I este extrem de încredere), dacă nu doriți ca cineva să găsească Sniffer ar putea, în principiu, pur și simplu să ia de pe suportul TCP / IP la interfata pe care ridica sniffer. Sau interzic orice răspuns la un nucleu TCP traficul de intrare / IP'shny. Sau suculent starea de spirit firewall.

Arată acest articol unui prieten: