Im LAN ist Sniffer eine sehr große Bedrohung. Böswillige Benutzer können Sie einige Dokumente und klassifiziert zu nehmen und einige persönliche Privatsphäre ein. Sniffer ist eine solche Bedrohung der Sicherheit, aber es kann leicht auf und ab im Internet zum kostenlosen Download und Installation des PC. Doch bisher gibt es keine gute Möglichkeit zu erkennen, die den PC mit dem Sniffer-Software zu installieren. Dieses Dokument wird über die Verwendung von ARP-Paketen, um diese in die Firma und die Schule LAN Sniffing der böswillige Benutzer zu erkennen.
Netzwerkkarte Promiscuous Mode: Öffnen Sie die Tür zurück, um Informationen zu stehlen Sniffer
Ethernet LAN ist oft gebildet. Ethernet ist das IPv4-Protokoll verwendet, Daten in die übertragen wird klar, wenn sie den Einsatz von Verschlüsselungssoftware. Wenn Benutzer Informationen an das Netzwerk senden, er hoffte nur, dass die andere Seite des Netzes Benutzer empfangen können. Leider ist das Ethernet-System, um Unbefugte von den Lauschangriffen Informationen.
Wir wissen, dass in Ethernet, die Informationen an alle Knoten im Netz gesendet werden, werden einige Knoten erhalten diese Informationen, und einige der Knoten wird einfach verwerfen die Informationen. Information empfangen oder verworfen von der Netzwerkkarte zu kontrollieren. NIC nicht erhalten alle Pakete an den LAN, auch wenn es an das Ethernet angeschlossen, im Gegenteil, wird es spezielle Pakete herausfiltern. In diesem Dokument werden wir nennen das Hardware-Filter Filter für die Netzwerkkarte. Sniffer wird zu einem bestimmten Muster Karte gesetzt werden, so-Karte kann alle eingehenden Pakete zu empfangen, und nicht, ob es sich nicht um die Zieladresse durch diese Pakete angegeben. Dieses Modell heißt Promiscuous Mode Netzwerkkarte.
Sniffer erhalten alle Datenpakete anstelle von Senden illegale Pakete. So ist es nicht mit dem normalen Betrieb des Netzes beeinträchtigen, ist es schwierig, diese bösartiges Verhalten zu erkennen. Trotzdem ist die Netzwerkkarte den Promiscuous-Modus unterscheidet sich deutlich von den üblichen Muster. Ein Paket sollte in diesem Modus wird gefiltert worden sind erlaubt dem Kernel zu gelangen. Ist das nicht zu reagieren, hängt von der System-Kernel.
Wer sucht, um zu stehlen die verhängnisvolle Schwäche des Sniffer
Wir testen die Methode mit einem Hybrid-Modell der realen Welt Beispiele zu emulieren. Angenommen, das Zimmer ist in einer Besprechung. Ein offenes Ohr, die sich verlassen mit seinem Konferenzraum Wand. Als er angezapft wurde, wird er halten Sie den Atem, leise Musik hören in den Konferenzraum aller Dialog. Allerdings, wenn jemand rief bei dem Treffen in seinem Namen, "MR. **?" Lauscher manchmal würde antworten: "JA!" Diese Analogie scheint absurd, aber ist ja in der Prüfung auf der Netzwerk-Sniffing verwendet. Weil SINFFER erhalten alle Pakete, einschließlich derer, die es noch nicht geschickt, so könnte es Netzwerkkarte, gefiltert haben sollte, um das Paket falsch reagieren. Deshalb haben wir im gemischten Modus Test auf folgender Basis: alle Knoten im Netzwerk, um ARP-Request-Paket senden, überprüfen Sie die ARP-Antwort-Paket ist nicht da.
Zur Erklärung dieses Prinzips, vor allem haben wir gelernt, von der Netzwerkkarte den Promiscuous-Modus, und der Unterschied zwischen Normal-Modus starten. Alle haben eine 6-Byte-Ethernet-Hardware-Adresse. Hersteller für die Zuweisung dieser Adressen, und jede Adresse ist einmalig. Theoretisch keine zwei gleichen Netzwerk-Hardware-Adresse. Ethernet ist auf den Austausch von Informationen basieren auf der Hardware-Adresse basieren. Aber die Karte, um verschiedene Arten von Daten-Pakete empfangen, können Sie verschiedene Filter-Mechanismen. Gibt eine Vielzahl von Filtermechanismen auf der Karte wie folgt:
Unicast (Unicast)
Erhalten Sie alle die Zieladresse und Netzwerk-Karte als Hardware-Adresse des Pakets.
Radio (Broadcast)
Erhalten Sie alle Broadcast-Pakete. Broadcast-Paket Zieladresse FFFFFFFFFFFF. Dieses Modell ist in der Lage sein für diejenigen, die alle Knoten im Netzwerk-Pakete erreichen wollen, zu erhalten.
Multicast (Multicast)
Erhalten Sie alle vorregistrierten Gruppe von gut-spezifische Pakete. Nur diejenigen, die vorregistriert werden Gruppen erhalten werden Karten.
Alle Multicast (Alle Multicast)
Erhalten Sie alle Multicast. Dieses Modell und die damit verbundenen oberen Protokolle, wird dieser Modus erhalten alle Multicast-Bit gesetzt, um 1 Päckchen.
Hybrid (Promiscuous)
Erhalten Sie alle Pakete unabhängig von der Zieladresse.
Die Figur, die in der normalen Modus und gemischtem Modus, die Hardware-Filter Betriebsweise. Normalerweise wird die Karten-Set die Hardware-Filter Unicast-, Broadcast-und Multicast-Modell. Card erhalten nur die Zieladresse und seine Hardware-Adresse, als Broadcast-Adresse (FF: FF: FF: FF: FF: FF) und Multicast-Adresse 1 (01:00:5 E: 00.00.01).
ARP-Testkits zu identifizieren Promiscuous Mode Knoten
Wie bereits erwähnt, die Karte in den Promiscuous-Modus auf den normalen Modus und Paketfilterung gesetzt ist anders. Wenn die Karte in den gemischten Modus gesetzt, ansonsten wird das Paket erlaubt die Filter-Kernel zu erreichen. Mit diesem Mechanismus haben wir neue Mechanismen zur Promiscuous Mode Knoten erkennen: Wenn die Zieladresse ist nicht an eine Broadcast-Adresse des ARP-Paket bauen, schicken Sie es an das Netz jeden Knoten, der Knoten, wenn festgestellt haben einige Reaktion, dann sind diese Knoten Arbeiten im Promiscuous Mode.
Wir sehen einfach auf einem normalen ARP Request und Response Betriebsweise. Erstens, zu lösen 192.168.1.10 produzieren ARP-Request-Paket. Es zielt darauf ab Adresse ist die Broadcast-Adresse, an alle Knoten im Netzwerk zu erhalten. In der Theorie, sondern nur die IP-Adresse des Knotens wird die schlüssige Antwort.
Allerdings, wenn die ARP-Paket Zieladresse ist die Non-Broadcast-Adresse eingestellt? Zum Beispiel, wenn das Ziel, 00-00-00-00-00-01 gesetzt Adresse? Wenn die Karte im Modus "Normal ist, das Paket betrachtet wird" TO otherhost werden "Paket, es wird die Netzwerkkarte Hardware-Filter werden abgelehnt. Allerdings, wenn die Netzwerkkarte im Promiscuous Mode, dann die Karte nicht durchführen Filterung Operationen. Also packt erhalten die Möglichkeit, den Kernel zu erreichen. Der Kernel wird denken, dass ARP-Request-Paket eintrifft, weil es die gleiche IP-Adresse mit dem PC enthält, so dass es sein wird, den Antrag Paket zu reagieren. Es ist jedoch merkwürdig, dass das Kernel-Paket in der Tat nicht eine Reaktion (unten). Dieses überraschende Ergebnis zeigt das Vorhandensein von anderen Kernel-Filter-Mechanismus, da in der Tat das Kernel-Paket zu filtern. Wir nennen diesen Filter-Software-Filterung.
Auch die Erkennung der Mixed-Mode-Filter aus dem Vergleich von Hard-und Software-Filter, um die Unterscheidung zu erreichen. Hardware-Filterung ist in der Regel illegale Pakete abgeschirmt. Wird ein Paket durch die Hardware-Filter, ist es oft gefiltert durch die Software. Wir sehen den Aufbau der Hardware-Filter ist zur gleichen Zeit Filterung durch das Software-Paket abgelehnt. Mit dem Absenden ein solches Paket, wird der normale Modus der NIC nicht reagiert, und den Promiscuous Mode Netzwerkkarte reagieren wird.
Sniffer-Software geknackt Diebstahl durch Filtration
Software-Filter auf der Grundlage der Kernel des Betriebssystems gesetzt, so dass die Software-Filter zu verstehen muss verstehen, wie man den Kernel des Betriebssystems arbeiten. Linux Open Source, so können Sie die Software zugreifen Filtermechanismus. Aber Nicht-Microsoft-Windows-Quellcode zu öffnen, Filterung der Software kann nur aus dem Experiment bis Argumentation zu erraten.
1) LINUX
Ethernet-Modul in LINUX, nach Adresse der verschiedenen Pakete lassen sich in folgende Kategorien unterteilt werden:
Broadcast-Pakete:
FF: FF: FF: FF: FF: FF
Multicast-Pakete:
Neben den Broadcast-Pakete, identifizierte die Gruppe den Standort eines Paketes.
TO_US Pakete:
Alle Hardware-Adresse des Ziel-Adresse und Netzwerkkarte als Paket.
Otherhost Pakete:
All die Zieladresse und Netzwerk-Hardware-Adresse anderes Paket.
Hier gehen wir davon aus, dass Gruppenidentität ist Position 1 Päckchen Multicast-Pakete. Entsprechende IP-Multicast-Paket Ethernet-Netzwerk-Adresse ist 01 bis 00-5E-**-**-**, so Multicast-Pakete Gruppenidentität soll nicht nur Ort, um zu differenzieren. Doch in Wirklichkeit ist diese Annahme richtig ist, weil die 01 bis 00-5E-**-**-** basiert auf dem IP-Netzwerk basiert, während die Karte Hardware-Adresse in anderen obere Schicht-Protokoll verwendet werden kann.
Zweitens betrachten wir die ARP-Modul LINUX. ARP-Modul wird lehnen alle otherhost Pakete. Gleichzeitig wird es Broadcast, Multicast und TO_US PAKETE werden zu reagieren. Das bedeutet, dass unter den Hard-und Software-Filter Filter Antwort. Wir sind sechs verschiedene Arten von Paketen gegebenen Adresse geschickt, um die Karte ist die Hardware-und Software-Filter filtert wie zu tun.
GR BIT NORMAL MODE Promiscuous Mode
HW SW FILTER FILTER FILTER RES HW SW FILTER RES
TO_US OFF PASS PASS PASS PASS Y Y
Otherhost REJECT - N PASS REJECT N
Sendung am PASS PASS PASS PASS Y Y
MULTICAST
(In der Liste) PASS PASS PASS PASS Y Y
MULTICAST
(NICHT in der Liste) REJECT - PASS PASS N Y
GROUP REJECT - PASS PASS N Y
TO_US Pakete:
Wenn die Netzwerkkarte in einem normalen Modus werden alle Pakete durch TO_US Hardware gefiltert, sondern auch durch Software-Filtern, wird die ARP-Modul, um ein solches Paket zu reagieren, unabhängig davon, ob die Netzwerkkarte im Promiscuous Mode.
Otherhost Pakete:
Wenn die Karte im normalen Modus, wird otherhost PAKETE verweigern. Selbst wenn die Netzwerkkarte im Promiscuous-Modus, wird die Software-Filter lehnen diese Art der Verpackung. Daher wird nicht auf ARP-Anfragen reagieren.
Broadcast-Paket:
Im normalen Modus, gefiltert Broadcast-Pakete durch Hard-und Software-Filterung. Deshalb, egal in welchem Modus Netzwerkkarte in dem Paket zu reagieren.
Multicast-Pakete:
Im normalen Modus, nicht in der Gruppe vorregistriert Liste der Adressen der Pakete werden abgelehnt. Allerdings, wenn die Netzwerkkarte im Promiscuous Mode, diese Art von Paket von der Hardware gefiltert werden, sondern auch, weil die Software-Filter nicht ablehnen, wird diese Art der Verpackung, so wird eine Reaktion zu erzeugen. In diesem Fall wird die Karte in verschiedenen Modellen zu unterschiedlichen Ergebnissen führen.
GROUP BIT Pakete:
Broadcast Multicast-Paket oder nicht, sondern die Position einer Gruppe Identität. Im normalen Modus, wird dieses Paket ablehnen, während im Promiscuous Mode, dieses Paket verabschiedet wird. Und weil dieses Paket wird als Multicast-Packet-Filter-Software, so dass dieses Paket durch die Software-Filter. Group logo Position 1 Päckchen können verwendet werden, um den Promiscuous-Modus zu erkennen.
2) Windows
WINDOWS Nicht-Open-Source-Betriebssystem, können wir nicht sehen, den Quellcode der Software-Filter zu analysieren. Im Gegenteil, wir können nur durch Experimente Ansatz für ihre Software-Filter testen. Die folgenden sieben Arten von Adressen werden Windows verwenden:
FF-FF-FF-FF-FF-FF Broadcast-Adresse:
Alle Kontakte erhalten diese Art von Paket und zu reagieren. Normal ARP-Request-Pakete erfolgt über diese Adresse.
FF-FF-FF-FF-FF-FE FAKE Broadcast-Adresse:
Dies ist die letzte einer gefälschten Broadcastadresse Lage 0. Filtering-Software wird verwendet, um festzustellen, ob alle Bits der Adresse zu inspizieren, dann wird dieses Paket zu reagieren.
FF-FF-00-00-00 bis 00 FAKE BROADCAST 16 Bits:
Dies ist nur die ersten 16 Positionen eine gefälschte Adresse gesendet. Es kann als eine Broadcast-Adresse, sondern nur in den Filter-Mechanismus vor dem Test bei 16-Bit wird reagiert.
FF-00 bis 00-00-00 bis 00 FAKE BROADCAST 16 Bits:
Dies ist nur die ersten 8 Positionen eine gefälschte Adresse gesendet. Es kann als eine Broadcast-Adresse, sondern auch in Filtermechanismus prüft nur die ersten 8-Bit-Fall wird reagiert.
01-00-00-00-00-00 GROUP Bit-Adresse:
Abschnitt 1 der Adresse Standort Identifikation, um zu überprüfen, ob die Multicast-Adresse berücksichtigt werden.
01 bis 00-5E-00-00 bis 00 MULTICAST Adresse 0
Multicast-Adresse 0 wird normalerweise nicht verwendet. Also haben wir diese Art von Adresse als Gruppe sind nicht in der Liste der registrierten Adressen. Hardware-Filter werden diese Pakete verwerfen. Allerdings wird die Software-Filter Multicast dieses Paket für ein Paket irre, weil sie nicht alle die Bits. Also, wenn die Netzwerkkarte im Promiscuous Mode, das System-Kernel wird dieses Paket zu reagieren.
01 bis 00-5E-00-00 bis 01 MULTICAST Adresse 1
Multicast Address 1 stellt eine LAN-Subnetz aller Hosts. Wörter für Namen, Hardware-Filter wird standardmäßig diese Art der Verpackung. Aber die Existenz einer solchen Möglichkeit: Wenn die Karte nicht unterstützt Multicast-Modus, wird es nicht, dieses Paket zu reagieren. Daher kann dieses Paket verwendet, um festzustellen, ob die Host-Multicast-Adressen unterstützt werden.
Fazit: Verschiedene Systeme verwenden verschiedene Maßnahmen
HW ADDR Windows 9x/ME WINDOWS 2K/NT4 LINUX2.2/2.4
PROMIS PROMIS NORMAL NORMAL NORMAL PROMIS
FF: FF: FF: FF: FF: FF RES RES RES RES RES RES
FF: FF: FF: FF: FF: FE - RES - RES - RES
FF: FF: 00:00:00:00 - RES - RES - RES
FF: 00:00:00:00:00 - RES - - - RES
01:00:00:00:00:00 - - - - - RES
01:00:5 E: 00:00:00 - - - - - RES
01:00:5 E: 00.00.01 RES RES RES RES RES RES
Auf der experimentellen Ergebnisse von 7-Adresse in der obigen Tabelle aufgeführt.
Diese Ergebnisse sind in Windows 95,98, ME, 2000 und erreicht unter Linux. Wie oben erwähnt, wird die Karte im normalen Modus, werden alle System-Kernel auf der Broadcast-Adresse und Multicast-Adresse 1 sein zu antworten.
Allerdings, wenn die Netzwerkkarte im Promiscuous Mode, abhängig von Ihrem Betriebssystem, das Ergebnis anders sein wird. WINDOWS 95,98 und ME wird FAKE BROADCAST 31,16 und 8bits reagieren. Deshalb können wir prüfen, WINDOWS 9x Software-Filter bis zu nur überprüfen, die ersten 8 Bits zu bestimmen, ob die Broadcast-Adresse.
In Windows 2000, wird es FAKE BROADCAST 31 und 16 Bit zu reagieren. So können wir sagen, dass die Software-Filter WINDOWS 2000 bis kurz vor der Prüfung, ob die 16-Bit-Broadcast-Adresse zu ermitteln.
Unter Linux wird das Paket-Adresse bei allen diesen sieben reagiert. In anderen Worten, wenn die Netzwerkkarte in den Promiscuous Mode, LINUX, diese sieben Pakete reagieren.
Die folgenden Ergebnisse zeigen, dass wir feststellen können, ob die ARP-Paket an den Knoten im Promiscuous-Modus, unabhängig vom Betriebssystem WINDOWS oder LINUX ist. So kann eine solche einfache Methode zur Ermittlung des LAN. Das folgende ist ein Test-Prozess:
1) Wir versuchen, die IP-Protokoll auf, ob die Maschine in den Promiscuous Mode-Erkennung zu laden. Wir bauen ein ARP-Paket:
Ethernet-Adresse des Ziel-FF: FF: FF: FF: FF: FE
Ethernet-Adresse des Absenders NIC's Device address
Protokoll-Typ (ARP = 0806) 0806
Hardware-Adressraum (Ethernet = 01) 0001
Protokoll-Adressraum (IPv4 = 0800) 0800
Byte Länge der Hardware-Adresse 06
Byte Länge der Protokoll-Adresse 04
Opcode (ARP-Request = 01, ARP-Antwort = 02) 0001
Hardware-Adresse des Absenders dieses Paketes
Protokoll-Adresse des Absenders dieses Paketes IP-Adresse
Hardware-Adresse des Ziel dieses Paket 00:00:00:00:00:00
Protokoll-Adresse des Ziel dieses Paket (Anschrift wollen kontrolliert werden)
2) Wir bauen komplette dieses Paket, schicken wir es an das LAN
3) Unter normalen Umständen wird dieses Paket durch die Hardware-Filter zurückgewiesen werden. Allerdings, wenn die Maschine in den Promiscuous-Modus, wird es dieses Paket zu reagieren. Wenn wir eine Antwort erhalten, dann ist die Maschine in den Promiscuous Mode.
Um zu testen, die Hybrid-Modell, können wir die Technologien in 7 der alle Maschinen auf der LAN durchgeführt sequenziell erwähnt. Wenn einige Maschinen nicht empfangen kann der ARP-Paket, wird es diese Methode nicht verwenden.