1、共享环境下SNIFFER检测规范及案例
(1)描述及原理
当局域网内的主机都通过交换机等方式连接时,一般都称为共享式的连接,这种共享式的连接有一个很明显的特点就是交换机会将接收到的所有数据向盗抢机上的每个端口转发,也就是说当主机根据mac地址进行数据分组发送时,尽管发送端主机告知了目标主机的地址,但这并不意味着在一个网络内的其他主机听不到发送端和接收端之间的通信,只是在正常状况下其他主机会忽略这些通信报文而已。如果这些主机不愿意忽略这些报文,网卡被设置为promiscuous状态的话,那么,对于这台主机的网络接口而言,任何在这个局域网内传输的信息都是可以被听到的。
(2)检测方法
对发生在局域网的其他主机上的监听,一直以来都缺乏很好的检测方法。这是由于产生网络监听行为的主机在工作时总是不做声的收集数据分组,几乎不会主动发出任何信息。但目前网上已经有了一些解决这个问题的思路和产品。
① 利用ARP数据分组进行监测
除了使用PING进行监测外,目前比较成熟的有利用ARP方式进行监测的。这种模式是上述PING方式的一种变体,它使用ARP数据分组替代了上述的icmp数据分组。向局域网内的主机发送非广播方式的ARP包,如果局域网内的某个主机响应了这个ARP请求,那么就可以判断它很可能就是处于网络监听模式了,这是目前相对而言比较好的监测模式。这种方式在neped和PromiScan这2个产品中有所体现。
② 观测DNS
许多的网络监听软件都会尝试进行地址反向解析,在怀疑有网络监听发生时可以在DNS系统上观测有没有明显增多的解析请求。
③ 利用PING模式进行监测
当一台主机进入混杂模式时,以太网的网卡会将所有不属于它的数据照单全收。按照这个思路,就可以这样来操作:假设怀疑的主机的硬件地址是 00:30:6E:00:9B:B9,它的 IP 地址是 192.168.1.1,那么现在伪造出这样的一种 icmp 数据分组:硬件地址是不与局域网内任何一台主机相同的00:30:6E:00:9B:9B,目的地址是192.168.1.1不变,可以设想一下这种数据分组在局域网内传输会发生什么现象:任何正常的主机会检查这个数据分组,比较数据分组的硬件地址,和自己的不同,于是不会理会这个数据分组,而处于网络监听模式的主机呢?由于它的网卡现在是在混杂模式的,所以它不会去对比这个数据分组的硬件地址,而是将这个数据分组直接传到上层,上层检查数据分组的IP地址,符合自己的IP,于是会对这个PING的包做出回应。这样,一台处于网络监听模式的主机就被发现了。这种方法在10pht这个黑客组织的antisniff产品中有很好的体现。
2、交换环境下SNIFFER检测规范及案例
(1)描述及原理
通过利用ARP欺骗手段,能够实现交换环境下的网络监听,发起arpspoof的主机向目标主机发送伪造的ARP应答包,骗取目标系统更新ARP表,将目标系统的网关的mac地址修改为发起 arpspoof的主机 mac地址,使数据分组都经由发起 arpspoof的主机,这样即使系统连接在交换机上,也不会影响对数据分组的攫取,由此就轻松地通过交换机实现了网络监听。
(2)检测方法
① 借助检测IP地址和mac地址对应的工具,如arpwatch,安装了arpwatch的系统在发生mac地址变化时会在系统的日志文件中看到,从中可以看出arpwatch检测到网关mac地址发生了改变。
② 借助于一些入侵检测系统,如snort,也可以起到的一定的检测作用。在snort的配置文件中打开arpspoof的preprocessor开关并进行配置即可。
③ 使用antisniff工具,也可以远程检测出交换环境下处于SNIFFER状态的机器。