LAN環境で、Snifferは非常に大きな脅威です。悪意のあるユーザーは、いくつかの機密文書を見ることができるとするいくつかの個人のプライバシーの。 Snifferは、セキュリティなどの脅威があるが、それは簡単に上下無料ダウンロードしてPCをインストールのためのインターネットすることができます。ただし、これまでのところ、良い方法人のPCがスニファソフトウェアをインストールするには検出することです。このドキュメントでは、ARPパケットを使用してこれらの会社で、悪意のあるユーザーをスニッフィング無線LAN学校を検出する方法について説明します。
ネットワークカードの混合モードでは:スニファ情報を盗もうとバックドアを開き、
イーサネットLANが頻繁に形成される。 Ethernetは、IPv4プロトコルでは、データが送信に使用される明確な限り、暗号化ソフトウェアを使用できます。ユーザーがネットワークに情報を送信すると、彼だけがネットワークユーザーの他の側が受け取ることができます望んだ。残念ながら、盗聴情報の不正なユーザにイーサネット機構。
我々は、イーサネットでは、情報がネットワーク内のすべてのノードに送信されます知っている、いくつかのノードは、この情報を受信し、いくつかのノードの情報を単に破棄されます。情報を受信またはネットワークカードで制御するために破棄されます。 NICはすべてのパケットを受信しませんLANにいても、それは、イーサネットに接続して送信される。反して、それが特定のパケットをフィルタで除外されます。このドキュメントでは、我々はネットワークカードのこのフィルタのハードウェアフィルタを呼び出します。スニファは、特定のパターンカードに設定される、カードが、ではなく、かどうかは、宛先、これらのパケットによって指定されたアドレスはすべての着信パケットを受信できるように。このモデルは、混合モードのネットワークカードと呼ばれます。
Snifferは、代わりに違法パケットを送信するすべてのパケットを受信します。だから、ネットワークの正常な動作に干渉しない、それが難しい、悪意のある動作を検出することです。それでも、ネットワークカードの混合モードでは、明確に通常のパターンとは異なります。パッケージはこのモードでは、カーネルへのアクセスが許可されますフィルタされている必要があります。応答しないようにしているシステムのカーネルに依存します。
スニファの致命的な弱点を盗むためにして下さい
我々は、ハイブリッドモデル実世界の例をエミュレートする方法をテストします。部屋と仮定すると会議です。彼の会議室の壁に依存して耳を傾け。彼がタップされた彼は、静かに、すべての対話の会議室を聞いてあなたの息を保持します。しかし、もし誰かが彼の名前の会議で叫んだ。"のMR。**?"盗聴者も答える"はい!"このアナロジーは不合理に見えるが、実際にネットワーク上の泣きのテストで使用されます。 SINFFERはそれらの人が送信していないなど、すべてのパケットを受信するので、パッケージに誤って対応するフィルタれている必要がありますネットワークカードかもしれないので。次のに基づいてしたがって、我々は、混在モードのテストは:ネットワーク内のすべてのノードは、ARP要求パケットを送信するARP応答パケットをチェックがされていません。
この原理を、すべての最初の説明するために、我々はpromiscuousモードのネットワークカードから、通常モードの開始の間の違いを学びました。すべての6バイトのEthernetハードウェアアドレスを持って。メーカーは、これらのアドレスを割り当てるために、各アドレスは一意です。理論的には、そこにあるない2つの同一のネットワークカードのハードウェアアドレス。 Ethernetは、情報の交換のハードウェアアドレスに基づいて基づいています。しかし、カードの順序でデータパケットの種類を受信するには、様々なフィルタリングメカニズムを作成できます。としては、カード上のフィルタリングのさまざまなメカニズムはありますが、次の:
ユニキャスト(ユニキャスト)
受信パッケージのハードウェアアドレスのすべての宛先アドレスとネットワークカード。
ラジオ(放送)
受信のすべてのブロードキャストパケット。ブロードキャストパケットの宛先アドレスがFFFFFFFFFFFFです。このモデルは、人々のネットワークパケットのすべてのノードに到達する受信できるようにすることです。
マルチキャスト(マルチキャスト)
受信の良い特定のパッケージのすべての事前登録グループです。人だけ中古登録団体カードを受け取ることです。
すべてのマルチキャスト(すべてのマルチキャスト)の
受信すべてのマルチキャスト。このモデルと関連付けられている上位プロトコルは、このモードではすべてのマルチキャストのビットが1のパケットに設定されます。
ハイブリッド(無作為)
受信するすべてのパケットに関係なく、宛先アドレスです。
図は、ノーマルモードと混在モードで示された、操作のハードウェアフィルタモード。通常、カードのハードウェアフィルタユニキャスト、ブロードキャストを設定し、モデルをマルチキャスト。カードは、宛先アドレスとハードウェアアドレスを受信するブロードキャストアドレス(FFの:ファカルティフェロー:フラン:フラン:フラン:FF)は、マルチキャストアドレス1(一時00分〇五秒メール:0時00分01秒)です。
ARPのテストキットは、promiscuousモードのノードを識別する
前述したように、カードがノーマルモード、パケットフィルタリングpromiscuousモードに設定とは異なります。カードが混在モードに、それ以外のフィルタカーネルに到達できるようになるパケットを設定されます。見つかった場合は、このメカニズムを使用して、我々は新しいメカニズムをpromiscuousモードのノードを検出するために設立:宛先アドレスは、ARPパケットのブロードキャストアドレスを構築することはできません場合は、ネットワークの各ノードに送信すると、ノードは、一部の応答を持っているこれらのノード混合モードで動作します。
我々は、単に通常のARP要求および操作の応答モードで見る。まず、解像度のARP要求パケットを192.168.1.10生成します。それは対処することを目的ブロードキャストアドレスは、ネットワーク内のすべてのノードが受信する。ノードの理論では、IPアドレスのみ一貫性のある応答されます。
ただし、ARPパケットの宛先アドレスが非ブロードキャストアドレスに設定されている場合?たとえば、先が00-00-00-00-00-01に設定されアドレスか?カードがノーマルモードでは、パッケージが"OTHERHOSTへと見なされます"パッケージには、それがネットワークカードのハードウェアフィルタを拒否される。ただし、混合モードでネットワークカードは、カードのフィルタリング操作を実行していない場合。だからパックは、カーネルへのアクセスが許可されます。それがされますので、PCと同じIPアドレスを含むため、カーネルは、ARP要求パケットが到着すると、思うだろう、要求パケットに応答する。実際のカーネルパッケージには、応答を(下記参照)ことはありませんしかし、それは好奇心です。この驚くべき結果は、カーネルパッケージ事実のためにフィルタリングされる他のカーネルの存在メカニズムをフィルタリング、表示されます。我々はこのソフトウェアをフィルタリングと呼ぶ。
さらに、混在モードのハードウェアとソフトウェアフィルタの比較からの区別を達成するためにフィルタリングの検出。ハードウェアフィルタリングは通常不正なパッケージのシールドです。ハードウェアフィルタを介してパケットが、それはしばしばソフトウェアを介してフィルタリングされます。私たちは同じ時間のソフトウェアパッケージをフィルタリングで拒否されているハードウェアフィルタを構築思い描いている。このようなパケットを送信することにより、NICのノーマルモードでは、混合モードのネットワークカードに対応する応答しません。
Snifferはろ過によりソフトウェア盗用をクラック
ソフトウェアは、オペレーティングシステムのカーネルのに基づいて、はどのようなオペレーティングシステムのカーネルを動作するように理解しなければならないソフトウェアフィルタを理解するためにセットアップするフィルタ。 LINUXのオープンソースは、メカニズムをフィルタリング、そのソフトウェアにアクセスできるように。しかし、Microsoft Windows以外のソースコードを開いて、ソフトウェアは、実験的推論を開くから推測することができますフィルタリング。
1)Linuxの
アドレス別のパッケージによるとLinuxでのEthernetモジュールは、次のカテゴリに分けることができます:
ブロードキャストパケット:
ファカルティフェロー:ファカルティフェロー:フラン:フラン:フラン:フラン
マルチキャストパケット:
また、パケットをブロードキャストするグループは、パッケージの場所を同定した。
TO_USパケット:
パッケージとして宛先アドレスとネットワークカードのすべてのハードウェアアドレス。
OTHERHOSTパケット:
すべての宛先アドレスとネットワークカードのハードウェアアドレスを別のパッケージ。
ここでは、想定し、そのグループのIDの位置1パケットマルチキャストパケットです。 IPアドレスマルチキャストパケットのEthernetネットワークアドレスを対応するマルチキャストパケットのグループIDは区別するために配置すべきではない01 - 00 - 5Eに- **-**-**,です。しかし、実際には、この仮定が正しいであるため、カードのハードウェアアドレスは、他の上位層プロトコルで使用することができますが01 - 00 - 5Eには、- **-**-** IPネットワークに基づいています。
第二に、私たちは、ARPモジュールLINUXの見てください。 ARPモジュールは、すべてのOTHERHOSTパケットを拒否します。同時に、それはブロードキャスト、マルチキャスト、およびTO_USパケットに応答されます。それが下のハードウェアおよびソフトウェアのフィルタリングフィルタの応答を意味します。我々は、カードに送信されたアドレスパケットの6種類を与えられている、ハードウェアフィルタとソフトウェアフィルタはどのようにすることです。
入庫ビットノーマルモード無差別モード
ハードウェアフィルタSWのフィルタは、HWフィルタのSWのフィルタレスレス
TO_USはOFFとYパスパスパスパス
OTHERHOSTを拒否 - nはnを拒否3.92
ブロードキャストはPASS ONにYとパスパス3.92
マルチキャストと
(はリスト内)とYパスパスパスパス
マルチキャストと
(リストではありませんIN)がREJECTは - N個のパスをY 3.92
グループを拒否 - N個のパスをY 3.92
TO_USパケット:
場合、通常モードでのネットワークカードは、すべてのTO_USパケットはハードウェアで、フィルタリングは、ソフトウェアのフィルタも介して、ARPモジュールは、このようなパッケージに関係なく、応答するかどうかを混合モードでネットワークカード。
OTHERHOSTパケット:
カードが通常モードでOTHERHOSTパケットを拒否することです。場合でも、混合モードでネットワークカードは、ソフトウェアのフィルタは、パッケージのこのタイプのを拒否します。したがって、ARP要求に応答しません。
ブロードキャストパケット:
ノーマルモードでは、ブロードキャストパケットはハードウェアとソフトウェアの濾過。したがって、どのパッケージモードでのネットワークカードに対応する必要があります関係ありません。
マルチキャストパケット:
パケットのアドレスのグループでは、通常のモードでは、事前登録リスト拒否されます。ソフトウェアフィルタパッケージのこのタイプのを拒否されませんまた、ために混合モードでネットワークカードが、パッケージのこのタイプのハードウェアが、フィルタリングされる場合は、その応答を生成します。この場合において、カードが異なるモデルでかもがする異なる結果を生成します。
グループビットのパケット:
ブロードキャスト、マルチキャストパッケージまたははなく、グループIDの場所です。混合モードでは、このパッケージは渡されますが、通常のモードでは、そのようなパッケージを拒否します。そして、このパッケージは、マルチキャストパケットフィルタリングソフトウェアとみなされるため、そのソフトウェアのフィルタを介して、このパッケージ。グループのロゴの位置は、1パケットは無作為検出モードを検出するために使用することができます。
2)は、Windows
はWindows非オープンソースのオペレーティングシステムでは、我々は、そのソースコードはソフトウェアフィルタを分析するが表示されないことができます。逆に、私たちは実験を通じて、ソフトウェアフィルタをテストするために近づくことができる。アドレスは次の7種類のWindowsで使用されます:
のFF - FFの-ファカルティフェロー-ファカルティフェロー-のFF - FFのブロードキャストアドレス:
すべての連絡先は、この種類のパケットを受信し、応答します。通常のARP要求パケットは、このアドレスを使用してした。
のFF - FFの-ファカルティフェロー-ファカルティフェロー-ファカルティフェロー- FEの偽ブロードキャストアドレス:
これは、偽ブロードキャストアドレスの場所0の最後のです。ソフトウェアをフィルタリングするかどうかすべてのアドレスビットの検査に検出し、それがこのパッケージに応答する使用されます。
のFF - FFの- 00 - 00 - 00 - 00フェイクは16 BITSを放送:
これは最初の16の位置偽ブロードキャストアドレスである。これは、ブロードキャストアドレスが、フィルタリングのメカニズムだけで16ビットのテストケースの前に応答されると考えられる。
ファカルティフェロー- 00 - 00 - 00 - 00 - 00フェイクは16 BITSを放送:
これは最初の8ポジション偽ブロードキャストアドレスです。これは、ブロードキャストアドレスだけでなく、メカニズムをフィルタリングは、最初の8ビットの場合をチェックし、応答されると考えられる。
01-00-00-00-00-00グループのビットのアドレス:
セクションでは、1アドレスの場所の識別のかどうか、マルチキャストアドレスは考慮される確認するために使用。
01 - 00 - 5Eに- 00 - 00 - 00マルチキャストアドレス0
マルチキャストアドレスは0に通常使用されません。そこで、グループとしてアドレスのこのタイプを置く登録アドレスのリストではありません。ハードウェアフィルタは、これらのパケットを拒否します。それはすべてのビットをチェックしませんしかし、ソフトウェアのフィルタは、このパケットをパッケージと間違わマルチキャストされます。そのため、混合モードでネットワークカードが、システムのカーネルは、このパッケージに応答します。
01 - 00 - 5Eに- 00 - 00 - 01マルチキャストアドレス1
マルチキャストアドレスは1すべてのHOSTSファイルのLANサブネットを表しています。名の単語は、ハードウェアフィルタがデフォルトではパッケージのこのタイプ。しかし、このような可能性の存在は:カード、それがこのパッケージに応答しませんマルチキャストモードをサポートしていない場合。したがって、このパッケージはどうか、ホストがマルチキャストアドレスをサポートして検出するために使用することができます。
結論:別のシステムが別の手段を使う
ハードウェアのアダーのWindowsは、Windowsを2K/NT4 LINUX2.2/2.4 9x/Meでは
ノーマルはノーマルPROMISをノーマルPROMIS PROMIS
ファカルティフェロー:ファカルティフェロー:フラン:フラン:フラン:FFのRESが正規表現正規表現正規表現正規表現正規表現
ファカルティフェロー:ファカルティフェロー:フラン:フラン:フラン:FEは - 正規表現 - 正規表現 - 正規表現
ファカルティフェロー:ファカルティフェロー:00:00:00:00 - 正規表現 - 正規表現 - 正規表現
ファカルティフェロー:00:00:00:00:00 - 正規表現 - - - 正規表現
01:00:00:00:00:00 - - - - - 正規表現
1時00分05秒メール:00:00:00 - - - - - 正規表現
1時00分05秒は、E:夜12時00分01秒正規表現正規表現正規表現正規表現正規表現正規表現
7アドレス上の表に記載されて実験の結果について。
これらの結果がWINDOWS 95,98、Meを、2000年にされ、Linux上で得られた。我々は上記のように、カードは通常モードでは、すべてのシステムのカーネルはブロードキャストアドレスとマルチキャストアドレス1に応答することです。
ただし、ご使用のオペレーティングシステムに応じて混合モードでネットワークカードが、結果は異なるだろう。はWindows 95,98およびMEは、偽のBROADCAST 31,16、および8ビットは応答します。したがって、我々は、Windows 9xのソフトウェアフィルタを開くだけで判断する最初の8ビットをチェックすることが考えられるかどうかをブロードキャストアドレス。
Windows 2000では、それは偽のBROADCAST 31 16ビット対応になります。だから我々はテストかどうかを16ビットのブロードキャストアドレスを決定するためのソフトウェアフィルタはWindows 2000を直前に言うことができる。
Linuxでは、パッケージには、アドレスするすべてのこれらの7つの応答。言い換えると、混合モードにネットワークカードが、Linuxはこれらの7つのパッケージに対応する見通しだ。
次の結果は、我々かどうかをpromiscuousモードのノードにARPパケットに関係なく、オペレーティングシステムのWindowsまたはLinuxを判断できることを示す。だから、できるような簡単な方法は、LANを検出します。以下は、テストプロセスです:
1)我々は、マシンがpromiscuousモードの検出にいるかどうかのIPプロトコルを読み込むとしている。我々は、ARPパケットを構築する:
宛先のEthernetアドレスファカルティフェロー:ファカルティフェロー:フラン:フラン:フラン:FEの
送信者のEthernetアドレスをNICのデバイスのアドレス
プロトコルの種類(のARP = 0806)0806
ハードウェアアドレス空間(イーサネット= 01)0001
プロトコルアドレス空間(IPv4の= 0800)0800
ハードウェアのバイトの長さが06に対応
プロトコルアドレス04バイトの長さ
オペコード(ARP要求= 01、ARP応答= 02)0001
このパケットの送信者のハードウェアアドレス
このパケットのIPアドレス の送信者のプロトコルアドレス
このパケット00:00:00:00:00:00のターゲットのハードウェアアドレス
このパケット(アドレスのターゲットのプロトコルアドレスをチェックする)を選択します
2)私たちは、このパッケージを完了するビルド、我々は、LANに送信する
3)通常の状況下で、このパッケージは、ハードウェアフィルタによって拒否されます。マシンが混合モードの場合はしかし、それはこのパッケージに応答します。我々は、その応答を受信した場合マシンが混合モードになります。
ハイブリッドモデルをテストするには、我々は技術を7無線LAN順次実施上のすべてのマシンのに記載することができます。いくつかのマシンは、ARPパケットを受信できない場合は、このメソッドを使用しません。