I LAN, er Sniffer en meget stor trussel. Ondsindet bruger kan se nogle klassificerede dokumenter og tage, og nogle af privatlivets fred. Sniffer har sådan en trussel mod sikkerheden, men det kan være let op og ned på internettet til gratis download og installere PC. Men indtil videre er der ingen god måde at opdage, hvem PC for at installere Sniffer software. Dette dokument vil diskutere brugen af ARP pakker til at opdage dem i virksomheden og skolen LAN Sniffing den ondsindede bruger.
Netværkskort flane mode: Åbn bagdøren til at stjæle oplysninger Sniffer
Ethernet LAN er ofte dannet. Ethernet er anvendt i IPv4-protokollen, er data overføres i den klare, medmindre brugen af krypteringssoftware. Når brugere sender oplysninger til netværket, han kun håbe, at den anden side af brugerne af nettet kan modtage. Desværre Ethernet system til uautoriserede brugere af aflytning oplysninger.
Vi ved, at Ethernet, vil oplysningerne blive sendt til alle knuder i nettet, vil nogle noder modtager denne information, og nogle af de node vil simpelthen skille sig af med oplysninger. Oplysninger, der modtages eller bortskaffes ved netværkskortet til kontrol. NIC vil ikke modtage alle pakker sendt til internet, selv om det er forbundet til Ethernet, den vil tværtimod filtrere specifikke pakker. I dette dokument, vil vi kalde dette filter hardware filter for netværkskortet. Sniffer vil blive sat til et bestemt mønster-kortet, så kortet kan modtage alle indkommende pakker, og ikke, om det ikke er destinationsadresse angivet af disse pakker. Denne model kaldes promiskuøs tilstand netværkskort.
Sniffer modtage alle de pakker, i stedet for at sende ulovlige pakker. Så det ikke forstyrrer den normale drift af nettet, er det vanskeligt at opdage denne ondsindede opførsel. Alligevel netværkskortet promiskuøs tilstand er klart forskellig fra den normale mønster. En pakke skulle have været filtreret i denne tilstand vil have lov til at nå kernen. Er det ikke at reagere afhænger af det system kerne.
De, der forsøger at stjæle den fatale svaghed Sniffer
Vi flane mode påvisningsmetode ved hjælp af en real-verden eksempler til at simulere. Hvis det antages værelse er på et møde. En lytter øre, der er afhængige af med sin mødelokale væg. Da han var aflyttet, vil han holde vejret, stille og roligt at lytte til konferencerum af alle dialog. Men hvis nogen råbte på mødet i hans navn, "MR. **?" Aflytning undertiden ville svare "JA!" Denne analogi synes absurd, men er faktisk anvendes til kontrol netværk snuse på. Fordi SINFFER modtage alle de pakker, herunder dem, der ikke har sendt det, så det kan godt være netkort, som skulle have været filtreret til at reagere på pakken forkert. Derfor har vi mixed mode test på følgende grundlag: alle knuder i netværket om at sende ARP anmodning pakke, tjekke ARP svar pakken er der ikke.
At forklare dette princip, først og fremmest lærte vi fra netkort promiskuøs tilstand, og forskellen mellem normal tilstand start. Alle har en 6-byte Ethernet MAC-adresse. Producenter tildele disse adresser, og hver adresse er unik. Teoretisk set ikke to af samme netkort MAC-adresse. Ethernet er baseret på udveksling af oplysninger baseret på hardware adresse. Men kortet for at modtage forskellige typer af datapakker, kan du oprette forskellige filtrering mekanismer. Er en række filtrering mekanismer på kortet som følger:
Unicast (unicast)
Modtag alle destination adresse og netværkskort, som hardwaren adresse i pakken.
Radio (Broadcast)
Modtag alle broadcast-pakker. Broadcast pakke destinationsadressen er FFFFFFFFFFFF. Denne model er at kunne modtage dem, der ønsker at nå ud til alle noder i netværket pakker.
Multicast (Multicast)
Modtag alle præregistreret gruppe af god-specifikke pakker. Kun dem, der præ-registreret grupper vil modtage kort.
Alle multicast (Alle Multicast)
Modtag alle multicast. Denne model og de tilhørende øvre protokoller, vil denne tilstand modtage alle multicast bit sat til 1 pakke.
Hybrid (Promiscuous)
Modtag alle pakker uanset destination adressen er.
Tallet er angivet i normal tilstand og blandet tilstand, hardware filter driftsform. Typisk vil kortet sætte hardware filter unicast, broadcast og multicast en model. Kort kun at modtage destinationsadressen og dens MAC-adresse, som broadcast adresse (FF: FF: FF: FF: FF: FF) og multicast adresse 1 (01:00:05 E: 00:00:01).
ARP test kits til at identificere flane mode node
Som tidligere nævnt kortet sat til promiskuøs tilstand på normal tilstand og pakkefiltrering er anderledes. Når kortet er sat til mixed mode, ellers pakke vil få lov til at nå filter kerne. Ved brug af denne mekanisme, vi kan skabe en ny mekanisme til at opdage promiskuøs tilstand node: Hvis modtageradressen ikke er at konstruere en broadcast-adresse af ARP pakke, sende den til netværket hver knude, den node, hvis viser sig at have nogle svar, så disse knudepunkter arbejde i promiskuøs tilstand.
Vi har simpelthen se på en normal ARP anmodning og svar funktionsmåde. For det første at løse 192.168.1.10 producere en ARP anmodning pakke. Formålet er at adressen er den broadcast-adresse, til alle noder i netværket modtager. I teorien er det eneste IP-adressen på den knude, vil blive ensartet reaktion.
Men hvis ARP pakke destinationsadresse er indstillet til ikke-broadcast-adresse? For eksempel, hvis modtageradressen sat til 00-00-00-00-00-01? Når kortet er i normal tilstand, vil pakken blive betragtet som "TO OTHERHOST "pakke, vil det være netkortet hardware filter afvist. Men hvis netkort i promiskuøs tilstand, så kortet ikke udføre filtrering operationer. Så pack vil have lov til at nå kernen. Kernen vil mene, at ARP anmodning pakke ankommer, fordi det indeholder de samme IP adresse sammen med pc'en, så det vil være svare på anmodningen pakke. Men det er mærkeligt, at kernen pakke faktisk ikke at udforme et svar (nedenfor). Dette uventede resultat viser, at der findes andre kerne filtrering mekanisme, fordi det faktisk kernen pakke, der skal filtreres. Vi kalder denne filtreringssoftware filtrering.
Endvidere påvisning af den blandede modus filtrering af den sammenligning af hardware og software filtre for at opnå den skelnen. Hardware-filtrering er normalt beskyttet ulovlig pakker. Hvis en pakke gennem hardware filter, er det ofte filtreret gennem software. Vi forestiller os at bygge hardware filter afvises samtidig filtrering gennem softwarepakken. Ved at sende sådan en pakke, vil den normale tilstand af NIC ikke reagere, og promiskuøse mode netværkskort vil reagere.
Sniffer krakkede software tyveri ved filtrering
Software-filtre er oprettet på grundlag af operativsystemets kerne, så at forstå den software filter må forstå, hvordan man kan arbejde i operativsystemets kerne. LINUX open source, så du kan få adgang til sin software filtrering mekanisme. Men ikke-Microsoft Windows kildekode åben, software filtrering kan kun gætte fra forsøget op begrundelse.
1) LINUX
Ethernet-modul i Linux, ifølge behandle de forskellige pakker kan inddeles i følgende kategorier:
Broadcastpakker:
FF: FF: FF: FF: FF: FF
Multicast-pakker:
Ud over at sende pakker, gruppen identificerede placeringen af en pakke.
TO_US PAKKER:
Alle hardware-adressen på destinationen adresse og netværkskort som en pakke.
OTHERHOST PAKKER:
Alle destination adresse og netkort MAC-adresse forskellige pakke.
Her antager vi, at gruppen identitet er position 1 pakke multicast-pakker. Tilsvarende IP Multicast pakke Ethernet-netværk-adresse er 01-00-5E-**-**-**, så multicast-pakker gruppe identitet ikke kun bør sted at differentiere. Men i virkeligheden er denne antagelse korrekt, da 01-00-5E-**-**-** er baseret på IP-netværk, mens kortets MAC-adresse kan bruges i andre øvre lag protokol.
For det andet ser vi på ARP-modulet LINUX. ARP-modul vil afvise alle OTHERHOST pakker. Samtidig vil det være BROADCAST, multicast og TO_US PAKKER reagere. Det betyder under den hardware og software filtrering filter svar. Vi får seks forskellige typer af adresse pakker sendt til kortet, hardware filtre og software filtre er, hvordan man gør.
GR BIT NORMAL MODE flane mode
HW FILTER SW FILTER RES HW FILTER SW FILTER RES
TO_US OFF PASS PASS Y PASS PASS Y
OTHERHOST REJECT - N PASS REJECT N
BROADCAST ON PASS PASS Y PASS PASS Y
Multicast
(På listen) PASS PASS Y PASS PASS Y
Multicast
(Ikke opført på listen) afviser - N PASS PASS Y
GROUP REJECT - N PASS PASS Y
TO_US PAKKER:
Når netværkskortet i en normal tilstand, alle TO_US PAKKER filtreret gennem hardware, men også gennem softwarefiltre vil ARP-modulet reagere på en sådan pakke, uanset om netkort i promiskuøs tilstand.
OTHERHOST PAKKER:
Når kortet er i normal tilstand, vil nægte at OTHERHOST pakker. Selv når netkortet i promiskuøs tilstand, vil softwaren filtrere afvise denne type pakke. Derfor reagerer ikke på ARP-forespørgsler.
BROADCAST Packet:
I normal tilstand, filtreret broadcastpakker gennem hardware og software filtrering. Derfor, uanset hvilken tilstand netkort i pakken vil have til at reagere.
Multicast-pakker:
I normal tilstand, præregistreret ikke i gruppen listen over adresser pakker vil blive afvist. Men hvis netkort i promiskuøs tilstand, vil denne type af emballagen være filtreret af hardware, men også fordi softwarefiltre vil ikke afvise denne type pakke, vil så generere et svar. I dette tilfælde, vil kortet blive i forskellige modeller giver forskellige resultater.
GROUP BIT PAKKER:
BROADCAST Multicast pakke eller ej, men placeringen af en gruppe identitet. I normal tilstand, afviser, sådan en pakke, mens den i promiskuøs tilstand, vil denne pakke være bestået. Og da denne pakke vil blive betragtet som en multicast pakke filtreringssoftware, så denne pakke via software filter. Gruppe logo position 1 pakke kan anvendes til at påvise promiskuøs tilstand.
2) WINDOWS
WINDOWS ikke-open source-operativsystem, kan vi ikke se sin kildekode til at analysere software filter. Tværtimod kan vi kun tilgang gennem eksperimenter for at teste sin software filter. Følgende syv former for adresser er WINDOWS brug:
FF-FF-FF-FF-FF-FF broadcast-adresse:
Alle kontakter vil modtage denne type pakke, og reagere. Normal ARP anmodning pakker gjort brug af denne adresse.
FF-FF-FF-FF-FF-FE FAKE broadcast-adresse:
Dette er den sidste af en falsk broadcast-adresse placering 0. Filtreringssoftware bruges til at afsløre, om at inspicere alle af adressen bits, så vil det reagere på denne pakke.
FF-FF-00-00-00-00 FAKE BROADCAST 16 BITS:
Dette er kun de første 16 positioner en falsk broadcast-adresse. Det kan betragtes som en broadcast-adresse, men også i filtrering mekanisme kontrollerer kun de første 16-bit vil være at reagere på omstændighederne.
FF-00-00-00-00-00 FAKE BROADCAST 16 BITS:
Dette er kun de første 8 positioner en falsk broadcast-adresse. Det kan betragtes som en broadcast-adresse, men også i filtrering mekanisme kontrollerer kun de første 8-bit sag vil blive svare.
01-00-00-00-00-00 GROUP BIT ADRESSE:
Afsnit 1 af adressen placering identifikation, der anvendes til at kontrollere, om multicast-adresse vil blive overvejet.
01-00-5E-00-00-00 multicast-adresse 0
Multicast-adresse 0 er normalt ikke anvendes. Så vi sætter denne type adresse som en gruppe der ikke er på listen over registrerede adresser. Hardware filter vil forkaste disse pakker. Men vil softwaren filtrere multicast denne pakke forvekslet med en pakke, fordi den ikke kontrollere alle de bits. Så når netkortet i promiskuøs tilstand, vil systemet kernen reagere på denne pakke.
01-00-5E-00-00-01 multicast-adresse 1
Multicast-adresse 1 repræsenterer en LAN subnet af alle værter. Ord for navne, hardware filter vil som standard denne type pakke. Men eksistensen af en sådan mulighed: Hvis kortet ikke understøtter multicast mode, vil det ikke reagere på denne pakke. Derfor kan denne pakke anvendes til at påvise, om værten understøtter multicast-adresser.
Konklusion: Forskellige systemer anvender forskellige foranstaltninger
HW adr WINDOWS 9x/ME WINDOWS 2K/NT4 LINUX2.2/2.4
NORMAL lovende NORMAL lovende NORMAL lovende
FF: FF: FF: FF: FF: FF RES RES RES RES RES RES
FF: FF: FF: FF: FF: FE - RES - RES - RES
FF: FF: 00:00:00:00 - RES - RES - RES
FF: 00:00:00:00:00 - RES - - - RES
01:00:00:00:00:00 - - - - - RES
01:00:05 E: 00:00:00 - - - - - RES
01:00:05 E: 00:00:01 RES RES RES RES RES RES
På de eksperimentelle resultater af 7 adresse er anført i tabellen ovenfor.
Disse resultater er i Windows 95,98, ME, 2000 og opnåede under Linux. Som vi nævnte ovenfor, kortet er i normal tilstand, vil alle kerne være på broadcast-adresse og multicast-adresse 1 til at reagere.
Men når netkort i promiskuøs tilstand, afhængigt af dit operativsystem, vil resultatet være anderledes. WINDOWS 95,98 og ME vil FAKE BROADCAST 31,16, og 8BITS reagere. Derfor kan vi overveje Windows 9x software filter op til kun kontrollere de første 8 bit at afgøre, om broadcast-adresse.
I Windows 2000, vil det være FAKE BROADCAST 31 og 16BITS reagere. Så vi kan sige, at softwaren filter WINDOWS 2000 frem til lige før prøven at afgøre, om 16-bit broadcast adresse.
I LINUX, vil pakken fat på alle disse syv reagere. Med andre ord, når netkort i promiskuøs tilstand, vil LINUX Disse syv pakker reagere.
Følgende resultater viser, at vi kan afgøre, om ARP-pakke til knudepunkt i promiskuøs tilstand, uanset operativsystem Windows eller Linux. Så kan sådan en simpel metode til påvisning af LAN. Det følgende er en test proces:
1) Vi forsøger at indlæse IP-protokollen, om maskinen er i promiskuøs tilstand opdagelse. Vi bygger en ARP-pakke:
Ethernet-adresse destination FF: FF: FF: FF: FF: FE
Ethernet-adresse afsenderens NIC's Device adresse
Protokol type (ARP = 0.806) 0.806
Hardware-adresse space (Ethernet = 01) 0001
IP-adresse space (IPv4 = 0800) 0.800
Byte længde Hardware adresse 06
Byte længde af protokol-adresse 04
Opcode (ARP anmodning = 01, ARP svar = 02) 0001
Hardware-adresse afsenderen af denne pakke
Protokol adresse afsenderen af denne pakke IP adresse
Hardware adresse målet for denne pakke 00:00:00:00:00:00
Protokol adresse målet for denne pakke (adresse vil blive kontrolleret)
2) Vi bygger færdiggøre denne pakke, vi sender det til LAN
3) Under normale omstændigheder vil denne pakke blive afvist af hardware filter. Men hvis maskinen er i promiskuøs tilstand, vil det reagere på denne pakke. Hvis vi modtager et svar, så er denne maskine i promiskuøs tilstand.
For at teste hybrid model, kan vi bruge de teknologier, der er nævnt i 7 af alle maskiner på LAN udført sekventielt. Hvis nogle maskiner, der ikke kan modtage ARP pakke, vil den ikke bruge denne metode.