Dans le LAN, Sniffer est une menace très importante. utilisateur malveillant peut voir des documents classifiés et à prendre et certains de la vie privée. Sniffer est une telle menace à la sécurité, mais il peut être facilement monter et descendre l'Internet pour télécharger gratuitement et installer le PC. Toutefois, jusqu'à présent, il n'y a pas moyen de détecter qui est le PC pour installer le logiciel espion. Ce document portera sur l'utilisation de paquets ARP afin de détecter ceux qui dans l'entreprise et l'école LAN Sniffing l'utilisateur malveillant.
de réseau en mode promiscuous carte: Ouvrez la porte de derrière pour dérober des informations Sniffer
Ethernet LAN est souvent formé. Ethernet est utilisé dans le protocole IPv4, les données sont transmises en clair, à moins que l'utilisation de logiciels de cryptage. Lorsque les utilisateurs envoient des informations au réseau, il espérait seulement que de l'autre côté des utilisateurs du réseau peuvent recevoir. Malheureusement, le système Ethernet pour les utilisateurs non autorisés des informations écoute.
Nous savons que l'Ethernet, l'information sera envoyée à tous les nœuds du réseau, certains nœuds reçoivent cette information, et certains de le nœud tout simplement effacer les informations. Les informations reçues ou rejetées par la carte réseau à contrôler. NIC ne recevra pas tous les paquets envoyés sur le réseau local, même si elle connectée à l'Ethernet, au contraire, il sera de filtrer les paquets spécifiques. Dans ce document, nous appellerons ce filtre filtre matériel pour la carte réseau. Sniffer sera réglé sur une carte à motif précis, afin de carte peut recevoir tous les paquets entrants, et non si elle n'est pas l'adresse de destination spécifiée par ces paquets. Ce modèle est appelé carte réseau en mode promiscuous.
Sniffer de recevoir tous les paquets, au lieu d'envoyer des paquets illégaux. Ce n'est donc pas interférer avec le fonctionnement normal du réseau, il est difficile de détecter ce comportement malveillant. Malgré cela, la carte réseau en mode promiscuous est nettement différente de la normale. Un package doit avoir été filtrée dans ce mode seront autorisés à rejoindre le noyau. N'est-ce pas pour répondre dépend le noyau du système.
Ceux qui cherchent à voler la faiblesse fatale de Sniffer
Nous testons la méthode avec des exemples du monde réel modèle hybride pour émuler. En supposant que la chambre est dans une réunion. Une écoute qui comptent sur son mur de la salle de conférence. Quand il était sur écoute, il va retenir votre souffle, tranquillement l'écoute de la salle de conférence de tous les dialogues. Mais si quelqu'un a crié à la réunion en son nom, "MR. **?" Oreilles indiscrètes, parfois d'avis de répondre "OUI!" Cette analogie semble absurde, mais elle est bien utilisée dans les essais sur le réseau de renifler. Parce que SINFFER recevoir tous les paquets, y compris ceux qui ne l'ont pas envoyé, donc il peut être une carte réseau qui aurait dû être filtrée pour répondre à l'ensemble de manière incorrecte. Par conséquent, nous les essais en mode mixte sur la base suivante: tous les noeuds dans le réseau d'envoyer des paquets ARP demande, consultez le paquet de réponse ARP n'est pas là.
Pour expliquer ce principe, tout d'abord, nous avons appris de la carte réseau en mode promiscuous, et la différence entre le début en mode normal. Tous ont une adresse Ethernet sur 6 octets matériel. Les fabricants d'attribuer ces adresses, et chaque adresse est unique. En théorie, il n'ya pas deux adresses différentes matériel de carte réseau. Ethernet est basé sur l'échange d'informations basé sur l'adresse matérielle. Mais la carte afin de recevoir différents types de paquets de données, vous pouvez créer différents mécanismes de filtrage. Existe une variété de mécanismes de filtrage sur la carte comme suit:
Unicast (unicast)
Recevoir toutes les adresses de destination et la carte réseau que l'adresse matérielle de l'ensemble.
Radio (Broadcast)
Recevez tous les paquets de diffusion. Adresse de diffusion de destination du paquet est FFFFFFFFFFFF. Ce modèle est d'être capable de recevoir ceux qui veulent atteindre tous les nœuds du réseau de paquets.
Multidiffusion (multicast)
Recevez tous les groupes pré-inscrits de paquets de bon spécifiques. Seuls ceux qui les groupes pré-inscrits recevront les cartes.
Tous multicast (multidiffusion Tous)
Recevez tous les multicast. Ce modèle et les protocoles associés supérieure, ce mode recevra tous les bits de multidiffusion à 1 paquet.
Hybrid (Promiscuous)
Recevoir tous les paquets indépendamment de l'adresse de destination est.
Le chiffre indiqué dans le mode normal et en mode mixte, le mode de filtrage du matériel d'exploitation. En règle générale, la carte sera mis en unicast le filtre matériel, de diffusion et multidiffusion d'un modèle. Carte que pour recevoir l'adresse de destination et son adresse matérielle, comme l'adresse de diffusion (FF: FF: FF: FF: FF: FF) et l'adresse multicast 1 (01:00:5 E: 00:00:01).
trousses de tests ARP pour identifier noeud mode promiscuous
Comme indiqué précédemment, la carte en mode promiscuous sur le mode normal et le filtrage de paquets est différent. Lorsque la carte est en mode mixte, sinon le paquet sera permis d'atteindre le noyau de filtre. Grâce à ce mécanisme, nous établissons un nouveau mécanisme pour détecter les nœuds en mode promiscuous: Si l'adresse n'est pas le but de construire une adresse de diffusion de l'包 ARP, il est envoyé au réseau chaque noeud, s'il est reconnu que certains nœud a à répondre, puis ces nœuds travailler en mode promiscuous.
Nous avons simplement regarder une demande normale ARP et le mode de réponse de l'opération. Tout d'abord, pour produire un paquet de requête ARP résolution 192.168.1.10. Il vise à répondre à l'adresse de diffusion, tous les nœuds dans le réseau pour recevoir. En théorie, seule l'adresse IP du nœud seront réponse cohérente.
Toutefois, si l'adresse de destination du paquet ARP est fixé pour la non-diffusion? Par exemple, si l'adresse de destination définie à 00-00-00-00-00-01? Lorsque la carte est en mode normal, le colis sera considéré comme «À OTHERHOST "package, il sera le filtre de matériel de carte réseau rejeté. Toutefois, si la carte réseau en mode promiscuous, la carte ne pas effectuer des opérations de filtrage. Donc pack sera permis d'atteindre le noyau. Le noyau pense que le paquet requête ARP arrive, parce qu'il contient la même adresse IP avec le PC, il sera donc de répondre à la demande de paquets. Toutefois, il est curieux que le paquet de noyau en fait ne rend pas une réponse (ci-dessous). Ce résultat surprenant montre l'existence d'autres mécanisme de filtrage du noyau, parce qu'en fait, le paquet de noyau à filtrer. Nous appelons cela un logiciel de filtrage de filtrage.
En outre, la détection de la mode mixte de filtrage de la comparaison du matériel et des filtres logiciels pour atteindre la distinction. Matériel de filtrage est généralement protégé des paquets illégaux. Si un paquet à travers le filtre du matériel, il est souvent filtré par le logiciel. Nous envisageons la construction du filtre matériel est rejeté dans le même temps de filtrage par l'intermédiaire du logiciel. En envoyant un tel paquet, le mode normal de NIC ne répondra pas, et la promiscuité carte réseau en mode répondra.
Sniffer de craquage vol de logiciels de filtrage par
Logiciel filtres mis en place sur la base du noyau du système d'exploitation, afin de comprendre le filtre logiciel doit comprendre comment travailler le noyau du système d'exploitation. Open source Linux, vous pouvez donc accéder à ses logiciels de filtrage mécanisme. Mais le code source non-Microsoft fenêtres ouvertes, le logiciel de filtrage ne peut deviner à partir de l'expérience jusqu'à raisonnement.
1) LINUX
module Ethernet sous Linux, en fonction de l'adresse les différents forfaits peuvent être répartis dans les catégories suivantes:
Paquets de diffusion:
FF: FF: FF: FF: FF: FF
Paquets de multidiffusion:
En plus de diffuser des paquets, le groupe a identifié l'emplacement d'un package.
PAQUETS TO_US:
Toutes les adresses matérielles de l'adresse de destination et la carte réseau comme un ensemble.
PAQUETS OTHERHOST:
Tous les colis l'adresse de destination et l'adresse matérielle de carte réseau différents.
Ici, nous supposons que l'identité du groupe est en position 1 paquet de paquets de multidiffusion. IP correspondante paquet de multidiffusion adresse réseau Ethernet est 01-00-5E-**-**-**, si l'identité du groupe multicast paquets doivent non seulement lieu de faire la différence. Mais, en fait, cette hypothèse est correcte, parce que les 01-00-5E-**-**-** est basé sur le réseau IP, tandis que l'adresse matérielle de la carte peut être utilisée dans le protocole de couche supérieure d'autres.
Deuxièmement, nous examinons le module ARP LINUX. module ARP rejettera tous les paquets OTHERHOST. Dans le même temps, il sera diffusé, le multicast et TO_US PAQUETS répondre. Cela signifie que dans le cadre du matériel et des logiciels de filtrage de réponse du filtre. Nous sommes donné six différents types de paquets envoyés à l'adresse de la carte, les filtres du matériel et des filtres logiciels est de savoir comment faire.
MODE MODE GR BIT NORMAL Promiscuous
FILTRE FILTER HW SW RES HW RES FILTRE FILTER SW
TO_US OFF PASS PASS Y Y
OTHERHOST REJECT - N PASS REJECT N
DIFFUSION SUR PASS PASS Y Y
MULTIDIFFUSION
(Dans la liste) PASS PASS Y Y
MULTIDIFFUSION
(PAS DANS LA LISTE) de rejeter - PASS PASS N Y
GROUPE REJECT - PASS PASS N Y
PAQUETS TO_US:
Lorsque la carte réseau dans un mode normal, tous les paquets TO_US passer le filtre du matériel, et passer le filtre logiciel, le module ARP répondre à un tel paquet, indépendamment du fait que la carte réseau en mode promiscuous.
PAQUETS OTHERHOST:
Lorsque la carte est en mode normal, refusent aux paquets OTHERHOST. Même lorsque la carte réseau en mode promiscuous, le filtre logiciel rejeter ce type de package. Donc pas répondre aux requêtes ARP.
Paquet de diffusion:
En mode normal, les paquets de diffusion filtrée au moyen de matériel et de logiciels de filtrage. Par conséquent, quel que soit le mode carte réseau dans le paquet devra répondre.
Paquets de multidiffusion:
En mode normal, et non des groupes pré-inscrits dans la liste des adresses des paquets seront rejetées. Toutefois, si la carte réseau en mode promiscuous, ce type de colis sera filtrée par le matériel, mais aussi parce que les filtres logiciels ne rejette pas ce type de paquet, il en sera de générer une réponse. Dans ce cas, la carte sera en différents modèles produisent des résultats différents.
Paquets de bits GROUP:
Multidiffusion forfait ou non, mais l'emplacement d'une identité de groupe. En mode normal, rejette un tel paquet, en mode promiscuous, ce paquet sera adopté. Et parce que ce paquet sera considéré comme un paquet de multidiffusion logiciels de filtrage, alors ce paquet à travers le filtre logiciel. Position du logo du groupe 1 paquet peut être utilisé pour détecter le mode promiscuous.
2) WINDOWS
système d'exploitation WINDOWS non open source, nous ne pouvons pas voir son code source pour analyser le logiciel de filtrage. Au contraire, nous ne pouvons avoir accès grâce à des expériences pour tester son logiciel de filtrage. Les sept types d'adresses sont Windows, utilisez:
Adresse de diffusion FF-FF-FF-FF-FF-FF:
Tous les contacts recevront ce type de paquet, et d'y répondre. Normal paquets ARP demande faite en utilisant cette adresse.
FF-FF-FF-FF-FF-FE adresse de diffusion FAKE:
Ceci est le dernier d'une situation fausse adresse de diffusion 0. Logiciel de filtrage est utilisé pour détecter s'il ya lieu d'inspecter tous les bits d'adresse, puis il répondra à ce forfait.
FF-FF-00-00-00-00 FAKE DIFFUSION 16 bits:
Ce n'est que le 16 premières positions une adresse de diffusion de faux. Il peut être considéré comme une adresse de diffusion, mais aussi dans mécanisme de filtrage ne vérifie que le premier 16-bit sera de répondre aux circonstances.
FF-00-00-00-00-00 FAKE DIFFUSION 16 bits:
Ce n'est que le 8 premières positions une adresse de diffusion de faux. Il peut être considéré comme une adresse de diffusion, mais aussi dans mécanisme de filtrage ne vérifie que le premier cas, 8-bit sera de répondre.
01-00-00-00-00-00 adresse bit GROUP:
L'article 1 de l'identification du lieu d'adresse, de vérifier si l'adresse multicast seront considérés.
01-00-5E-00-00-00 adresse de multidiffusion 0
Adresse multicast 0 est généralement pas utilisé. Nous avons donc mis ce type d'adresse en tant que groupe ne sont pas dans la liste des adresses enregistrées. Matériel filtre rejette ces paquets. Toutefois, le filtre logiciel multicast ce paquet pris pour un paquet, car il ne vérifie pas tous les bits. Ainsi, lorsque la carte réseau en mode promiscuous, le noyau du système répondra à ce paquet.
01-00-5E-00-00-01 adresse de multidiffusion 1
Adresse multicast 1 représente un sous-réseau LAN de tous les hôtes. Les mots pour les noms, le filtre matériel sera par défaut ce type de package. Mais l'existence d'une telle possibilité: Si la carte ne supporte pas le mode multicast, il ne répondra pas à ce paquet. Par conséquent, ce package peut être utilisé pour détecter si l'hôte prend en charge les adresses multicast.
Conclusion: Différents systèmes utilisent différentes mesures
WINDOWS ADDR HW Windows 9x/Me 2K/NT4 LINUX2.2/2.4
PROMIS PROMIS NORMAL NORMAL NORMAL PROMIS
RES FF FF: FF: FF: FF: FF: RES RES RES RES RES
FF: FF: FF: FF: FF: FE - RES - RES - RES
FF: FF: 00:00:00:00 - RES - RES - RES
FF: 00:00:00:00:00 - RES - - - RES
01:00:00:00:00:00 - - - - - RES
01:00:5 E: 00:00:00 - - - - - RES
01:00:5 E: 00:00:01 RES RES RES RES RES RES
À 7 face aux résultats expérimentaux répertoriés dans le tableau ci-dessus.
Ces résultats sont en Windows 95,98, ME, 2000 et obtenu sous LINUX. Comme nous l'avons mentionné ci-dessus, la carte est en mode normal, tous noyau du système sera mis sur l'adresse de diffusion et adresse multicast 1 à réagir.
Toutefois, lorsque la carte réseau en mode promiscuous, en fonction de votre système d'exploitation, le résultat sera différent. Windows 95,98 et ME FAKE DIFFUSION 31,16 et 8bits répondre. Par conséquent, on peut considérer Windows 9x filtre logiciel à vérifier uniquement les 8 premiers bits de déterminer si l'adresse de diffusion.
Dans Windows 2000, il sera FAKE DIFFUSION 31 et 16bits répondre. On peut donc dire que le filtre logiciel WINDOWS 2000 jusqu'à peu avant le test afin de déterminer si l'adresse de diffusion 16-bit.
Sous Linux, le paquet sera répondre à tous ces sept répondre. En d'autres termes, lorsque la carte réseau en mode promiscuous, Linux répondre à ces sept paquets.
Les résultats suivants montrent que nous pouvons déterminer si le paquet ARP pour le nœud en mode promiscuous, quel que soit le système d'exploitation est Windows ou Linux. Ainsi, une telle méthode simple pour détecter le LAN. Ce qui suit est un processus de test:
1) Nous essayons de charger le protocole IP à savoir si la machine est en mode promiscuous de détection. Nous construisons un paquet ARP:
l'adresse Ethernet de destination FF: FF: FF: FF: FF: FE
l'adresse Ethernet de l'expéditeur NIC Device adresse
Type de protocole ARP (= 0806) 0806
l'espace adresse matérielle (Ethernet = 01) 0001
espace d'adressage IP (v4 = 0800) 0800
longueur en octets de l'adresse 06 Hardware
longueur de 04 octets adresse de protocole
Opcode (requête ARP = 01, la réponse ARP = 02) 0001
Adresse matérielle de l'expéditeur de ce paquet
adresse de protocole de l'expéditeur de cette adresse de paquets IP
Adresse matérielle de l'objectif de ce paquet 00:00:00:00:00:00
adresse de protocole de l'objectif de ce paquet (adresse veulent être cochée)
2) Nous construisons compléter cet ensemble, nous l'envoyer à la LAN
3) Dans des circonstances normales, ce paquet sera rejeté par le filtre matériel. Toutefois, si la machine est en mode promiscuous, il répondra à ce forfait. Si nous recevons une réponse, puis la machine est en mode promiscuous.
Pour tester le modèle hybride, nous pouvons utiliser les technologies mentionnées dans 7 de toutes les machines sur le réseau local menées de façon séquentielle. Si certaines machines ne peuvent pas recevoir le paquet ARP, ne pas utiliser cette méthode.