it-gundan.com

LAN에서 스니퍼를 찾으십시오

LAN에있는 다른 사람이 스니퍼를 사용하는지 찾는 데 도움이되는 * NIX 및 Windows에서 어떤 도구 또는 기술을 사용할 수 있습니까?

그런 "현상"을 발견하기 위해 도구가있는 도구가 있음을 강력히 고려하면서 냄새를 맡지 못하도록하는 일은 무엇입니까?

8
Anand Shah

패킷 스니핑은 수동적 인 활동이며 일반적으로 누군가가 네트워크를 스니핑하는지 알 수 없습니다. 그러나 유무선의 다른 사람이 IP (또는 네트워크/서브넷으로 브로드 캐스팅)로가 아니거나 다른 트래픽을 복제하는 모니터링/미러 된 포트에 액세스 할 수 있어야합니다. 또는 게이트웨이에 '탭'을 설치하십시오.

스니핑에 대한 최상의 방어는 민감한 종단 간 암호화이며 민감한 하드웨어에 대한 물리적 제어입니다.

편집 : CPM, Nepled 및 Antisniff는 현재 10-15 년이 아닙니다 ... Linux Kernel <2.2 또는 Windows NT4를 생각하십시오. 누군가가 탭이나 미러에 액세스 할 수 있다면 일반적으로 탐지하기가 매우 어려울 것입니다. ARP 또는 DNS 조작은 아마도 최선의 내기 일 것입니다. 그러나 그것은 확실한 것과는 멀리 떨어져 있습니다.

14
nedm

사회 공학은 다른 방법입니다. HoneyPot 루트/관리자 계정 또는 기타 유혹 대상을 설정하고 명확한 로그를 지우고 로그 보는 암호를 방송하십시오.

4
Adam

대부분의 스니퍼를 탐지하는 간단한 방법이 있습니다. DNS가 아닌 네트워크에 두 개의 상자를 넣고 다른 것에 사용되지 않습니다. 주기적으로 서로 핑거나 다른 사람과 통신하십시오.

이제 IPS에 대한 DNS 조회 및/또는 ARP 요청을 위해 네트워크를 모니터링하십시오. 많은 스니프가 기본적으로 찾은 주소를 찾아 낼 수 있으므로 이러한 장치에 대한 조회가 견고한 경고가됩니다.

영리한 해커가 이러한 조회를 끌 수 있지만, 많은 사람들이 생각하지 않을 것이며, 확실히 그를 늦추게 될 것입니다.

이제 DNS 조회를 활성화하지 않으려면 똑똑한 경우 이러한 장치의 ARP가 방지되면 작업이 훨씬 어렵습니다. 이 시점에서 귀하는 네트워크가 항상 스니핑되고있는 철학을 통해이 가정하에 발생할 수있는 취약점을 방지하기 위해 능동적 인 절차를 제정해야합니다. 몇 가지 포함 :

  1. 완전히 전환 된 네트워크를 사용하십시오
  2. 스위치 포트를 MAC 주소로 바인딩합니다
  3. NICS에서 무차별 모드를 허용하지 않음 (가능한 경우 환경에서)
  4. 보안 프로토콜을 사용하십시오
3
Rym

Wireshark는 네트워크 트래픽을 모니터링하는 훌륭한 도구입니다. 그리고 IP 주소를 일치시키고 MAC 주소 등의 제조업체를 찾으려면 이름을 찾아서 자연스럽게이 쿼리를 수행하고 실행중인 것을 알 수 있습니다.

물론 이러한 일을 끄고 탐지하지 못할 수 있습니다. 의도적으로 탐지되지 않도록 설계된 다른 프로그램이 있습니다. 따라서이 질문에 대답하려고하는 동안 고려해야 할 것입니다.

2
gbarry

이를 수행하는 유일한 확신 방법은 각 장치를 하위 네트워크의 각 장치를 검사하는 것입니다.

도구가 있습니다. nmap 그러나 그들은 일을 보장하고 수동적 인 도청이 그들의 존재를 배신하지 않을 것입니다.

최상의 접근 방식은 네트워크가 더 많거나 덜 공개되어 암호화를 사용한다고 가정하는 것입니다. 응용 프로그램 기준 - SSH, HTTPS IMAPS 등, 또는 VPN을 통해 모든 트래픽을 터널링

2
John McC

허브 (또는 Thinnet/ThickNet와 같은 실제로 오래된 네트워크 설정)는 항상 전선을 통해 모든 데이터를 전송합니다. 연결된 사람이 꽂은 사람은 해당 지역 세그먼트의 모든 패킷을 볼 수 있습니다. 네트워크 카드를 무차별 모드로 설정 한 경우 (직접 보낸 모든 패킷뿐만 아니라 모든 패킷을 읽고 패킷 캡처 프로그램을 실행하면 일어나는 모든 것을 볼 수 있습니다, 스니핑 암호 등.

스위치는 오래된 학교 네트워크 브리지처럼 작동합니다. 그 중 하나 인 경우 포트를 전송합니다.

스위치는 포트에있는 MAC 주소를 나타내는 캐시를 유지합니다 (때로는 허브 또는 스위치 데이지가 꺼져 있음). 스위치는 모든 트래픽을 모든 포트에 복제하지 않습니다.

상위 엔드 스위치 (비즈니스 사용 용)는 모든 트래픽을 복제하도록 구성 할 수있는 특수 포트 (스팬 또는 관리)를 가질 수 있습니다. IT 부서는 해당 포트를 사용하여 트래픽을 모니터링합니다 (LiGit Sniffing). 무단 스니핑을 탐지해야합니다. 쉽지 않아야합니다 - 스위치를보고 해당 포트에 꽂혀 있는지 확인하십시오.

1
hellimat