I LAN är Sniffer ett mycket stort hot. Angripare kan ta detta och se några sekretessbelagda dokument och enskildas integritet. Vädra har ett sådant hot mot säkerheten, men det kan lätt upp och ner på Internet för gratis nedladdning och installera datorn. Hittills har dock inget bra sätt att upptäcka vem datorn för att installera Sniffer programvara. Detta dokument kommer att diskutera användningen av ARP paket för att upptäcka att företaget och skolan LAN Snokande i angripare.
Nätverkskort promiskuöst läge: Öppna bakdörren för att stjäla information Sniffer
Ethernet LAN bildas ofta. Ethernet används i protokollet IPv4, är uppgifter som överförs i klartext, om inte användning av krypteringsprogram. När användare skickar information till nätverket, hoppades han bara att den andra sidan av nätet användarna kan ta emot. Tyvärr Ethernet för att obehöriga användare av avlyssning information.
Vi vet att i Ethernet, kommer informationen att skickas till alla noder i nätverket kommer vissa noder få denna information och en del av noden kommer helt enkelt att ignorera informationen. Information som tas emot eller förkastas av nätverkskortet att kontrollera. NIC kommer inte att få alla paket som skickas till LAN, även om det kopplas till Ethernet, tvärtom kommer det att filtrera bort vissa paket. I detta dokument kommer vi att kalla detta filter filter hårdvara till nätverkskortet. Vädra kommer att fastställas till ett specifikt mönster kort, så kort kan ta emot alla inkommande paket, och inte huruvida det är inte målet adress som dessa paket. Denna modell kallas promiskuöst läge nätverkskort.
Sniffer få alla paket, istället för att skicka olagliga paket. Så det inte störa den normala driften av nätet är det svårt att upptäcka detta sabotage. Trots detta är det nätverkskort promiskuöst läge klart skiljer sig från det normala mönstret. Ett paket borde ha filtrerats i detta läge kommer att tillåtas att nå kärnan. Är inte svara beror på systemet kärnan.
Dem som försöker stjäla den ödesdigra svaghet Sniffer
Vi testar metoden med en hybridmodell verkliga exempel efterlikna. Om man antar att rummet är i ett möte. Ett lyssnande öra, som litar på med sina konferensrum väggen. När han var utnyttjas, kommer han att hålla andan, tyst lyssnande till konferensrummet alla dialogen. Men om någon skrek vid mötet i hans namn, "MR. **?" Tjuvlyssnare ibland skulle svara "Ja!" Denna analogi verkar absurt, men är verkligen används i testnätverket sniffa på. Eftersom SINFFER emot alla paket, inklusive dem som inte har skickat det, så det kan vara nätverkskortet som borde ha filtrerats svara på paketet felaktigt. Därför har vi etablerat blandat läge testa på grundval av följande: alla noder i nätverket för att skicka ARP förfrågan paket, se ARP svar paketet inte finns där.
För att förklara denna princip, först och främst lärde vi oss från nätverkskortet promiskuöst läge, och skillnaden mellan normalt läge start. Alla har en 6-byte adress Ethernet hårdvara. Tillverkarna att fördela dessa adresser, och varje adress är unik. Teoretiskt sett finns inte två i samma nätverk kortet maskinvaruadress. Ethernet bygger på utbyte av information som bygger på maskinvaruadress. Men kortet för att få olika typer av data-paket, kan du skapa olika filtreringssystem. Finns ett antal olika filtreringssystem på kortet enligt följande:
Unicast (unicast)
Få all destination adress och nätverkskort som maskinvaruadressen av paketet.
Radio (Broadcast)
Ta emot alla broadcast-paket. Broadcast paket destination adress är FFFFFFFFFFFF. Denna modell är att kunna ta emot dem som vill nå alla noder i nätverket paketen.
Multicast (Multicast)
Ta emot alla tidigare registrerade grupp goda-specifika paket. Endast de som redan är registrerade grupper kommer att få kort.
Alla multicast (Alla Multicast)
Får all multicast. Denna modell och tillhörande övre protokoll, kommer detta läge få all multicast bit satt till 1 paket.
Hybrid (Promiscuous)
Ta emot alla paket oavsett bestämmelseorten adress är.
Den siffra som anges i normalt läge och blandat läge, hårdvaran filter läge. Vanligtvis kommer kortet att ställa in unicast hårdvara filter, broadcast och multicast en modell. Kort bara för att ta emot destinationsadress och dess hårdvara adress, broadcast adress (FF: FF: FF: FF: FF: FF) och multicast-adress 1 (01:00:05 E: 0:00:01).
ARP testkit för att identifiera promiskuöst läge nod
Som tidigare nämnts kortet inställt på promiskuöst läge på normalläge och paketfiltrering är annorlunda. När kortet är inställt på Mixed Mode, annars paketet kommer att tillåtas att nå filtret kärnan. Metoden har vi etablerat en ny mekanism för att upptäcka promiskuöst läge nod: Om adressen inte är avsikten att bygga en broadcast-adress ARP Bao, det Tafasongdao Wangluo av Meige nod, om hittade några noder måste svara, då Zhexie nod arbete i promiskuöst läge.
Vi ser helt enkelt på en normal ARP begäran och svar funktionssätt. För det första att utarbeta en resolution ARP begäran paket 192.168.1.10. Syftet är att ta upp är broadcast-adressen till alla noder i nätverket får. I teorin är det bara IP-adressen för nod kommer att konsekvent svar.
Men om ARP paket destination adress är inställd på icke-broadcast-adress? Till exempel, om destinationen inställd på 00-00-00-00-00-01? När kortet är i normalläge, kommer paketet att vara "TILL OTHERHOST "paket, kommer det att vara nätverkskortet hårdvara filter godtas. Men om nätverkskortet i promiskuöst läge, då kortet inte utföra filtrering operationer. Så pack kommer att tillåtas att nå kärnan. Kärnan kommer att tycka att ARP begäran paket anländer, eftersom det innehåller samma IP-adress med datorn, så det kommer att svara på en begäran paketet. Men Det är märkligt att kärnpaketet i själva verket inte gör ett svar (nedan). Detta överraskande resultat visar att det finns andra kärna filtrering mekanism, eftersom i själva verket kärnpaketet att filtrera. Vi kallar detta filtreringsprogram filtrering.
Dessutom detektion av de blandade läge filtrering från jämförelsen av hårdvara och filter programvara för att uppnå åtskillnad. Hårdvara filtrering är vanligtvis skärmad olagligt paket. Om ett paket med hårdvaran filtret är det ofta filtreras genom programvaran. Vi ser framför byggnaden avvisades samtidigt hårdvaran filtreringsprogram kan filtrera paket. Genom att skicka ett sådant paket kommer normalt läge av NIC svarar inte, och promiskuöst läge nätverkskort kommer att reagera.
Vädra knäckt programvara stöld genom filtrering
Programvara filter som inrättats på grundval av operativsystemets kärna, så att förstå den programvara filtret måste förstå hur man arbetar operativsystemets kärna. LINUX öppen källkod, så att du kan komma åt sin mjukvara filtrering mekanism. Men icke-Microsoft Windows källkod öppen programvara filtrering kan bara gissa från experimentet upp resonemang.
1) LINUX
Ethernet-modul i Linux, enligt itu med de olika paketen kan delas in i följande kategorier:
Broadcast-paket:
FF: FF: FF: FF: FF: FF
Multicast-paket:
Förutom att sända paket, identifierar gruppen var ett paket.
TO_US paket:
All hårdvara adressen för destinationen adress och nätverkskort som ett paket.
OTHERHOST paket:
Alla destination adress och nätverkskort maskinvaruadress olika paket.
Här antar vi att lokalisering av en gruppidentitet paketet är multicast-paket. Motsvarande IP-multicast-PAKET Ethernet adress är 01-00-5E-**-**-**, så multicast-paket gruppidentitet inte bara för att särskilja. Men i själva verket är detta antagande riktigt, eftersom i 01-00-5E-**-**-** baseras på IP-nätverk, medan kortet hårdvara adress kan användas i andra övre skikt protokollet.
För det andra ser vi på ARP-modulen LINUX. ARP modul kommer att avvisa alla OTHERHOST paket. Samtidigt kommer det att sändas, Multicast och TO_US paket svara. Det innebär enligt maskin-och programvara filtrering filter svar. Vi får sex olika typer av adress paket som skickas till kortet är hårdvaran filter och filter programvara hur man gör.
GR BIT NORMAL MODE promiskuöst läge
HW FILTER SW FILTER RES HW FILTER RES SW FILTER
TO_US SLÅ BORT PASS Y PASS PASS Y
OTHERHOST Avvisa - N PASS REJECT N
Sänds på PASS PASS Y PASS PASS Y
Multicast
(I listan) PASS PASS Y PASS PASS Y
Multicast
(Inte på listan) avslå - N PASS PASS Y
GROUP Avvisa - N PASS PASS Y
TO_US paket:
När nätverkskort i ett normalläge, filtreras alla TO_US paket genom hårdvara, utan också genom programvara filter kommer ARP-modulen svarar på ett sådant paket, oavsett om nätverkskortet i promiskuöst läge.
OTHERHOST paket:
När kortet är i normalläge, kommer att vägra att OTHERHOST paket. Även när nätverkskortet i promiskuöst läge, kommer programmet filtret förkasta denna typ av paket. ARP UPPMANAR därför inte kommer att reagera.
BROADCAST PAKET:
I normalt läge, filtreras broadcast-paket genom hård-och mjukvara filtrering. Därför, oavsett vilket läge nätverkskort i paketet kommer att reagera.
Multicast-paket:
I normalt läge, inte i gruppen förregistrerade lista med adresser till paket kommer att avslås. Men om nätverkskortet i promiskuöst läge, kommer denna typ av paket som ska filtreras av hårdvara, utan också eftersom programvaran filter inte kommer att avvisa denna typ av paket, så kommer generera ett svar. I detta fall kommer kortet att vara i olika modeller ger olika resultat.
GRUPP BIT paket:
Broadcast Multicast paket eller inte, men placeringen av en gruppidentitet. I normalt läge, kommer att förkasta ett sådant paket, och i promiskuöst läge, kommer det här paketet skickas. Och eftersom detta paket kommer att betraktas som en multicast-paket filtreringsprogram, så detta paket via programvaran filter. Grupplogo position 1 paket kan användas för att detektera promiskuöst läge.
2) WINDOWS
WINDOWS icke-operativsystem med öppen källkod, kan vi inte se dess källkod att analysera programvara filter. Tvärtom kan vi närma oss endast genom experiment för att testa sin programvara filter. Följande sju sorters adresser är WINDOWS användning:
FF-FF-FF-FF-FF-FF broadcast-adress:
Alla kontakter kommer att få denna typ av paket och svara. Normal ARP begäran paketen görs med hjälp av denna adress.
FF-FF-FF-FF-FF-FE FAKE broadcast-adress:
Detta är den sista av en falsk broadcast adress läge 0. Filtreringsprogram används för att upptäcka om att inspektera alla i adressen bitar, då den kommer att svara på detta paket.
FF-FF-00-00-00-00 FAKE BROADCAST 16 bitar:
Detta är bara första 16 positionerna en falsk broadcast-adress. Det kan betraktas som en broadcast-adress, men också i filtrering mekanism bara kontrollerar de första 16-bitars kommer att reagera på omständigheter.
FF-00-00-00-00-00 FAKE BROADCAST 16 bitar:
Detta är bara första 8 positionerna en falsk broadcast-adress. Det kan betraktas som en broadcast-adress, men också i filtrering mekanism bara kontrollerar de första 8-bitars fall kommer att svara.
01-00-00-00-00-00 GROUP BIT ADRESS:
Avsnitt 1 i adress läge identifiering, som används för att kontrollera om multicast-adress kommer att beaktas.
01-00-5E-00-00-00 multicast adress 0
Multicast adress 0 är oftast inte används. Så vi lägger denna typ av adress som en grupp är inte med i listan över registrerade adresser. Hårdvara Filter kommer att förkasta dessa paket. Kommer dock att programvaran filtret multicast detta paket misstas för ett paket, eftersom den inte kontrollera alla bitar. Så när nätverkskortet i promiskuöst läge, kommer systemet kärnan svara på detta paket.
01-00-5E-00-00-01 multicast adress 1
Multicast ADRESS 1 utgör ett LAN subnät av alla värdar. Ord för namn, hårdvara filtret som standard denna typ av paket. Men det finns en sådan möjlighet: Om kortet inte stöder multicast-läge kommer den inte reagera på detta paket. Därför kan det här paketet att användas för att upptäcka om den mottagande stöder multicast adresser.
Slutsats: De olika systemen använder olika åtgärder
HW ADDR Windows 9x/Me WINDOWS 2K/NT4 LINUX2.2/2.4
NORMAL Promis NORMAL Promis NORMAL Promis
FF: FF: FF: FF: FF: FF RES RES RES RES RES RES
FF: FF: FF: FF: FF: FE - RES - RES - RES
FF: FF: 00:00:00:00 - RES - RES - RES
FF: 00:00:00:00:00 - RES - - - RES
01:00:00:00:00:00 - - - - - RES
01:00:05 E: 00:00:00 - - - - - RES
01:00:05 E: 00:00:01 RES RES RES RES RES RES
Till 7 behandla experimentella resultat som anges i tabellen ovan.
Dessa resultat är i WINDOWS 95,98, ME, 2000 och fått under Linux. Som vi nämnde ovan, är kortet i normalläge, kommer alla system kärnan vara på massutskicksadress och multicast ADRESS 1 svara.
Men när nätverkskortet i promiskuöst läge, beroende på ditt operativsystem, blir resultatet annorlunda. WINDOWS 95,98 och ME kommer FAKE BROADCAST 31,16, och 8BITS svara. Därför kan vi överväga att Windows 9x programvara filtrera upp till endast kontrollera de första 8 bitar för att avgöra om broadcast-adress.
I Windows 2000 kommer det att vara FAKE BROADCAST 31 och 16BITS svara. Så vi kan säga att programvaran filtret WINDOWS 2000 fram till strax innan test för att avgöra om 16-bitars broadcast-adress.
I Linux, kommer paketet itu med alla dessa sju svara. Med andra ord, när nätverkskortet i promiskuöst läge, kommer LINUX svara på dessa sju paket.
Följande resultat visar att vi kan avgöra om ARP paket till nod i promiskuöst läge, oberoende av operativsystem är Windows eller Linux. Så kan en sådan enkel metod att upptäcka LAN. Följande är ett test process:
1) Vi försöker att ladda IP-protokollet på om maskinen är i promiskuöst läge upptäckt. Vi bygger en ARP paket:
Ethernet-adress destination FF: FF: FF: FF: FF: FE
Ethernet-adress avsändare NIC: s Apparatadress
Protokolltyp (ARP = 0.806) 0.806
Hårdvara adressrymden (Ethernet = 01) 0001
IP-adress utrymme (IPv4 = 0.800) 0.800
Byte längd maskinvaruadressen 06
Byte längd IP-adress 04
Opcode (ARP förfrågan = 01, ARP-svar = 02) 0001
Hårdvara adress avsändare detta paket
Protokoll adress avsändaren av detta paket IP-adress
Maskinvaruadressen målet för detta paket 00:00:00:00:00:00
Protokoll adress målet för detta paket (adress vill skall kontrolleras)
2) Vi bygger kompletta paketet, skickar vi den till LAN
3) Under normala förhållanden, kommer det här paketet avvisas av maskinvaran filtret. Men om maskinen är i promiskuöst läge, kommer det att svara på detta paket. Om vi får ett svar, då maskinen är i promiskuöst läge.
För att testa hybridmodell, kan vi använda den teknik som anges i 7 av alla maskiner på LAN utförs sekventiellt. Om vissa maskiner inte kan ta emot ARP paket kommer den inte använda denna metod.