Какие инструменты или методы доступны для * nix и Windows, которые помогают определить, использует ли кто-то еще в локальной сети сниффер?
Сказав это и твердо учитывая, что существуют инструменты для обнаружения таких «явлений», что нужно делать, чтобы не быть обнюханным?
Обнаружить снифферы очень сложно, потому что они работают пассивно. Некоторые снифферы действительно генерируют небольшие объемы трафика, поэтому есть некоторые методы их обнаружения.
Есть некоторые инструменты, которые реализуют эти методы, например, инструменты с открытым исходным кодом, такие как Непед и ARP Watch или AntiSniff для Windows, который является коммерческим инструментом.
Если вы хотите предотвратить обнюхивание, лучший способ - использовать шифрование для любой сетевой активности (SSH, https и т. д.). Таким образом снифферы могут читать трафик, но данные не имеют для них никакого смысла.
Отслеживание пакетов - это пассивная деятельность, обычно невозможно определить, прослушивает ли кто-то вашу сеть. Однако для того, чтобы кто-то в проводной коммутируемой локальной сети мог видеть трафик, который не предназначен только для его IP-адреса или от него (или транслируется в сеть / подсеть), ему необходимо либо иметь доступ к отслеживаемому / зеркалируемому порту, который дублирует весь трафик, или установите «кран» на шлюз.
Лучшая защита от сниффинга - это приличное сквозное шифрование и физический контроль чувствительного оборудования.
Изменить: CPM, Neped и AntiSniff теперь устарели на 10-15 лет ... Думайте, ядро Linux <2.2 или Windows NT4. Если у кого-то есть доступ к крану или зеркалу, его, как правило, будет очень сложно обнаружить. Манипулирование ARP или DNS, вероятно, лучший вариант, но это далеко не так.
Я считаю, что единственный способ перехватить весь трафик в коммутируемой локальной сети - это атака «человек посередине». Вы в основном делаете отравление ARP, крадя все пакеты, читая их и затем отправляя на нужный компьютер.
Вероятно, есть несколько инструментов, которые могут это сделать, я знаю только об одном:
Ettercap может как выполнить атаку Mitm, так и обнаружить ее, когда ее делает кто-то другой.
Другой способ сделать это - социальная инженерия. Создайте учетную запись root / admin приманки или другую заманчивую цель, передайте ее пароль в открытом виде и следите за своими журналами.
Есть простой способ обнаружить большинство снифферов. Разместите в сети два ящика, которых нет в DNS и которые больше ни для чего не используются. Попросите их периодически пинговать или иным образом общаться друг с другом.
Теперь отслеживайте свою сеть на предмет поиска DNS и / или запросов ARP для их IP-адресов. Многие снифферы по умолчанию ищут любые адреса, которые они находят, и поэтому любой поиск на этих устройствах будет серьезным предупреждением.
Умный хакер мог бы отключить эти поиски, но многие не подумали бы об этом, и это определенно замедлило бы его.
Теперь, если он достаточно умен, чтобы не включать поиск DNS и предотвращать любые ARP для этих устройств, ваша задача намного сложнее. На этом этапе вы должны работать в соответствии с философией, согласно которой сеть всегда отслеживается, и вводить упреждающие процедуры для предотвращения любых уязвимостей, которые могут возникнуть при этом предположении. Некоторые включают:
Wireshark - отличный инструмент для мониторинга сетевого трафика. И он будет искать имена, соответствующие IP-адресам, находить производителя по MAC-адресу и т. Д. Естественно, вы можете наблюдать, как он выполняет эти запросы, и тогда вы знаете, что он работает.
Конечно, вы можете отключить эти вещи, и тогда вас не обнаружат. Есть и другие программы, специально разработанные для того, чтобы оставаться незамеченными. Так что это просто то, что нужно учитывать, пытаясь ответить на этот вопрос.
Единственный надежный способ сделать это - проверить каждое из устройств в подсети.
Есть инструменты, например Nmap, но их работа не гарантирована, и пассивное нажатие на них не выдаст их присутствия.
Наилучший подход - предположить, что ваша сеть более или менее общедоступна, и использовать шифрование. Либо на основе приложения - SSH, HTTPS IMAPS и т. Д., Либо весь ваш трафик туннелируется через VPN.
Я бы подумал, что переключает данные интерфейса SNMP для интерфейсов, которые хост получает больше данных и / или отправляет меньше данных, чем в среднем. Ищите что-нибудь за пределами стандартного отклонения, и вы, вероятно, найдете людей, которые, скорее всего, будут делать то, чего им не следует.
Хотя это могут быть не просто снифферы, они могут найти заядлых наблюдателей за hulu / netflix.
У ваших коммутаторов / маршрутизаторов также могут быть функции, за которыми нужно следить и ловить людей, пытающихся отравить таблицы arp, что также было бы довольно большим подарком.
Концентраторы (или действительно старые сетевые установки, такие как Thinnet / Thicknet) постоянно передают все данные по сети. Любой подключенный к сети увидит каждый пакет в своем локальном сегменте. Если вы установите свою сетевую карту в неразборчивый режим (читать все пакеты, а не только те, которые отправлены непосредственно вам) и запустите программу захвата пакетов, вы сможете видеть все, что происходит, анализировать пароли и т. Д.
Коммутаторы работают как сетевые мосты старой школы - они передают трафик через порт только в том случае, если он а) является широковещательным б) предназначен для этого устройства.
Коммутаторы поддерживают кэш, указывающий, какие MAC-адреса на каком порту находятся (иногда к порту гирляндой подключается концентратор или коммутатор). Коммутаторы не реплицируют весь трафик на все порты.
Коммутаторы более высокого уровня (для использования в бизнесе) могут иметь специальные порты (Span или Management), которые можно настроить для репликации всего трафика. ИТ-отделы используют эти порты для отслеживания трафика (легального сниффинга). Обнаружить несанкционированное прослушивание должно быть легко - посмотрите на коммутатор и посмотрите, не подключено ли что-нибудь к этому порту.