哪些工具或技术可用于 *nix 和 Windows 来帮助查找 LAN 上的其他人是否正在使用嗅探器?
话虽如此,并强烈考虑到有工具可以发现这种“现象”,那么如何才能避免被发现呢?
答案1
检测嗅探器非常困难,因为它们的工作被动地。有些嗅探器确实会产生少量的流量,因此有一些技术可以检测它们。
- 机器会缓存 ARP(地址解析协议)。发送非广播 ARP 时,处于混杂模式的机器(使卡传递所有流量的网卡)将缓存您的 ARP 地址。然后,发送带有我们的 IP 但 MAC 地址不同的广播 ping 数据包。只有从嗅探到的 ARP 帧中获取我们正确 MAC 地址的机器才能响应我们的广播 ping 请求。因此,如果机器正在响应,则它必须正在嗅探。
- 大多数嗅探器都会进行一些解析。发送大量数据并 ping 可疑机器前和期间数据泛滥。如果可疑机器的网卡处于混杂模式,它将解析数据并增加其负载。这样它就需要一些额外的时间来响应 ping。这个小小的延迟可以作为机器是否在嗅探的指标。如果由于高流量而导致网络上出现一些“正常”延迟,则可能会引发一些误报。
- 以下方法已经过时,不再可靠:发送带有可疑计算机的 IP 地址(而不是 MAC 地址)的 ping 请求。理想情况下,没有人会看到此数据包,因为每个网卡都会拒绝 ping,因为它与其 MAC 地址不匹配。如果可疑计算机正在嗅探,它将做出响应,因为它不会拒绝具有不同目标 MAC 地址的数据包。
有一些工具可以实现这些技术,例如开源工具内佩德和ARP 监视或者反嗅探适用于 Windows,这是一个商业工具。
如果你想防止嗅探,最好的方法是使用加密任何网络活动(SSH、https 等)。这样,嗅探器可以读取流量,但数据对他们来说毫无意义。
答案2
数据包嗅探是一种被动活动,通常无法判断是否有人在嗅探您的网络。但是,为了让有线交换 LAN 上的某人看到并非仅发往或来自其 IP(或广播到网络/子网)的流量,他们需要访问可复制所有流量的受监控/镜像端口,或者在网关上安装“分路器”。
抵御嗅探的最佳防御措施是适当的端到端加密和对敏感硬件的物理控制。
编辑:CPM、Neped 和 AntiSniff 现在已经过时 10-15 年了……想想 Linux 内核 <2.2 或 Windows NT4。如果有人可以访问分路器或镜像,通常很难检测到。操纵 ARP 或 DNS 可能是最好的选择,但这远非万无一失。
答案3
我认为,唯一可以嗅探交换 LAN 上所有流量的方法是使用“中间人”攻击。基本上就是进行 ARP 毒化,窃取每个人的数据包,读取它们,然后将它们发送到正确的计算机。
可能有多个工具可以做到这一点,我只知道一个:
埃特卡普既可以执行 Mitm 攻击,又可以在其他人执行此攻击时检测到它。
答案4
有一种简单的方法可以检测大多数嗅探器。将两个不在 DNS 中且不用于其他用途的盒子放在网络上。让它们定期 ping 或以其他方式相互通信。
现在,监控您的网络,查看是否有任何 DNS 查询和/或针对其 IP 的 ARP 请求。许多嗅探器默认会查找它们找到的任何地址,因此这些设备上的任何查询都是一个可靠的警告。
聪明的黑客可以关闭这些查找,但许多人不会想到这样做,而且这肯定会减慢他的速度。
现在,如果他足够聪明,不启用 DNS 查找,并阻止这些设备的任何 ARP,那么您的任务就困难得多。此时,您应该遵循网络始终被嗅探的理念,并制定主动程序来防止在此假设下出现的任何漏洞。其中包括:
- 使用完全交换的网络
- 将交换机端口绑定到 MAC 地址
- 禁止在 NIC 上启用混杂模式(如果您的环境中可能的话)
- 使用安全协议