En la LAN, Sniffer es una amenaza muy grande. usuarios maliciosos pueden ver algunos documentos clasificados y de tomar y algunos de la privacidad personal. Sniffer tiene una amenaza para la seguridad, pero puede ser fácilmente arriba y abajo de la Internet para su descarga gratuita e instalarlo en la PC. Sin embargo, hasta ahora, no hay buena manera de detectar que el PC para instalar el software Sniffer. En este documento se discutirá el uso de paquetes ARP para detectar los de la empresa y la escuela LAN Olfateando el usuario malintencionado.
Modo de red tarjeta de promiscuos: Abra la puerta trasera para robar información Sniffer
LAN Ethernet se forma a menudo. Ethernet se utiliza en el protocolo IPv4, los datos se transmiten en abierto, a menos que el uso de software de cifrado. Cuando los usuarios envían información a la red, sólo esperaba que la otra parte de los usuarios de la red puede recibir. Por desgracia, el sistema Ethernet para usuarios no autorizados de la información de espionaje.
Sabemos que en Ethernet, la información será enviada a todos los nodos de la red, algunos nodos para recibir la información, y algunos de los nodos simplemente descartar la información. La información recibida o tirados por la tarjeta de red para controlar. NIC no recibirá todos los paquetes enviados a la red local, incluso si se conecta a la red Ethernet, al contrario, se filtrarán los paquetes específicos. En este documento, llamaremos a este filtro de hardware de filtro de la tarjeta de red. Sniffer se establecerá en una tarjeta de patrón específico, por lo que la tarjeta puede recibir todos los paquetes entrantes, y no si no es la dirección de destino especificada por estos paquetes. Este modelo se denomina tarjeta de red en modo promiscuo.
Sniffer recibir todos los paquetes, en lugar de enviar paquetes ilegales. De modo que no interfiera con el normal funcionamiento de la red, es difícil detectar este comportamiento malicioso. Aun así, el modo de la tarjeta de red promiscua es claramente diferente de la pauta normal. Un paquete debería haber sido filtrada en este modo se les permitirá llegar al núcleo. ¿No es para responder depende del núcleo del sistema.
Buscar debilidad fatal Sniffer para robar
Probamos el método con un modelo híbrido ejemplos del mundo real para emular. Suponiendo que la habitación está en una reunión. Un oído atento a que dependen de la pared de su sala de conferencias. Cuando se le pidió, que contendrá la respiración, escuchando en silencio a la sala de conferencia de todo el diálogo. Pero si alguien le gritó a la reunión en su nombre, "MR. **?" Espías a veces responde "¡SÍ!" Esta analogía parece absurdo, pero es realmente utilizado en las pruebas de red en el sniffing. Porque SINFFER recibir todos los paquetes, incluidos los que no lo han enviado, lo que podría ser tarjeta de red que debería haber sido filtrada para responder al paquete de forma incorrecta. Por lo tanto, las pruebas de modo mixto de la siguiente manera: todos los nodos en la red el envío de paquetes ARP solicitud, comprobar el paquete de respuesta ARP no está allí.
Para explicar este principio, en primer lugar, hemos aprendido de la tarjeta de red en modo promiscuo, y la diferencia entre iniciar el modo normal. Todos tienen una dirección de hardware de Ethernet de 6 bytes. Fabricantes de asignar estas direcciones, y cada dirección es única. Teóricamente, no hay dos la misma tarjeta de red dirección de hardware. Ethernet se basa en el intercambio de información basada en la dirección de hardware. Pero la tarjeta para poder recibir diferentes tipos de paquetes de datos, puede crear diversos mecanismos de filtrado. Son una variedad de mecanismos de filtro en la tarjeta de la siguiente manera:
Unidifusión (unicast)
Recibir toda la dirección de destino y la tarjeta de red como la dirección hardware del paquete.
Radio (Broadcast)
Recibir todos los paquetes de difusión. paquete de difusión dirección de destino es FFFFFFFFFFFF. Este modelo es ser capaz para recibir a quienes desean llegar a todos los nodos en los paquetes de red.
Multidifusión (multicast)
Recibir todos los grupos pre-registrados de los paquetes de buena específicos. Sólo los que los grupos pre-inscritos recibirán tarjetas.
Todos multicast (multidifusión Todos)
Recibir toda la multidifusión. Este modelo y los protocolos asociados superior, este modo recibirá todos los bits de multidifusión establece en 1 paquete.
Híbrido (Promiscuous)
Recibir todos los paquetes, independientemente de la dirección de destino es.
La cifra indicada en el modo normal y modo mixto, el modo de filtro de hardware de operación. Normalmente, la tarjeta se establezca el filtro de hardware unicast, broadcast y multicast un modelo. Tarjeta sólo para recibir la dirección de destino y su dirección de hardware, como dirección de broadcast (FF: FF: FF: FF: FF: FF) y una dirección de multidifusión (01:00:5 E: 00:00:01).
ARP kits de prueba para identificar el nodo modo promiscuo
Como se dijo anteriormente, el sistema de tarjeta en modo promiscuo en modo normal y el filtrado de paquetes es diferente. Cuando la tarjeta está en modo mixto, de lo contrario el paquete se les permitirá llegar al núcleo del filtro. El uso de este mecanismo, se establece un nuevo mecanismo para detectar ganglios modo promiscuo: Si la dirección de destino no es la construcción de una dirección de difusión de los paquetes ARP, lo remitirá a la red de cada nodo, el nodo si se determina que tienen alguna respuesta, a continuación, estos nodos trabajar en modo promiscuo.
Nosotros simplemente mirar una petición ARP normal y el modo de respuesta de la operación. En primer lugar, para producir un paquete de solicitud ARP de resolución 192.168.1.10. Su objetivo es abordar es la dirección de difusión, todos los nodos de la red para recibir. En teoría, sólo la dirección IP del nodo será la respuesta consistente.
Sin embargo, si el paquete ARP dirección de destino se establece en la dirección de no difusión? Por ejemplo, si la dirección de destino establecido en 00-00-00-00-00-01? Cuando la tarjeta está en modo normal, el paquete será considerado "OTHERHOST A "paquete, será la tarjeta de red filtro de hardware rechazada. Sin embargo, si la tarjeta de red en modo promiscuo, la tarjeta no realiza operaciones de filtrado. Lo tanto, empaque se permitirá llegar al núcleo. El núcleo podrá pensar que paquete de petición ARP llega, porque contiene la misma dirección IP con el PC, por lo que será la de responder a los paquete de solicitud. Sin embargo, es curioso que el paquete del núcleo, de hecho, no tiene una respuesta (a continuación). Este sorprendente resultado muestra la existencia de otro kernel mecanismo de filtrado, porque en realidad el paquete del núcleo para ser filtrada. Llamamos a este software de filtrado de filtrado.
Por otra parte, la detección del modelo híbrido se puede filtrar de la comparación de hardware y software de filtros para lograr la distinción. Hardware filtrado de paquetes normalmente blindado ilegal. Si un paquete a través del filtro de hardware, a menudo es filtrada a través del software. Tenemos la visión de la construcción del filtro de hardware se rechaza al mismo tiempo se filtra a través del paquete de software. Mediante el envío de un paquete, el modo normal de NIC no responde, y la tarjeta de red en modo promiscuo responderá.
Sniffer agrietado el robo de software por filtración
Software establecer filtros sobre la base del kernel del sistema operativo, de modo de comprender el filtro de software deben entender cómo trabajar el núcleo del sistema operativo. de fuente abierta Linux, así que usted puede tener acceso a su software de filtrado de mecanismo. Pero no es de Microsoft del código fuente de Windows abiertos, el software de filtrado sólo se puede adivinar por el experimento hasta el razonamiento.
1) LINUX
módulo Ethernet de LINUX, de acuerdo con la dirección los distintos paquetes se pueden dividir en las siguientes categorías:
Paquetes de difusión:
FF: FF: FF: FF: FF: FF
Paquetes de multidifusión:
Además de los paquetes de difusión, el grupo identificó la ubicación de un paquete.
TO_US PAQUETES:
Todo el hardware dirección de la dirección de destino y tarjeta de red como un paquete.
OTHERHOST PAQUETES:
Todos la dirección de destino y la dirección de hardware de tarjeta de red diferentes paquetes.
En este caso, asumimos que la identidad de grupo es la posición de un paquete de paquetes de multidifusión. Correspondiente paquete de multidifusión IP de direcciones de red Ethernet es 01-00-5E-**-**-**, para MULTICAST la identidad del grupo no sólo debe PAQUETES lugar de diferenciar. Pero, de hecho, esta suposición es correcta, porque 01-00-5E-**-**-** se basa en la red IP, mientras que la dirección de hardware de la tarjeta se puede utilizar en otro protocolo de capa superior.
En segundo lugar, nos fijamos en el módulo ARP LINUX. módulo ARP rechazará todos los paquetes OTHERHOST. Al mismo tiempo, será Broadcast, Multicast, y los paquetes TO_US responder. Eso significa que en el hardware y el software de filtrado de la respuesta del filtro. Se nos ha dado seis tipos diferentes de paquetes enviados a la dirección de la tarjeta, los filtros de hardware y software de filtros es cómo hacerlo.
MODO NORMAL GR BIT modo promiscuo
FILTRO FILTRO HW SW HW RES RES FILTRO FILTRO SW
TO_US OFF PASS PASS Y PASS PASS Y
OTHERHOST RECHAZAR - N PASS RECHAZAR N
BROADCAST ON PASS PASS Y PASS PASS Y
MULTICAST
(EN LA LISTA) PASS PASS Y PASS PASS Y
MULTICAST
(NO EN LA LISTA) RECHAZAR - PASS PASS Y N
GRUPO DE RECHAZO - PASS PASS Y N
TO_US PAQUETES:
Cuando la tarjeta de red en un modo normal, todos los paquetes TO_US filtrada a través de hardware, pero también a través de filtros de software, el módulo ARP responderá a dicho paquete, independientemente de si la tarjeta de red en modo promiscuo.
OTHERHOST PAQUETES:
Cuando la tarjeta está en modo normal, se negará a PAQUETES OTHERHOST. Incluso cuando la tarjeta de red en modo promiscuo, el filtro de software rechazar este tipo de paquete. Por tanto, no responderá a las peticiones ARP.
BROADCAST PAQUETE:
En el modo normal, paquetes de difusión filtrada a través de hardware y software de filtrado. Por lo tanto, no importa qué tarjeta de red en modo en el paquete tendrá que responder.
Paquetes de multidifusión:
En el modo normal, no en el grupo de lista de preselección de las direcciones de los paquetes serán rechazadas. Sin embargo, si la tarjeta de red en modo promiscuo, este tipo de paquete se filtra por el hardware, sino también porque los filtros de software no va a rechazar este tipo de paquete, así que va a generar una respuesta. En este caso, la tarjeta será en modelos diferentes producen resultados diferentes.
GRUPO paquetes de bits:
BROADCAST MULTICAST paquete o no, pero la ubicación de una identidad de grupo. En el modo normal, rechazará un paquete, mientras que en modo promiscuo, este paquete será pasado. Y debido a que este paquete será considerado un paquete de multidifusión software de filtrado, así que este paquete de software a través del filtro. posición del Grupo 1 sobrecito logotipo puede ser utilizado para detectar el modo promiscuo.
2) WINDOWS
WINDOWS sistema operativo de código no abierto, no podemos ver su código fuente para analizar el filtro de software. Por el contrario, sólo puede aproximarse a través de experimentos para probar su filtro de software. Los siguientes siete tipos de direcciones de Windows utilizan son:
FF-FF-FF-FF-FF-FF dirección de difusión:
Todos los contactos recibirán este tipo de paquete, y responder. Normal paquetes de solicitud ARP se utiliza esta dirección.
Dirección falsa BROADCAST FF-FF-FF-FF-FF-FE:
Esta es la última posición 0 falsa dirección de difusión. El software de filtración se utiliza para detectar si desea inspeccionar todos los bits de dirección, entonces responderemos a este paquete.
FF-FF-00-00-00-00 FAKE BROADCAST 16 BITS:
Esta es sólo las primeras 16 posiciones de una dirección de difusión falso. Se puede considerar una dirección de difusión, sino también en mecanismo de filtrado sólo comprueba los primeros 16 bits será responder a las circunstancias.
FF-00-00-00-00-00 FAKE BROADCAST 16 BITS:
Esta es sólo las primeras 8 posiciones una falsa dirección de difusión. Se puede considerar una dirección de difusión, sino también en mecanismo de filtrado sólo comprueba el primer caso de 8 bits será de responder.
01-00-00-00-00-00 GRUPO dirección de bit:
Sección 1 de la dirección identifica la ubicación, para comprobar si la dirección de multidifusión se tendrán en cuenta.
01-00-5E-00-00-00 dirección de multidifusión 0
Dirección de multidifusión 0 generalmente no se usa. Por eso, pusimos este tipo de dirección como grupo, no están en la lista de direcciones registradas. filtro de Hardware rechazar estos paquetes. Sin embargo, el filtro de software de multidifusión este paquete confundido con un paquete, ya que no comprueba todos los bits. Así que, cuando la tarjeta de red en modo promiscuo, el núcleo del sistema responderá a este paquete.
01-00-5E-00-00-01 dirección de multidifusión 1
Dirección de multidifusión 1 representa una subred LAN de todos los hosts. Por nombre palabras, el filtro de hardware por defecto este tipo de paquete. Pero la existencia de tal posibilidad: Si la tarjeta no soporta el modo de multidifusión, no responderá a este paquete. Por lo tanto, este paquete se puede utilizar para detectar si el host admite direcciones de multidifusión.
Conclusión: Los diferentes sistemas utilizar medidas diferentes
WINDOWS HW ADDR Windows 9x/Me 2K/NT4 LINUX2.2/2.4
NORMAL PROMIS PROMIS NORMAL NORMAL PROMIS
FF: FF: FF: FF: FF: FF RES RES RES RES RES RES
FF: FF: FF: FF: FF: FE - FER - FER - RES
FF: FF: 00:00:00:00 - FER - FER - RES
FF: 00:00:00:00:00 - FER - - - RES
01:00:00:00:00:00 - - - - - RES
01:00:5 E: 00:00:00 - - - - - RES
01:00:5 E: 00:00:01 RES RES RES RES RES RES
En los resultados experimentales, de 7 de dirección que se indica en el cuadro anterior.
Estos resultados están en WINDOWS 95,98, ME, 2000 y obtenida bajo LINUX. Como mencionamos anteriormente, la tarjeta está en modo normal, todo núcleo del sistema estará en la dirección de broadcast y una dirección de multidifusión para responder.
Sin embargo, cuando la tarjeta de red en modo promiscuo, dependiendo del sistema operativo diferente, el resultado será diferente. WINDOWS 95,98, ME y se 8bits FAKE BROADCAST 31,16, y responder. Por lo tanto, podemos considerar Windows 9x filtro de software al comprobar sólo los primeros 8 bits para determinar si la dirección de difusión.
En el Windows 2000, será FAKE BROADCAST 31 y 16bits responder. Así que podemos decir que el filtro de software de Windows 2000 y justo antes de la prueba para determinar si la dirección de 16-bit de difusión.
En Linux, el paquete se ocupará de estas siete de responder. En otras palabras, cuando la tarjeta de red en modo promiscuo, LINUX responderá a estos siete paquetes.
Los siguientes resultados muestran que se puede determinar si el paquete ARP al nodo en modo promiscuo, sin importar el sistema operativo es Windows o Linux. Así que, ¿puede un método simple para detectar la LAN. El siguiente es un proceso de prueba:
1) Estamos tratando de cargar el protocolo IP sobre si la máquina está en la detección de modo promiscuo. Construimos un paquete ARP:
Dirección Ethernet de destino FF: FF: FF: FF: FF: FE
Ethernet dirección del remitente NIC Dirección del dispositivo
Tipo de protocolo (ARP = 0806) 0806
Espacio de direcciones de hardware (Ethernet = 01) 0001
Protocolo de espacio de direcciones (IPv4 = 0800) 0800
longitud de byte de la dirección de hardware 06
Byte longitud de dirección de protocolo de 04
Opcode (petición ARP = 01, ARP respuesta = 02) 0001
Hardware dirección del remitente de este paquete
Protocolo de la dirección del remitente de este paquete de dirección IP
Dirección de hardware del objetivo de este paquete 00:00:00:00:00:00
dirección de Protocolo de la meta de este paquete (dirección quiere ser comprobado)
2) Construimos completar este paquete, la cual es enviada a la red LAN
3) En circunstancias normales, este paquete será rechazado por el filtro de hardware. Sin embargo, si la máquina está en modo promiscuo, responderá a este paquete. Si recibimos una respuesta, entonces la máquina está en modo promiscuo.
Para probar el modelo híbrido, podemos utilizar las tecnologías mencionadas en 7 de todas las máquinas de la LAN a cabo de forma secuencial. Si algunas máquinas no pueden recibir el paquete ARP, no se utiliza este método.