I LAN, er Sniffer en veldig stor trussel. Ondsinnet bruker kan du se noen klassifiseres dokumenter og til å ta og noen av personvern. Sniffer har slik en trussel mot sikkerheten, men det kan lett opp og ned på Internett for gratis laste ned og installere PC. Men så langt er det ingen god måte å oppdage hvem som PCen for å installere Sniffer programvaren. Dette dokumentet vil diskutere bruken av ARP-pakker for å oppdage de i bedriften og skolen LAN Sniffing den ondsinnede brukeren.
Nettverkskort promiskuøse modus: Åpne bakdøren å stjele informasjon Sniffer
Ethernet LAN er ofte dannet. Ethernet brukes i IPv4-protokollen, er data overført i den klare, med mindre bruk av kryptering programvare. Når brukere sender informasjon til nettverket, han bare håpet at den andre siden av nettverket brukerne kan motta. Dessverre, Ethernet-systemet til uautoriserte brukere av avlytting informasjon.
Vi vet at i Ethernet, vil informasjonen bli sendt til alle nodene i nettverket, vil noen noder mottar denne informasjonen, og noen av node vil ganske enkelt forkaste den informasjonen. Informasjon mottatt eller forkastet av nettverket card å kontrollere. NIC vil ikke motta alle pakker som sendes til LAN, selv om den er koblet til Ethernet, tvert imot, vil den filtrere ut spesifikke pakker. I dette dokumentet vil vi kalle dette filteret maskinvaren filteret til nettverkskortet. Sniffer vil bli satt til et bestemt mønster kort, slik at kortet kan motta alle innkommende pakker, og ikke om det er ikke destinasjonen adressen spesifisert av disse pakkene. Dette mønsteret kalles promiskuøse modus nettverkskort.
Sniffer får alle pakker, i stedet for å sende pakker ulovlig. Så det ikke forstyrrer den normale drift av nettet, er det vanskelig å oppdage dette ondsinnet atferd. Likevel er det nettverkskortet promiskuøse modus klart forskjellig fra de normale mønsteret. En pakke skulle vært filtrert i denne modusen vil tillates å nå kjernen. Er ikke å reagere, avhenger av systemet kjernen.
De som søker å stjele fatale svakheten i Sniffer
Vi tester den metoden med en hybrid modell virkelige verden eksempler til etterfølgelse. Forutsatt at rommet er i et møte. En lyttende øre som stoler på sin konferanserom vegg. Da han var tappet, vil han holde pusten, stille lytter til konferanserom for alle dialogen. Men hvis noen ropte på møtet i hans navn, "MR. **? Eavesdroppers noen ganger ville svare" JA! "Denne analogien virker absurd, men er faktisk brukes i testing nettverket snuse på. Fordi SINFFER motta alle pakkene, inkludert de som ikke har sendt den, så det kan være nettverkskortet som skulle vært filtrert til å svare på pakken feil. Derfor har vi blandet modus testing på følgende grunnlag: alle nodene i nettverket om å sende ARP forespørsel pakke, se ARP responsen pakken ikke er der.
For å forklare dette prinsippet, først av alt, lærte vi fra nettverkskortet promiskuøse modus, og forskjellen mellom normal modus start. Alle har en 6-byte Ethernet-maskinvare-adressen. Produsenter å fordele disse adressene, og hver adresse er unik. Teoretisk sett, ikke to på samme nettverkskortet hardware adresse. Ethernet er basert på utveksling av informasjon basert på maskinvaren adressen. Men kortet for å motta ulike typer datapakker, kan du opprette forskjellige filtrering mekanismer. Er en rekke filtrering mekanismer på kortet som følger:
Unicast (unicast)
Motta alle destinasjonsadresse og nettverkskortet som hardware adressen til pakken.
Radio (Broadcast)
Mottar alle kringkastede pakker. Broadcast pakke destinasjon adressen er FFFFFFFFFFFF. Denne modellen er å kunne motta de som ønsker å nå alle noder i nettverket pakkene.
Multicast (Multicast)
Motta alle pre-registrerte gruppen av god-spesifikke pakker. Bare de som pre-registrerte grupper vil bli motta kort.
Alle multicast (Alle Multicast)
Motta alle multicast. Denne modellen og de tilhørende øvre protokoller, vil denne modusen motta alle multicast-bit satt til 1 pakke.
Hybrid (Promiscuous)
Mottar alle pakker uansett destinasjon adressen er.
Figuren er angitt i normal modus og mixed mode, maskinvare filteret modus av drift. Vanligvis vil kortet sette maskinvaren filteret unicast, broadcast og multicast en modell. Kort bare til å motta den addressen og hardware adresse, som broadcast adresse (FF: FF: FF: FF: FF: FF) og multicast-adresse 1 (01:00:05 E: 00:00:01).
ARP test kits å identifisere promiskuøst modus node
Som tidligere nevnt, kortet satt til promiskuøse modus på vanlig modus og pakkefiltrering er annerledes. Når kortet er satt til blandet modus, ellers pakken vil få lov til å komme filteret kjernen. Ved hjelp av denne mekanismen, kan vi etablere en ny mekanisme for å oppdage promiskuøse modus node: Hvis adressen er ikke hensikten å lage en broadcast-adressen til ARP-pakke, å sende den Daowang Luo av hver node, hvis det blir funnet noen node responsive, da disse nodene arbeid i promiskuøse modus.
Vi bare ser på en normal ARP forespørsel og respons virkemåte. Først, for å løse 192.168.1.10 produsere en ARP forespørsel pakke. Formålet er å henvende seg er broadcast adressen, til alle nodene i nettverket mottar. I teorien, bare IP-adressen til noden være forenlig respons.
Men hvis ARP-pakke destinasjonsadressen er satt til ikke-broadcast adresse? For eksempel, hvis målet adressen satt til 00-00-00-00-00-01? Når kortet er i normal modus, vil pakken bli vurdert "TO OTHERHOST "-pakken, vil det være nettverkskortet maskinvaren filter avvist. Men hvis nettverkskortet i promiskuøst modus, så kortet ikke utfører filtrering operasjoner. Så pakken vil få lov til å nå kjernen. Kjernen vil tro at ARP forespørsel pakken ankommer, fordi den inneholder de samme IP-adresse med PC, så det vil bli svare på forespørselen pakken. Men det er merkelig at kjernen faktisk ikke gjør noe svar (under). Dette overraskende resultatet viser at det finnes andre kjernen filtrering mekanismen, fordi faktisk kjernen som skal filtreres. Vi kaller dette filtrering programvare filtrering.
Videre påvisning av blandet modus filtrering fra sammenligning av maskinvare og programvare filtre for å oppnå skillet. Maskinvare filtrering er vanligvis skjermet ulovlig pakker. Hvis en pakke gjennom maskinvaren filteret, er det ofte filtrert gjennom programvaren. Vi ser for oss bygge maskinvaren filteret er avvist på samme tid filtrering gjennom programvarepakken. Ved å sende en slik pakke, vil normal modus av NIC ikke svare, og promiskuøse modus nettverkskortet vil reagere.
Sniffer sprakk programvare tyveri ved filtrering
Programvare filtre satt opp på grunnlag av operativsystemet kjernen, så for å forstå programvaren filteret må forstå hvordan jobbe operativsystemet kjernen. LINUX åpen kildekode, slik at du får tilgang til programvaren filtrering mekanisme. Men ikke-Microsoft Windows kildekode åpen, programvaren filtrering kan bare gjette fra eksperimentet opp resonnementet.
1) LINUX
Ethernet modul i Linux, i henhold til adressen de forskjellige pakkene kan deles inn i følgende kategorier:
Kringkastede pakker:
FF: FF: FF: FF: FF: FF
Multicast-pakker:
I tillegg til å kringkaste pakker, identifiserte gruppen plasseringen av en pakke.
TO_US pakker:
Alle maskinvare-adressen til destinasjonen adressen og nettverkskortet som en pakke.
OTHERHOST pakker:
Alle destinasjonsadresse og nettverkskortet hardware adresse annen pakke.
Her antar vi at gruppen identitet er posisjon 1 pakke Multicast-pakker. Tilsvarende IP multicast pakken Ethernet-nettverk-adressen er 01.-00-5E-**-**-**, så Multicast-pakker gruppen identitet ikke bare sted å skille. Men, faktisk, er denne antagelsen er riktig, fordi 01-00-5E-**-**-** er basert på IP-nettverk, mens kortets maskinvare adressen kan brukes i andre øvre laget protokollen.
For det andre ser vi på ARP-modulen LINUX. ARP modulen vil avvise alle OTHERHOST pakker. Samtidig vil det være Broadcast, multicast, og TO_US pakker svare. Det betyr at under maskin-og programvaren filtrering filter respons. Vi får seks forskjellige typer adresse pakker sendt til kortet, er maskinvaren filtrene og programvare filtre hvordan du gjør.
GR BIT NORMAL MODUS promiskuøst modus
HW FILTER SW FILTER RES HW FILTER SW FILTER RES
TO_US AV PASS PASS Y PASS PASS Y
OTHERHOST Avvis - N PASS avvise N
Sendt på PASS PASS Y PASS PASS Y
Multicast
(IN THE LIST) PASS PASS Y PASS PASS Y
Multicast
(Ikke på listen) Avvis - N PASS PASS Y
GROUP Avvis - N PASS PASS Y
TO_US pakker:
Når nettverkskortet i en normal modus, alle TO_US pakker filtreres gjennom hardware, men også gjennom programvare filtre, vil ARP-modulen reagere på en slik pakke, uansett om nettverkskortet i promiskuøst modus.
OTHERHOST pakker:
Når kortet er i normal modus, vil nekte å OTHERHOST pakker. Selv når nettverkskortet i promiskuøst modus, vil programvaren filteret avviser denne typen pakken. Derfor vil ikke svare på ARP forespørsler.
Kringkasting informasjonsbrosjyren:
I normal modus, filtrert kringkastede pakker gjennom maskinvare og programvare filtrering. Derfor, uansett hva modusen nettverkskortet i pakken må reagere.
Multicast-pakker:
I normal modus, ikke i gruppen pre-registrerte liste over adresser pakker vil bli avvist. Men hvis nettverkskortet i promiskuøst modus, vil denne type pakken bli filtrert av maskinvaren, men også fordi programvaren filtrene ikke vil avvise denne typen, vil det derfor generere et svar. I dette tilfellet vil kortet være i ulike modeller gir forskjellige resultater.
GROUP BIT pakker:
Broadcast Multicast pakken eller ikke, men plasseringen av en gruppe identitet. I normal modus vil avvise en slik pakke, mens i promiskuøse modus, vil denne pakken være bestått. Og fordi denne pakken vil bli betraktet som en multicast pakkefiltrering programvare, så denne pakken gjennom filter. Gruppe logo posisjon 1 pakke kan brukes til å oppdage promiskuøs modus.
2) WINDOWS
WINDOWS ikke åpen kildekode operativsystem, kan vi ikke se kildekoden til å analysere programvaren filteret. Tvert imot kan vi bare nærme gjennom eksperimenter for å teste programvaren filter. Følgende syv typer adresser er Windows bruker:
FF-FF-FF-FF-FF-FF broadcast adresse:
Alle kontakter vil motta denne type pakke, og svare. Normal ARP forespørsel pakker laget med denne adressen.
FF-FF-FF-FF-FF-FE FAKE broadcast adresse:
Dette er den siste av en falsk broadcast adresse plasseringen 0. Filtrering programvaren brukes til å oppdage om å inspisere alle adressen biter, så vil det svare på denne pakken.
FF-FF-00-00-00-00 FAKE kringkasting 16 BITS:
Dette er bare de første 16 stillingene en falsk broadcast adresse. Det kan vurderes er broadcast adressen, men også i filtrering mekanismen sjekker bare de første 16-bit saken vil bli tatt hensyn til.
FF-00-00-00-00-00 FAKE kringkasting 16 BITS:
Dette er bare de første 8 posisjonene en falsk broadcast adresse. Det kan betraktes som et broadcast-adresse, men også i filtrering mekanisme bare sjekker den første 8-bits tilfellet vil være å svare.
01-00-00-00-00-00 GROUP BIT ADRESSE:
§ 1 i adressen plasseringen identifikasjon, som brukes til å kontrollere om multicast-adressen vil bli vurdert.
01-00-5E-00-00-00 multicast-adressen 0
Multicast-adressen 0 er vanligvis ikke brukes. Så vi satte denne type adresse som gruppe er ikke i listen over registrerte adresser. Maskinvare filter vil avvise disse pakkene. Men, vil programvaren filteret multicast denne pakken forvekslet med en pakke, fordi den ikke kontrollerer alle bitene. Så, når nettverkskortet i promiskuøst modus, vil systemet kjernen svare på denne pakken.
01-00-5E-00-00-01 multicast-adressen en
Multicast-adressen 1 representerer et LAN subnett av alle verter. Ord for navn, maskinvare filteret som standard denne type pakken. Men eksistensen av en slik mulighet: Dersom kortet ikke støtter multicast-modus, vil den ikke svare på denne pakken. Derfor kan denne pakken brukes til å avdekke om verten støtter multicast adresser.
Konklusjon: Ulike systemer bruker forskjellige tiltak
HW adr WINDOWS 9x/ME WINDOWS 2K/NT4 LINUX2.2/2.4
NORMAL PROMIS NORMAL PROMIS NORMAL PROMIS
FF: FF: FF: FF: FF: FF RES RES RES RES RES RES
FF: FF: FF: FF: FF: FE - RES - RES - RES
FF: FF: 00:00:00:00 - RES - RES - RES
FF: 00:00:00:00:00 - RES - - - RES
01:00:00:00:00:00 - - - - - RES
01:00:05 E: 00:00:00 - - - - - RES
01:00:05 E: 00:00:01 RES RES RES RES RES RES
Adresse på eksperimentelle resultater av 7 er oppført i tabellen ovenfor.
Disse resultatene er i 95,98 WINDOWS, ME, 2000 og innhentet under LINUX. Som vi har nevnt ovenfor, er kortet i normal modus, vil alle system kjernen være på broadcast adresse og multicast-adressen en til å svare.
Men når NIC er i promiskuøse modus, avhengig av operativsystemet, vil resultatet bli annerledes. WINDOWS 95,98 og ME vil FAKE 31,16 Broadcast, og 8BITS svare. Derfor kan vi vurdere Windows 9x filter opp til bare sjekke de første 8 bits for å fastslå om broadcast adressen.
I Windows 2000, vil det være FAKE kringkastet 31 og 16BITS svare. Så vi kan si at programvaren filteret Windows 2000 opp til rett før test for å avgjøre om 16-bits broadcast adresse.
I LINUX, vil pakken dekke alle disse syv svare. Med andre ord, hvis nettverkskortet i promiskuøst modus, vil LINUX svare på disse syv pakker.
Følgende resultater viser at vi kan fastslå om ARP-pakke til noden i promiskuøse modus, uavhengig av operativsystem er Windows eller Linux. Så kan en slik enkel metode for å oppdage LAN. Følgende er testprosessen:
1) Vi prøver å laste inn IP-protokollen på maskinen er i promiskuøs modus gjenkjenning. Vi bygger en ARP-pakke:
Ethernet-adressen til destinasjonen FF: FF: FF: FF: FF: FE
Ethernet-adressen til avsenderen NIC enhet adresse
Protocol type (ARP = 0806) 0806
Maskinvare henvende seg mellomrom (Ethernet = 01) 0001
Protokolladressen mellomrom (IPv4 = 0800) 0800
Byte lengde på maskinvare-adresse 06
Byte lengde på protokolladressen 04
Opcode (ARP forespørsel = 01, ARP svare = 02) 0001
Hardware-adressen til avsenderen av denne pakken
Protokoll adresse avsenderen av denne pakken IP-adresse
Maskinvare adressen til målet for denne pakken 00:00:00:00:00:00
Protokolladressen av målet for denne pakken (adressen vil bli sjekket)
2) Vi bygger komplette denne pakken, sender vi det til LAN
3) Under normale omstendigheter, vil denne pakken bli avvist av maskinvaren filteret. Men hvis maskinen er i promiskuøse modus, vil det svare i denne pakken. Hvis vi får et svar, da maskinen er i promiskuøs modus.
For å teste hybrid modellen, kan vi bruke teknologier nevnt i 7 av alle maskinene på LAN gjennomført sekvensielt. Hvis noen maskiner ikke kan motta ARP-pakke, så det vil ikke bruke denne metoden.