Nella LAN, Sniffer è una minaccia molto grande. utente malintenzionato può vedere alcuni documenti riservati e di adottare, e la vita privata delle persone. Sniffer ha una tale minaccia per la sicurezza, ma può essere facilmente su e giù su Internet per il download gratuito e installare il PC. Tuttavia, finora, non è buon modo di rilevare che il PC per installare il software Sniffer. Questo documento discuterà l'uso di pacchetti ARP per rilevare quelle della società e la scuola LAN Sniffing l'utente malintenzionato.
Scheda di rete in modalità promiscua: Aprire la porta sul retro per rubare informazioni Sniffer
LAN Ethernet è spesso formato. Ethernet è utilizzato nel protocollo IPv4, i dati vengono trasmessi in chiaro, a meno che l'uso di software di crittografia. Quando gli utenti inviano informazioni alla rete, lui solo sperare che dall'altra parte gli utenti della rete possono ricevere. Purtroppo, il sistema Ethernet ad utenti non autorizzati le informazioni intercettazioni.
Sappiamo che in Ethernet, le informazioni saranno inviate a tutti i nodi della rete, alcuni nodi riceveranno queste informazioni, e alcuni dei nodi semplicemente eliminare le informazioni. Le informazioni ricevute o scartati dalla scheda di rete da controllare. NIC non riceverà tutti i pacchetti inviati alla LAN, anche se collegato alla rete Ethernet, al contrario, sarà filtrare i pacchetti specifici. In questo documento, chiameremo questo filtro hardware di filtro per la scheda di rete. Sniffer sarà impostato su un modello di scheda specifica, in modo scheda può ricevere tutti i pacchetti in entrata, e non se non è l'indirizzo di destinazione specificata da questi pacchetti. Questo modello è chiamato scheda di rete in modalità promiscua.
Sniffer ricevere tutti i pacchetti, invece di inviare pacchetti illegali. Quindi, non interferisce con il normale funzionamento della rete, è difficile rilevare questo comportamento dannoso. Anche così, la scheda di rete in modalità promiscua è nettamente diverso dal normale andamento. Un pacchetto avrebbe dovuto essere filtrati in questo modo sarà consentito di raggiungere il kernel. E 'di non rispondere dipende dal kernel di sistema.
Coloro che cercano di rubare la debolezza fatale di Sniffer
Ci prova il metodo con esempi reali modello ibrido di emulare. Supponendo che la stanza è in riunione. Un orecchio che ascolta che si affidano a muro con la sua sala conferenze. Quando è stato sfruttato, si terrà il fiato, in silenzio ascoltando la sala conferenze di tutto il dialogo. Ma se qualcuno gridò alla riunione nel suo nome, "MR. **?" Eventuali interferenze a volte rispondeva "Sì!" Questa analogia sembra assurdo, ma è davvero utilizzare nei test sniffing di rete sul. Perché SINFFER ricevere tutti i pacchetti, anche quelli che non lo hanno inviato, quindi potrebbe essere scheda di rete che avrebbe dovuto essere filtrato per rispondere al pacchetto in modo errato. Pertanto, prove modalità mista sulla base seguente: tutti i nodi della rete di inviare pacchetto di richiesta ARP, controlla il pacchetto di risposta ARP non c'è.
Per spiegare questo principio, prima di tutto, abbiamo appreso dalla scheda di rete in modalità promiscua, e la differenza tra avviare la modalità normale. Tutti hanno un 6-byte indirizzo Ethernet. Costruttori di assegnare questi indirizzi, e ogni indirizzo è unico. Teoricamente, non esistono due le carte di uno stesso indirizzo di rete hardware. Ethernet si basa sullo scambio di informazioni in base all'indirizzo hardware. Ma la carta al fine di ricevere diversi tipi di pacchetti di dati, è possibile creare diversi meccanismi di filtraggio. Sono una varietà di meccanismi di filtraggio sulla carta come segue:
Unicast (unicast)
Ricevi tutti l'indirizzo di destinazione e la scheda di rete come l'indirizzo hardware del pacchetto.
Radio (Broadcast)
Ricevere tutti i pacchetti broadcast. pacchetto broadcast address di destinazione è FFFFFFFFFFFF. Questo modello è in grado di ricevere chi vuole raggiungere tutti i nodi del traffico della rete.
Multicast (multicast)
Ricevi tutte le pre-registrato del gruppo di pacchetti specifici per bene. gruppi di pre-registrato solo coloro che riceveranno le carte.
Tutti multicast (multicast All)
Ricevi tutte le multicast. Questo modello e il relativo Protocollo superiore, questo modo riceverai tutte le multicast bit impostato a 1 pacchetto.
Hybrid (promiscua)
Riceve tutti i pacchetti, indipendentemente dalla destinazione è.
La cifra indicata in modalità normale e il funzionamento in modalità mista della modalità di filtro hardware. In genere, la scheda imposta il filtro hardware unicast, broadcast e multicast un modello. Card solo per ricevere l'indirizzo di destinazione e il suo indirizzo hardware, come indirizzo di broadcast (FF: FF: FF: FF: FF: FF) e l'indirizzo multicast 1 (01:00:05 E: 00:00:01).
ARP kit di analisi per identificare il nodo modalità promiscua
Come detto in precedenza, la scheda impostata in modalità promiscua in modalità normale e il filtraggio dei pacchetti è diversa. Quando la scheda è impostato in modalità mista, in caso contrario il pacchetto verrà permesso di raggiungere il kernel del filtro. Utilizzando questo meccanismo, si stabilisce un nuovo meccanismo per rilevare nodo modalità promiscua: Se l'indirizzo di destinazione non è quello di costruire un indirizzo di broadcast del pacchetto ARP, la trasmette alla rete di ciascun nodo, il nodo se trovato ad avere qualche risposta, allora questi nodi lavorare in modalità promiscua.
Abbiamo semplicemente guardare una normale richiesta ARP e la modalità di risposta di funzionamento. In primo luogo, per risolvere 192.168.1.10 produrre un pacchetto di richiesta ARP. Ha lo scopo di indirizzo è l'indirizzo di broadcast, tutti i nodi della rete di ricevere. In teoria, l'unico indirizzo IP corrispondente nodo risponderà.
Tuttavia, se il pacchetto ARP indirizzo di destinazione è impostata su indirizzo non broadcast? Ad esempio, se l'indirizzo di destinazione impostata 00-00-00-00-00-01? Quando la scheda è in modalità normale, il pacchetto potrà essere considerato "TO OTHERHOST "pacchetto, sarà la scheda di rete del filtro hardware respinta. Tuttavia, se la scheda di rete in modalità promiscua, quindi la scheda non eseguire le operazioni di filtraggio. Così pack sarà permesso di raggiungere il kernel. Il kernel penseranno che pacchetto di richiesta ARP arriva, perché contiene lo stesso indirizzo IP con il PC, quindi sarà a rispondere alle pacchetto di richiesta. Tuttavia è curioso che il pacchetto del kernel, infatti, non fa una risposta (sotto). Questo sorprendente risultato mostra l'esistenza di un altro kernel meccanismo di filtraggio, perché in realtà il pacchetto del kernel da filtrare. Noi chiamiamo questo software di filtraggio di filtraggio.
Inoltre, l'individuazione delle modalità mista di filtraggio dal confronto di hardware e software per realizzare filtri per la distinzione. Hardware di filtraggio di solito è schermato pacchetti illegali. Se un pacchetto attraverso il filtro hardware, spesso è filtrato attraverso il software. Prevediamo la costruzione del filtro hardware è respinta al tempo stesso che filtra attraverso il pacchetto software. Con l'invio di un pacchetto, il normale modello di scheda non risponde, e scheda di rete in modalità promiscua risponderà.
Sniffer furto che ha rilevato il filtro software
Software filtri impostati sulla base del kernel del sistema operativo, in modo da capire il filtro software deve capire come lavorare al kernel del sistema operativo. open source Linux, in modo da poter accedere al suo software di filtraggio meccanismo. Ma non Microsoft il codice sorgente finestre aperte, il software di filtraggio può solo indovinare dall'esperimento up ragionamento.
1) LINUX
modulo Ethernet in Linux, in base ad affrontare i diversi pacchetti possono essere suddivisi nelle seguenti categorie:
Pacchetti broadcast:
FF: FF: FF: FF: FF: FF
Pacchetti multicast:
Oltre ai pacchetti broadcast, il gruppo ha identificato la posizione di un pacchetto.
TO_US pacchetti:
Tutti l'indirizzo hardware di destinazione e la scheda di rete come un pacchetto.
OTHERHOST pacchetti:
Tutti l'indirizzo di destinazione e la scheda di rete l'indirizzo hardware pacchetto differente.
Qui, si assume che l'identità di gruppo è la posizione delle confezioni da 1 pacchetto multicast. Pacchetto multicast IP corrispondente indirizzo di rete Ethernet 01-00-5E-**-**-**, così MULTICAST PACCHETTI identità di gruppo non solo luogo di differenziare. Ma, in realtà, questa ipotesi è corretta, perché l'01-00-5E-**-**-** si basa sulla rete IP, mentre gli indirizzi hardware di scheda di rete può essere utilizzato in altri protocollo di livello superiore.
In secondo luogo, guardare il modulo ARP LINUX. modulo ARP rifiuterà tutti i pacchetti OTHERHOST. Allo stesso tempo, sarà broadcast, multicast e TO_US PACCHETTI rispondere. Questo significa che sotto l'hardware e il software di filtraggio del filtro di risposta. Ci sono dati sei diversi tipi di pacchetti di indirizzo inviato alla carta, i filtri hardware e dei filtri software è come fare.
BIT MODO NORMALE GR modalità promiscua
FILTRO FILTER HW SW HW RES RES FILTRO FILTER SW
TO_US OFF PASS PASS Y PASS PASS Y
OTHERHOST REJECT - N PASS REJECT N
In onda su PASS PASS Y PASS PASS Y
MULTICAST
(Nella lista) PASS PASS Y PASS PASS Y
MULTICAST
(NON IN ELENCO) REJECT - PASS N PASS Y
GRUPPO REJECT - PASS N PASS Y
TO_US pacchetti:
Quando la scheda di rete in modalità normale, tutti i pacchetti TO_US filtrato attraverso l'hardware, ma anche attraverso i filtri del software, il modulo ARP risponderà a tale pacchetto, indipendentemente dal fatto che la scheda di rete in modalità promiscua.
OTHERHOST pacchetti:
Quando la scheda è in modalità normale, si rifiuterà di PACCHETTI OTHERHOST. Anche quando la scheda di rete in modalità promiscua, il filtro software respingere questo tipo di pacchetto. Quindi non risponderà alle richieste ARP.
Pacchetto broadcast:
In modalità normale, pacchetti broadcast filtrata attraverso hardware e software di filtraggio. Pertanto, non importa quale scheda di rete in modalità nel pacchetto dovrà rispondere.
Pacchetti multicast:
In modalità normale, non nel gruppo lista pre-registrato di indirizzi dei pacchetti saranno respinte. Tuttavia, se la scheda di rete in modalità promiscua, questo tipo di pacchetto saranno filtrati da l'hardware, ma anche perché i filtri software non respingere questo tipo di pacchetto, così sarà generare una risposta. In questo caso, la scheda sarà in diversi modelli producono risultati diversi.
GRUPPO BIT pacchetti:
Trasmissione multicast pacchetto o no, ma la posizione di una identità di gruppo. In modalità normale, rifiuterà tale pacchetto, mentre in modalità promiscua, questo pacchetto sarà passata. E perché questo pacchetto sarà considerato un pacchetto multicast software di filtraggio, in modo tale pacchetto attraverso il filtro software. Posizione di un pacchetto di identità di gruppo può essere utilizzato per individuare modalità promiscua.
2) WINDOWS
WINDOWS operativo non open source del sistema, non possiamo vedere il suo codice sorgente di analizzare il filtro software. Al contrario, possiamo solo approccio attraverso gli esperimenti per testare il filtro software. I seguenti sette tipi di indirizzi sono WINDOWS utilizzo:
FF-FF-FF-FF-FF-FF BROADCAST INDIRIZZO:
Tutti i contatti riceveranno questo tipo di pacchetto, e rispondere. Normale pacchetti di richiesta ARP realizzati con questo indirizzo.
FF-FF-FF-FF-FF-FE indirizzo di broadcast FAKE:
Questo è l'ultimo di una posizione falso indirizzo di broadcast 0. Software di filtraggio viene utilizzato per rilevare se per ispezionare tutti i bit di indirizzo, poi risponderà a questo pacchetto.
FF-FF-00-00-00-00 FAKE BROADCAST 16 bit:
Questo è solo le prime 16 posizioni di un indirizzo di broadcast falso. Essa può essere considerata un indirizzo di broadcast, ma anche nel meccanismo di filtraggio controlla solo i primi 16-bit sarà quella di rispondere alle circostanze.
FF-00-00-00-00-00 FAKE BROADCAST 16 bit:
Questo è solo le prime 8 posizioni di un indirizzo di broadcast falso. Essa può essere considerata un indirizzo di broadcast, ma anche nel meccanismo di filtraggio controlla solo il primo caso 8-bit sarà la risposta.
01-00-00-00-00-00 GROUP indirizzo bit:
Sezione 1 dell'identificazione posizione indirizzo, utilizzati per verificare se l'indirizzo multicast saranno prese in considerazione.
01-00-5E-00-00-00 indirizzo multicast 0
Indirizzo multicast 0 è di solito non utilizzati. Così abbiamo messo questo tipo di indirizzo come gruppo non sono nella lista degli indirizzi registrati. filtro hardware rifiuterà questi pacchetti. Tuttavia, il filtro software multicast questo pacchetto scambiato per un pacchetto, perché non controllare tutti i bit. Così, quando la scheda di rete in modalità promiscua, il kernel del sistema risponderà a questo pacchetto.
01-00-5E-00-00-01 1 indirizzo multicast
Indirizzo multicast 1 rappresenta una sottorete LAN di tutti gli host. Le parole per i nomi, hardware filtro di default di questo tipo di pacchetto. Ma l'esistenza di una tale possibilità: se la scheda non supporta la modalità multicast, non rispondere a questo pacchetto. Quindi, questo pacchetto può essere utilizzato per rilevare se l'host supporta gli indirizzi multicast.
Conclusione: i sistemi diversi utilizzano diverse misure
WINDOWS HW ADDR WINDOWS 9x/ME 2K/NT4 LINUX2.2/2.4
NORMALE NORMALE NORMALE PROMIS PROMIS PROMIS
FF: FF: FF: FF: FF: FF RES RES RES RES RES RES
FF: FF: FF: FF: FF: FE - RES - RES - RES
FF: FF: 00:00:00:00 - RES - RES - RES
FF: 00:00:00:00:00 - RES - - - RES
01:00:00:00:00:00 - - - - - RES
01:00:05 E: 00:00:00 - - - - - RES
01:00:05 E: 00:00:01 RES RES RES RES RES RES
Sui risultati sperimentali di 7 indirizzi elencati nella tabella di cui sopra.
Questi risultati sono in Windows 95,98, ME, 2000 e ottenuto sotto Linux. Come abbiamo già detto, la scheda è in modalità normale, tutti i kernel del sistema sarà l'indirizzo di broadcast e multicast indirizzo 1 di rispondere.
Tuttavia, quando la scheda di rete in modalità promiscua, a seconda del sistema operativo, il risultato sarà diverso. Windows 95,98 e ME si FAKE BROADCAST 31,16, e 8bits rispondere. Pertanto, possiamo considerare Windows 9x filtro software di controllo per verificare solo i primi 8 bit per determinare se l'indirizzo di broadcast.
In Windows 2000, sarà FAKE BROADCAST 31 e 16 bit rispondere. Quindi possiamo dire che il filtro software Windows 2000 fino a poco prima del test per determinare se l'indirizzo broadcast a 16 bit.
In Linux, il pacchetto affronterà tutti questi sette rispondere. In altre parole, quando la scheda di rete in modalità promiscua, Linux rispondere a queste sette pacchetti.
I seguenti risultati dimostrano che siamo in grado di determinare se il pacchetto ARP al nodo in modalità promiscua, a prescindere dal sistema operativo Windows o Linux. Quindi, può un semplice metodo per rilevare la rete LAN. Il seguente è un processo di test:
1) Stiamo cercando di caricare il protocollo IP se la macchina è in modalità promiscua di rilevazione. Costruiamo un pacchetto ARP:
indirizzo Ethernet di destinazione FF: FF: FF: FF: FF: FE
indirizzo Ethernet del mittente l'indirizzo NIC Dispositivo
Tipo di protocollo (ARP = 0806) 0.806
Hardware spazio di indirizzi (Ethernet = 01) 0001
Protocollo di spazio di indirizzo (IPv4 = 0.800) 0800
lunghezza in byte di indirizzo hardware 06
lunghezza in byte di indirizzo del protocollo 04
Opcode (richiesta ARP = 01, ARP risposta = 02) 0001
indirizzo hardware del mittente di questo pacchetto
indirizzo di protocollo del mittente di questo pacchetto di indirizzi IP
indirizzo hardware del target di questo pacchetto 00:00:00:00:00:00
indirizzo di protocollo del target di questo pacchetto (indirizzo vuole essere controllato)
2) Costruiamo completare questo pacchetto, lo inviamo alla LAN
3) In circostanze normali, questo pacchetto sarà respinto dal filtro hardware. Tuttavia, se la macchina è in modalità promiscua, risponderà a questo pacchetto. Se riceviamo una risposta, allora la macchina è in modalità promiscua.
Per testare il modello ibrido, possiamo utilizzare le tecnologie di cui 7 di tutte le macchine sulla LAN condotto in modo sequenziale. Se alcune macchine non possono ricevere il pacchetto ARP, a non usare questo metodo.